내부 방화벽 제어를 관리합니다
변경 제안
PDF
StorageGRID에는 노드에 대한 네트워크 액세스를 제어할 수 있도록 함으로써 그리드의 보안을 강화하는 각 노드에 대한 내부 방화벽이 포함되어 있습니다. 방화벽을 사용하여 특정 그리드 구축에 필요한 포트를 제외한 모든 포트의 네트워크 액세스를 방지합니다. 방화벽 제어 페이지에서 변경한 구성은 각 노드에 배포됩니다.
방화벽 제어 페이지의 세 가지 탭을 사용하여 그리드에 필요한 액세스를 사용자 지정합니다.
-
* 특별 권한 주소 목록 *: 이 탭을 사용하면 닫힌 포트에 대한 선택된 액세스를 허용할 수 있습니다. 외부 액세스 관리 탭을 사용하여 닫은 포트에 액세스할 수 있는 IP 주소 또는 서브넷을 CIDR 표시법으로 추가할 수 있습니다.
-
* 외부 액세스 관리 *: 이 탭을 사용하여 기본적으로 열려 있는 포트를 닫거나 이전에 닫은 포트를 다시 열 수 있습니다.
-
* 신뢰할 수 없는 클라이언트 네트워크 *: 노드가 클라이언트 네트워크의 인바운드 트래픽을 신뢰하는지 여부를 지정하려면 이 탭을 사용합니다.
이 탭의 설정은 외부 액세스 관리 탭의 설정보다 우선합니다.
-
신뢰할 수 없는 클라이언트 네트워크가 있는 노드는 해당 노드에 구성된 로드 밸런서 엔드포인트 포트(글로벌, 노드 인터페이스 및 노드 유형 바운드 엔드포인트)의 연결만 받아들입니다.
-
부하 분산 장치 엔드포인트 포트 _ 는(는) 신뢰할 수 없는 클라이언트 네트워크에서 외부 네트워크 관리 탭의 설정에 관계없이 열려 있는 유일한 포트입니다.
-
신뢰할 수 있는 경우 외부 액세스 관리 탭에서 열린 모든 포트와 클라이언트 네트워크에 열려 있는 모든 로드 밸런서 끝점에 액세스할 수 있습니다.
-
|
한 탭에서 설정한 내용은 다른 탭의 액세스 변경에 영향을 줄 수 있습니다. 모든 탭의 설정을 확인하여 네트워크가 예상한 대로 작동하는지 확인하십시오. |
내부 방화벽 제어를 구성하려면 를 참조하십시오"방화벽 제어를 구성합니다".
외부 방화벽 및 네트워크 보안에 대한 자세한 내용은 을 "외부 방화벽에서 액세스를 제어합니다"참조하십시오.
특별 권한 주소 목록 및 외부 액세스 관리 탭
특별 권한 주소 목록 탭을 사용하면 닫힌 그리드 포트에 대한 액세스 권한이 부여된 하나 이상의 IP 주소를 등록할 수 있습니다. 외부 액세스 관리 탭을 사용하면 선택한 외부 포트 또는 열려 있는 모든 외부 포트에 대한 외부 액세스를 닫을 수 있습니다(외부 포트는 기본적으로 비 그리드 노드가 액세스할 수 있는 포트입니다). 이러한 두 탭을 함께 사용하여 그리드에 필요한 정확한 네트워크 액세스를 사용자 지정할 수 있습니다.
|
|
권한이 있는 IP 주소는 기본적으로 내부 그리드 포트 액세스를 갖지 않습니다. |
예 1: 유지 보수 작업에 점프 호스트를 사용합니다
네트워크 관리에 점프 호스트(보안 강화 호스트)를 사용하려는 경우를 가정해 보겠습니다. 다음과 같은 일반 단계를 사용할 수 있습니다.
-
특별 권한 주소 목록 탭을 사용하여 점프 호스트의 IP 주소를 추가합니다.
-
외부 액세스 관리 탭을 사용하여 모든 포트를 차단합니다.
|
포트 443 및 8443을 차단하기 전에 권한이 있는 IP 주소를 추가합니다. 사용자를 포함하여 현재 차단된 포트에 연결되어 있는 모든 사용자는 권한이 있는 주소 목록에 IP 주소가 추가되지 않으면 Grid Manager에 액세스할 수 없습니다. |
구성을 저장하면 이동 호스트를 제외한 모든 호스트에 대해 그리드의 관리 노드에 있는 모든 외부 포트가 차단됩니다. 그런 다음 점프 호스트를 사용하여 그리드에 대한 유지 관리 작업을 보다 안전하게 수행할 수 있습니다.
예 2: 민감한 포트를 잠급니다
중요한 포트와 해당 포트의 서비스(예: 포트 22의 SSH)를 잠그려고 한다고 가정합니다. 다음과 같은 일반 단계를 사용할 수 있습니다.
-
특별 권한 주소 목록 탭을 사용하여 서비스에 액세스해야 하는 호스트에만 액세스 권한을 부여합니다.
-
외부 액세스 관리 탭을 사용하여 모든 포트를 차단합니다.
|
|
Grid Manager 및 Tenant Manager 액세스에 할당된 포트에 대한 액세스를 차단하기 전에 권한 있는 IP 주소를 추가합니다(사전 설정된 포트는 443 및 8443). 사용자를 포함하여 현재 차단된 포트에 연결되어 있는 모든 사용자는 권한이 있는 주소 목록에 IP 주소가 추가되지 않으면 Grid Manager에 액세스할 수 없습니다. |
구성을 저장하면 권한이 있는 주소 목록의 호스트에서 포트 22 및 SSH 서비스를 사용할 수 있습니다. 다른 모든 호스트는 요청이 어떤 인터페이스에서 제공되든 서비스에 대한 액세스가 거부됩니다.
예 3: 사용하지 않는 서비스에 대한 액세스를 비활성화합니다
네트워크 수준에서는 사용하지 않을 일부 서비스를 사용하지 않도록 설정할 수 있습니다. 예를 들어 HTTP S3 클라이언트 트래픽을 차단하려면 외부 액세스 관리 탭의 토글을 사용하여 포트 18084를 차단할 수 있습니다.
신뢰할 수 없는 클라이언트 네트워크 탭
클라이언트 네트워크를 사용하는 경우 명시적으로 구성된 끝점에서만 인바운드 클라이언트 트래픽을 허용하여 악의적인 공격으로부터 StorageGRID를 보호할 수 있습니다.
기본적으로 각 그리드 노드의 클라이언트 네트워크는 _ trusted _ 입니다. 즉, 기본적으로 StorageGRID는 모든 의 각 그리드 노드에 대한 인바운드 연결을 신뢰합니다."사용 가능한 외부 포트"
각 노드의 클라이언트 네트워크가 _untrusted_로 지정함으로써 StorageGRID 시스템에 대한 악의적인 공격의 위협을 줄일 수 있습니다. 노드의 클라이언트 네트워크를 신뢰할 수 없는 경우 노드는 로드 밸런서 끝점으로 명시적으로 구성된 포트의 인바운드 연결만 허용합니다. "로드 밸런서 엔드포인트를 구성합니다"및 을 "방화벽 제어를 구성합니다"참조하십시오.
예 1: 게이트웨이 노드는 HTTPS S3 요청만 허용합니다
게이트웨이 노드가 HTTPS S3 요청을 제외한 클라이언트 네트워크의 모든 인바운드 트래픽을 거부하도록 한다고 가정합니다. 다음과 같은 일반 단계를 수행합니다.
-
"부하 분산 장치 엔드포인트"페이지에서 포트 443에서 HTTPS를 통한 S3에 대한 로드 밸런서 끝점을 구성합니다.
-
방화벽 제어 페이지에서 신뢰할 수 없음 을 선택하여 게이트웨이 노드의 클라이언트 네트워크를 신뢰할 수 없도록 지정합니다.
구성을 저장한 후 게이트웨이 노드의 클라이언트 네트워크의 모든 인바운드 트래픽은 포트 443 및 ICMP 에코(ping) 요청의 HTTPS S3 요청을 제외하고 삭제됩니다.
예 2: 스토리지 노드가 S3 플랫폼 서비스 요청을 전송합니다
스토리지 노드에서 아웃바운드 S3 플랫폼 서비스 트래픽을 활성화하되 클라이언트 네트워크의 해당 스토리지 노드에 대한 인바운드 연결을 차단하려는 경우를 가정해 봅니다. 이 일반 단계를 수행합니다.
-
방화벽 제어 페이지의 신뢰할 수 없는 클라이언트 네트워크 탭에서 스토리지 노드의 클라이언트 네트워크를 신뢰할 수 없음을 나타냅니다.
구성을 저장한 후 스토리지 노드는 더 이상 클라이언트 네트워크에서 들어오는 트래픽을 허용하지 않지만 구성된 플랫폼 서비스 대상에 대한 아웃바운드 요청은 계속 허용합니다.
예 3: 그리드 관리자에 대한 액세스를 서브넷으로 제한
특정 서브넷에서만 Grid Manager 액세스를 허용한다고 가정합니다. 다음 단계를 수행합니다.
-
관리 노드의 클라이언트 네트워크를 서브넷에 연결합니다.
-
신뢰할 수 없는 클라이언트 네트워크 탭을 사용하여 클라이언트 네트워크를 신뢰할 수 없음으로 구성합니다.
-
관리 인터페이스 로드 밸런서 엔드포인트를 생성할 때 port를 입력하고 포트가 액세스할 관리 인터페이스를 선택합니다.
-
신뢰할 수 없는 클라이언트 네트워크에 대해 * 예 * 를 선택합니다.
-
외부 액세스 관리 탭을 사용하여 모든 외부 포트(해당 서브넷 외부의 호스트에 대해 설정된 권한이 있는 IP 주소 포함 또는 제외)를 차단합니다.
구성을 저장한 후에는 지정한 서브넷의 호스트만 Grid Manager에 액세스할 수 있습니다. 다른 호스트는 모두 차단됩니다.