Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

내부 방화벽 제어를 관리합니다

기여자
PDF

StorageGRID에는 노드에 대한 네트워크 액세스를 제어할 수 있도록 함으로써 그리드의 보안을 강화하는 각 노드에 대한 내부 방화벽이 포함되어 있습니다. 방화벽을 사용하여 특정 그리드 구축에 필요한 포트를 제외한 모든 포트의 네트워크 액세스를 방지합니다. 방화벽 제어 페이지에서 변경한 구성은 각 노드에 배포됩니다.

방화벽 제어 페이지의 세 가지 탭을 사용하여 그리드에 필요한 액세스를 사용자 지정합니다.

  • * 특별 권한 주소 목록 *: 이 탭을 사용하면 닫힌 포트에 대한 선택된 액세스를 허용할 수 있습니다. 외부 액세스 관리 탭을 사용하여 닫은 포트에 액세스할 수 있는 IP 주소 또는 서브넷을 CIDR 표시법으로 추가할 수 있습니다.

  • * 외부 액세스 관리 *: 이 탭을 사용하여 기본적으로 열려 있는 포트를 닫거나 이전에 닫은 포트를 다시 열 수 있습니다.

  • * 신뢰할 수 없는 클라이언트 네트워크 *: 노드가 클라이언트 네트워크의 인바운드 트래픽을 신뢰하는지 여부를 지정하려면 이 탭을 사용합니다.

    이 탭은 신뢰할 수 없는 클라이언트 네트워크가 구성될 때 열려는 추가 포트를 지정하는 옵션도 제공합니다. 이러한 포트를 통해 Grid Manager, Tenant Manager 또는 둘 모두에 액세스할 수 있습니다.

    이 탭의 설정은 외부 액세스 관리 탭의 설정보다 우선합니다.

    • 신뢰할 수 없는 클라이언트 네트워크가 있는 노드는 해당 노드에 구성된 로드 밸런서 엔드포인트 포트(글로벌, 노드 인터페이스 및 노드 유형 바운드 엔드포인트)의 연결만 받아들입니다.

    • 트러스트되지 않은 클라이언트 네트워크 탭에서 연 추가 포트는 로드 밸런서 끝점이 구성되어 있지 않더라도 모든 트러스트되지 않은 클라이언트 네트워크에서 열립니다.

    • 로드 밸런서 끝점 포트와 선택한 추가 포트 _ 는 외부 네트워크 관리 탭의 설정과 상관없이 신뢰할 수 없는 클라이언트 네트워크의 유일한 개방 포트입니다.

    • 신뢰할 수 있는 경우 외부 액세스 관리 탭에서 열린 모든 포트와 클라이언트 네트워크에 열려 있는 모든 로드 밸런서 끝점에 액세스할 수 있습니다.

참고 한 탭에서 설정한 내용은 다른 탭의 액세스 변경에 영향을 줄 수 있습니다. 모든 탭의 설정을 확인하여 네트워크가 예상한 대로 작동하는지 확인하십시오.

내부 방화벽 제어를 구성하려면 를 참조하십시오 "방화벽 제어를 구성합니다".

외부 방화벽 및 네트워크 보안에 대한 자세한 내용은 을 참조하십시오 "외부 방화벽에서 액세스를 제어합니다".

특별 권한 주소 목록 및 외부 액세스 관리 탭

특별 권한 주소 목록 탭을 사용하면 닫힌 그리드 포트에 대한 액세스 권한이 부여된 하나 이상의 IP 주소를 등록할 수 있습니다. 외부 액세스 관리 탭을 사용하면 선택한 외부 포트 또는 열려 있는 모든 외부 포트에 대한 외부 액세스를 닫을 수 있습니다(외부 포트는 기본적으로 비 그리드 노드가 액세스할 수 있는 포트입니다). 이러한 두 탭을 함께 사용하여 그리드에 필요한 정확한 네트워크 액세스를 사용자 지정할 수 있습니다.

참고 권한이 있는 IP 주소는 기본적으로 내부 그리드 포트 액세스를 갖지 않습니다.

예 1: 유지 보수 작업에 점프 호스트를 사용합니다

네트워크 관리에 점프 호스트(보안 강화 호스트)를 사용하려는 경우를 가정해 보겠습니다. 다음과 같은 일반 단계를 사용할 수 있습니다.

  1. 특별 권한 주소 목록 탭을 사용하여 점프 호스트의 IP 주소를 추가합니다.

  2. 외부 액세스 관리 탭을 사용하여 모든 포트를 차단합니다.

주의 포트 443 및 8443을 차단하기 전에 권한이 있는 IP 주소를 추가합니다. 사용자를 포함하여 현재 차단된 포트에 연결되어 있는 모든 사용자는 권한이 있는 주소 목록에 IP 주소가 추가되지 않으면 Grid Manager에 액세스할 수 없습니다.

구성을 저장하면 이동 호스트를 제외한 모든 호스트에 대해 그리드의 관리 노드에 있는 모든 외부 포트가 차단됩니다. 그런 다음 점프 호스트를 사용하여 그리드에 대한 유지 관리 작업을 보다 안전하게 수행할 수 있습니다.

예 2: 그리드 관리자 및 테넌트 관리자에 대한 액세스를 제한합니다

보안상의 이유로 그리드 관리자 및 테넌트 관리자에 대한 액세스를 제한하려는 경우를 가정해 봅니다. 다음과 같은 일반 단계를 사용할 수 있습니다.

  1. 외부 액세스 관리 탭의 토글을 사용하여 포트 443을 차단합니다.

  2. 외부 액세스 관리 탭의 토글을 사용하여 포트 8443에 대한 액세스를 허용합니다.

  3. 포트 9443에 액세스할 수 있도록 하려면 Manage external access(외부 액세스 관리) 탭의 토글을 사용하십시오.

구성을 저장한 후 호스트는 포트 443에 액세스할 수 없지만 포트 8443을 통해 Grid Manager와 포트 9443을 통해 테넌트 관리자를 액세스할 수는 있습니다.

예 3: 민감한 포트를 잠급니다

중요한 포트와 해당 포트의 서비스(예: 포트 22의 SSH)를 잠그려고 한다고 가정합니다. 다음과 같은 일반 단계를 사용할 수 있습니다.

  1. 특별 권한 주소 목록 탭을 사용하여 서비스에 액세스해야 하는 호스트에만 액세스 권한을 부여합니다.

  2. 외부 액세스 관리 탭을 사용하여 모든 포트를 차단합니다.

주의 포트 443 및 8443을 차단하기 전에 권한이 있는 IP 주소를 추가합니다. 사용자를 포함하여 현재 차단된 포트에 연결되어 있는 모든 사용자는 권한이 있는 주소 목록에 IP 주소가 추가되지 않으면 Grid Manager에 액세스할 수 없습니다.

구성을 저장하면 권한이 있는 주소 목록의 호스트에서 포트 22 및 SSH 서비스를 사용할 수 있습니다. 다른 모든 호스트는 요청이 어떤 인터페이스에서 제공되든 서비스에 대한 액세스가 거부됩니다.

예 4: 사용하지 않는 서비스에 대한 액세스를 비활성화합니다

네트워크 수준에서는 사용하지 않을 일부 서비스를 사용하지 않도록 설정할 수 있습니다. 예를 들어, Swift 액세스를 제공하지 않으면 다음과 같은 일반 단계를 수행합니다.

  1. 외부 액세스 관리 탭의 토글을 사용하여 포트 18083을 차단합니다.

  2. 외부 액세스 관리 탭의 토글을 사용하여 포트 18085를 차단합니다.

구성을 저장한 후에는 스토리지 노드가 더 이상 Swift 연결을 허용하지 않지만, 차단되지 않은 포트에서 다른 서비스에 대한 액세스를 계속 허용합니다.

신뢰할 수 없는 클라이언트 네트워크 탭

클라이언트 네트워크를 사용하는 경우 이 탭에서 선택한 추가 포트 또는 명시적으로 구성된 엔드포인트에서만 인바운드 클라이언트 트래픽을 허용하여 악의적인 공격으로부터 StorageGRID를 보호할 수 있습니다.

기본적으로 각 그리드 노드의 클라이언트 네트워크는 _ trusted _ 입니다. 즉, 기본적으로 StorageGRID는 모든 그리드 노드에 대한 인바운드 연결을 신뢰합니다 "사용 가능한 외부 포트".

각 노드의 클라이언트 네트워크가 _untrusted_로 지정함으로써 StorageGRID 시스템에 대한 악의적인 공격의 위협을 줄일 수 있습니다. 노드의 클라이언트 네트워크를 신뢰할 수 없는 경우 노드는 로드 밸런서 끝점으로 명시적으로 구성된 포트의 인바운드 연결과 방화벽 제어 페이지의 신뢰할 수 없는 클라이언트 네트워크 탭을 사용하여 지정한 추가 포트의 인바운드 연결만 받아들입니다. 을 참조하십시오 "로드 밸런서 엔드포인트를 구성합니다""방화벽 제어를 구성합니다".

예 1: 게이트웨이 노드는 HTTPS S3 요청만 허용합니다

게이트웨이 노드가 HTTPS S3 요청을 제외한 클라이언트 네트워크의 모든 인바운드 트래픽을 거부하도록 한다고 가정합니다. 다음과 같은 일반 단계를 수행합니다.

  1. 에서 "부하 분산 장치 엔드포인트" 페이지에서 포트 443에서 HTTPS를 통해 S3에 대한 로드 밸런서 끝점을 구성합니다.

  2. 방화벽 제어 페이지에서 신뢰할 수 없음 을 선택하여 게이트웨이 노드의 클라이언트 네트워크를 신뢰할 수 없도록 지정합니다.

구성을 저장한 후 게이트웨이 노드의 클라이언트 네트워크의 모든 인바운드 트래픽은 포트 443 및 ICMP 에코(ping) 요청의 HTTPS S3 요청을 제외하고 삭제됩니다.

예 2: 스토리지 노드가 S3 플랫폼 서비스 요청을 전송합니다

스토리지 노드에서 아웃바운드 S3 플랫폼 서비스 트래픽을 활성화하되 클라이언트 네트워크의 해당 스토리지 노드에 대한 인바운드 연결을 차단하려는 경우를 가정해 봅니다. 이 일반 단계를 수행합니다.

  • 방화벽 제어 페이지의 신뢰할 수 없는 클라이언트 네트워크 탭에서 스토리지 노드의 클라이언트 네트워크를 신뢰할 수 없음을 나타냅니다.

구성을 저장한 후 스토리지 노드는 더 이상 클라이언트 네트워크에서 들어오는 트래픽을 허용하지 않지만 구성된 플랫폼 서비스 대상에 대한 아웃바운드 요청은 계속 허용합니다.

예 3: 그리드 관리자에 대한 액세스를 서브넷으로 제한

특정 서브넷에서만 Grid Manager 액세스를 허용한다고 가정합니다. 다음 단계를 수행합니다.

  1. 관리 노드의 클라이언트 네트워크를 서브넷에 연결합니다.

  2. 신뢰할 수 없는 클라이언트 네트워크 탭을 사용하여 클라이언트 네트워크를 신뢰할 수 없음으로 구성합니다.

  3. 탭의 신뢰할 수 없는 클라이언트 네트워크에서 열린 추가 포트 * 섹션에서 포트 443 또는 8443을 추가합니다.

  4. 외부 액세스 관리 탭을 사용하여 모든 외부 포트(해당 서브넷 외부의 호스트에 대해 설정된 권한이 있는 IP 주소 포함 또는 제외)를 차단합니다.

구성을 저장한 후에는 지정한 서브넷의 호스트만 Grid Manager에 액세스할 수 있습니다. 다른 호스트는 모두 차단됩니다.