Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

보안 정책

보안 정책 개요

엔드포인트 연결은 도달 가능성(네트워크의 올바른 포워딩 상태) 및 보안(연결이 허용되어야 함)에 따라 결정됩니다. 정책은 L2 및 L3 도메인과 보다 세분화된 L2/L3 IP 엔드포인트 간에 지정되어야 합니다. 보안 정책을 사용하면 보다 세분화된 엔드포인트 간 트래픽을 허용하거나 거부할 수 있습니다. 가상 네트워크 트래픽(SVI의 ACL) 및 외부-내부 트래픽(경계 리프 디바이스의 ACL, 외부 엔드포인트만 해당)을 제어합니다. ACL은 적절한 디바이스 구문으로 렌더링되고 적용 지점에 적용됩니다. 새로운 VXLAN 엔드포인트(예: 랙 추가 또는 가상 네트워크에 리프 추가)를 추가하면 자동으로 ACL이 가상 네트워크 인터페이스에 배치됩니다. 새로운 일반 시스템 ECP(External Connectivity Point)를 추가하면 외부 엔드포인트 그룹에 대한 ACL이 자동으로 배치됩니다. 레이어 2 IPv4 지원 청사진에 보안 정책을 적용할 수 있습니다(IPv6은 지원되지 않음). 지원되는 디바이스의 경우, 참조 섹션의 기능 매트릭스의 연결(리프 레이어에서) 테이블을 참조하십시오.

보안 정책은 소스 포인트(서브넷 또는 IP 주소), 대상 포인트(서브넷 또는 IP 주소) 및 프로토콜을 기반으로 해당 지점 간의 트래픽을 허용하거나 거부하는 규칙으로 구성됩니다. 규칙은 스테이트리스(stateless)로 허용된 인바운드 트래픽에 대한 응답에는 아웃바운드 트래픽 규칙이 적용됩니다(그 반대의 경우도 마찬가지).

규칙은 트래픽 로깅을 포함할 수 있습니다. ACL은 디바이스에서 지원되는 메커니즘을 사용하여 일치 항목을 기록하도록 구성됩니다. 로그 구성은 네트워크 디바이스에 로컬입니다. Apstra 서버에는 없습니다. 이러한 로그를 구문 분석하는 것은 이 문서의 범위를 벗어났습니다.

양방향 보안 정책의 경우 각 방향에 대해 하나씩 정책의 두 인스턴스를 생성합니다.

각 서브넷/엔드포인트에 두 개 이상의 정책을 적용할 수 있으며, 이는 규칙 순서가 동작에 영향을 미친다는 것을 의미합니다. 라우팅 영역, 가상 네트워크, IP 엔드포인트 사이에는 암묵적인 계층이 존재하므로 정책이 다양한 수준의 계층에서 어떻게 적용되는지 고려해야 합니다. 하나의 규칙의 일치 세트에 다른 규칙의 일치 세트(전체 봉쇄)가 포함되어 있으면 규칙이 충돌할 수 있습니다. 규칙을 설정하여 먼저 더 구체적인 규칙("예외" 포커스/모드) 또는 덜 구체적인 우선("재정의" 포커스/모드)을 실행할 수 있습니다.

규칙 간에 완전한 봉쇄 상황이 있지만 작업이 동일할 때도 규칙이 충돌할 수 있습니다. 이 경우 덜 구체적인 규칙을 사용하여 압축될 가능성이 있으며 보다 구체적인 규칙은 "쉐도우" 규칙이 됩니다. 상충하는 규칙이 감지되면 경고를 표시하고 해결 방안을 표시합니다.

상충하는 규칙이 식별되는 몇 가지 사례는 아래에 설명되어 있습니다.

  • IP 주소 쌍이 다르다는 점을 감안할 때 서로 다른 IP 엔드포인트 쌍 간의 정책 규칙(두 쌍 모두에 공통되더라도)은 중복되지 않습니다. 이는 소스 IP/대상 IP 관점(다른 "IP 서명")에서 분리된 일치 집합을 유발합니다.
  • 동일한 IP 엔드포인트 간의 정책 규칙은 필드(예: 대상 포트)와 겹칠 수 있습니다. Apstra 소프트웨어가 이를 확인합니다.
  • 서브넷 쌍이 다르다는 점을 감안할 때 서로 다른 가상 네트워크 쌍(하나의 가상 네트워크가 두 쌍 모두에게 공통되더라도) 정책의 규칙은 겹치지 않습니다. 이는 소스 IP/대상 IP 관점(다른 "IP 서명")에서 분리된 일치 집합을 유발합니다.
  • 동일한 가상 네트워크 간의 정책 규칙은 필드(예: 대상 포트)와 겹칠 수 있습니다. Apstra 소프트웨어가 이를 확인합니다.
  • IP 엔드포인트 그룹을 사용할 때 IP 엔드포인트 쌍 집합이 발생하므로 위의 IP 엔드포인트 쌍과 관련된 논의가 적용됩니다.
  • IP 엔드포인트 한 쌍과 상위 가상 네트워크 쌍 간의 정책 규칙은 IP 서명 관점에서 억제됩니다. Apstra 소프트웨어는 대상 포트/프로토콜이 겹치는 것을 분석하고 이를 완전한 억제 또는 비-억제 충돌로 분류합니다.
  • 한 개 이상의 가상 네트워크가 상위 네트워크가 아닌 가상 네트워크 쌍과 IP 엔드포인트 쌍 간의 정책 규칙(다른 "IP 서명").
  • 한 쌍의 IP 엔드포인트와 IP 엔드포인트 간의 정책 규칙 - 가상 네트워크가 부모인 가상 네트워크 쌍은 IP 서명 관점에서 완전한 억제를 갖습니다. Apstra 소프트웨어가 나머지 필드를 분석합니다.
  • 외부 포인트가 계층적 가정에 구속되지 않기 때문에 외부 IP 엔드포인트 또는 엔드포인트 그룹을 포함하는 정책의 규칙을 IP 서명 관점에서 분석해야 합니다.
  • 라우팅 영역은 가상 네트워크 및 IP 엔드포인트 집합이므로 위의 논의가 적용됩니다.

다음과 같은 경우 보안 정책에서 엔드포인트가 지원되지 않습니다.

  • 소스 포인트는 외부 엔드포인트 또는 외부 엔드포인트 그룹입니다.
  • 대상 지점은 내부(내부 엔드포인트, 내부 엔드포인트 그룹, 가상 네트워크, 라우팅 영역)

구성을 관할할 수 있도록 하려면 분석 관점에서나 결과 구성을 이해할 때 모든 엔드포인트/그룹에 적용할 수 있는 보안 정책의 수를 제한하는 것이 유용할 수 있습니다.

보안 정책 매개 변수

보안 정책에는 다음과 같은 세부 정보가 포함됩니다.

매개 변수 설명
이름 32자 이하, 밑판, 대시, 영숫자 문자만 해당
설명 선택적
사용
  • 보안 정책을 활성화하기 위한 ON(기본)
  • 보안 정책을 비활성화하는 꺼기
태그 선택적
소스 포인트 유형
  • 내부 엔드포인트(VN과 연결됨 - IP/32 주소 포함)
  • 외부 엔드포인트(/32 또는 서브넷 포함)
  • 외부 엔드포인트 그룹
  • 내부 엔드포인트 그룹
  • 가상 네트워크(서브넷 포함)
  • 라우팅 영역(모든 가상 네트워크 및 내부 IP 엔드포인트의 논리적 수집)
소스 포인트
  • 내부 엔드포인트
  • 외부 엔드포인트
  • 외부 엔드포인트 그룹
  • 내부 엔드포인트 그룹
  • 가상 네트워크
  • 라우팅 영역
대상 지점 유형 소스 포인트(이전에 생성)
대상 지점 대상 지점(이전에 생성)
규칙 작업
  • 거부
  • 거부 및 로그
  • 허용
  • 허용 및 로그
규칙 프로토콜
  • Tcp
  • Udp
  • Ip
  • Icmp
소스 포트 TCP 및 IP 프로토콜의 경우
대상 포트 TCP 및 IP 프로토콜의 경우

청사진에서 Staged > 정책 > 보안 정책 > 정책 으로 이동하여 보안 정책으로 이동합니다. 보안 정책을 생성, 복제, 편집 및 삭제할 수 있습니다.

보안 정책 생성

보안 정책을 생성하기 전에 해당 순서대로 라우팅 영역, 가상 네트워크, 엔드포인트 및 엔드포인트 그룹을 만듭니다. 보안 정책을 생성하기 위한 기반입니다.

보안 정책 생성:

  1. 청사진에서 Staged > 정책 > 보안 정책 > 정책으로 이동하고 보안 정책 생성을 클릭합니다.
  2. 이름을 입력하고 정책을 사용하도록 설정하려면 기본값을 둡니다. 그렇지 않으면 활성화된 토글을 클릭하여 비활성화합니다.
  3. 소스 포인트 유형을 선택하고 소스 포인트를 입력합니다.
  4. 대상 포인트 유형을 선택하고 대상 지점을 입력합니다.
  5. 규칙 추가를 클릭한 다음 이름과 (옵션) 설명을 입력합니다.
  6. 드롭다운 목록(거부, 거부, 로그, 허용, 로그)에서 작업을 선택합니다.
  7. 드롭다운 목록(TCP, UDP, IP ICMP)에서 프로토콜을 선택합니다.
  8. TCP 또는 UDP를 선택한 경우 소스 및 대상에 대한 포트(또는 포트 범위)를 입력합니다. (TCP/UDP 포트 별칭을 생성한 경우 드롭다운 목록에 표시됩니다).
  9. 다른 규칙을 추가하려면 규칙 추가를 클릭하고 위와 같이 구성합니다.
    참고:

    규칙 추가 버튼 오른쪽에는 모두 허용을 클릭하여 모두 거부 또는 allowlist-type 정책을 클릭하여 차단 목록 유형 정책을 자동으로 생성할 수 있습니다.
  10. 각 규칙에서 위로 이동 또는 이동 버튼을 클릭하여 규칙 순서를 조정할 수 있습니다.
  11. 생성을 클릭하여 정책을 단계화하고 테이블 보기로 돌아갑니다.

정책 오류

  1. 테이블 뷰의 보안 정책을 확인하여 빨간색으로 강조 표시된 오류를 확인할 수 있습니다.
  2. 세부 정보를 보려면 오류 표시 단추를 클릭합니다.
  3. 오류를 해결하면 정책이 더 이상 빨간색으로 표시되지 않고 오류 필드가 비어 있습니다.

단계적 변경을 활성화하려면 블루프린트에 커밋 합니다.

보안 정책 편집

  1. 왼쪽 탐색 메뉴에서 정책 > staged > 정책 > 정책 > 으로 이동하고 정책을 편집할 편집 버튼을 클릭합니다.
  2. 변경사항을 확인하십시오.
  3. 편집을 클릭하여 변경 사항을 단계화하고 테이블 보기로 돌아갑니다.

보안 정책 삭제

  1. 왼쪽 탐색 메뉴에서 정책 > 정책 > staged > 정책으로 이동하고 정책 삭제 단추를 클릭합니다.
  2. 삭제를 클릭하여 삭제를 단계화하고 테이블 보기로 돌아갑니다.

보안 정책 충돌

블루프린트에서 staged > 정책 > 보안 정책 > 충돌 으로 이동하여 감지된 충돌 항목(규칙 충돌 열)을 확인합니다. 충돌은 가능할 때마다 자동으로 해결됩니다. 기본적으로 보다 구체적인 정책은 덜 구체적인 정책 앞에 적용되지만 이러한 보안 정책 설정을 변경할 수 있습니다. 충돌 세부 정보를 보려면 규칙 충돌 열의 아이콘을 클릭합니다.

충돌이 자동으로 해결되면 AOS에 의해 해결됨이 상태 열에 표시됩니다.

보안 정책 설정

충돌을 해결하는 방법과 트래픽을 허용하거나 거부할지 여부를 구성할 수 있습니다.

  1. 청사진에서 Staged > 정책 > 보안 정책 > 설정으로 이동합니다.
  2. 적절한 옵션을 선택합니다.
    • 충돌 해결
      • 보다 구체적인 우선 - 보다 구체적인 IP 정책이 사용됩니다(기본값)
      • 더 일반적인 우선 - 덜 구체적인 IP 정책 사용
      • 비활성화 - 충돌 해결 비활성화
    • 기본 작업
      • 허용 - 트래픽 허용(기본값)
      • 허용 및 로그 - 트래픽을 허용하고 기록
      • 거부 - 트래픽 거부
      • 거부 및 로그 - 트래픽을 거부하고 기록
  3. 변경 사항 저장을 클릭하여 변경 사항을 단계화합니다.

단계적 변경을 활성화하려면 블루프린트에 커밋 합니다.