Azure Stack HCI의 데이터 센터 방화벽

  • 9분

Azure Stack HCI SDN(소프트웨어 정의 네트워킹) 데이터 센터 방화벽 기능은 잠재적으로 환경의 보안을 강화하는 데 도움이 될 수 있습니다. 데이터 센터 방화벽은 또한 회사의 통합 이니셔티브를 지원하기 위해 하드웨어 장치의 확산을 최소화할 수 있습니다. 데이터 센터 방화벽 기능이 가상 네트워킹 이상으로 확장되어 기존 VLAN(가상 근거리 통신망) 환경과의 통합을 제공하는지 확인해야 합니다.

물리적 방화벽 어플라이언스를 사용하여 네트워크 연결을 제한하는 기존 온프레미스 데이터 센터와 마찬가지로 SDN 환경은 연결을 제어할 수 있어야 합니다. 분산 데이터 센터 방화벽은 이 기능을 제공하며 소프트웨어 부하 분산 및 원격 액세스 서버(RAS) 게이트웨이와 함께 SDN의 핵심 구성 요소 역할을 합니다. 네트워크 컨트롤러는 데이터 센터 방화벽을 위한 중앙 관리 및 모니터링 인터페이스를 제공하여 무단 네트워크 액세스로부터 가상화된 워크로드를 보호합니다.

데이터 센터 방화벽의 이점

기존 방화벽은 일반적으로 북-남 통신이라고 하는 온프레미스 데이터 센터와 인터넷 간의 트래픽을 필터링하여 에지 연결을 대상으로 합니다. 이 접근 방식은 네트워크 경계가 보호 경계만큼 중요하지 않은 오늘날 세계에서 제한적인 보호를 제공합니다.

제로 트러스트 전략에서 의미 있는 보호를 제공하려면 방화벽이 내부 위협으로부터 데이터 센터 내의 리소스를 보호하는 데도 도움이 되어야 합니다. 동-서 트래픽이라고도 하는 온-프레미스 통신을 필터링하기 위해 물리적 방화벽을 사용하는 것은 추가 하드웨어 투자와 운영 오버헤드가 필요하기 때문에 까다롭습니다. 보호되는 모든 트래픽을 별도의 물리적 장치를 통해 라우팅하면 대기 시간이 늘어나 내부 워크로드에 부정적인 영향을 미칩니다.

Azure Stack HCI 내에서 외부 및 내부 트래픽에 적용할 수 있는 가상화된 워크로드의 세분화된 소프트웨어 기반 필터링을 정의할 수 있습니다. 데이터 센터 방화벽은 논리적 네트워크와 가상 네트워크의 ACL(액세스 제어 목록)을 통해 이 필터링을 제공합니다.

Azure Stack HCI 관리자의 경우 데이터 센터 방화벽은 다음과 같은 이점을 제공합니다.

  • 중앙에서 관리할 수 있는 확장성이 뛰어난 소프트웨어 기반 방화벽 솔루션입니다.
  • 방화벽 구성에 영향을 주지 않고 Azure Stack HCI 클러스터 노드 간에 VM(가상 머신)을 이동하는 기능.
  • 게스트 운영 체제에 관계없이 테넌트 VM 보호.

Azure Stack HCI 테넌트의 경우 데이터 센터 방화벽은 다음과 같은 시나리오에서 네트워크 수준 보호를 제공합니다.

  • Azure Stack HCI의 가상 및 논리 네트워크 내의 인터넷 연결 워크로드.
  • Azure Stack HCI의 가상 및 논리 네트워크 서브넷 내부 및 간의 통신.
  • 데이터 센터 네트워크와 Azure Stack HCI에서 호스트하는 테넌트 워크로드 간의 통신.

데이터 센터 방화벽 기능

데이터 센터 방화벽은 5개 매개 변수(원본 및 대상 포트 번호, 원본 및 대상 IP 주소, 프로토콜)를 조합하여 필터링을 지원하는 네트워크 레이어의 상태 저장 다중 테넌트 방화벽입니다. 데이터 센터 방화벽은 VM 네트워크 인터페이스, 논리 네트워크 서브넷 또는 가상 네트워크 서브넷 수준에서 적용할 수 있는 정책과 함께 분산 방화벽으로 구현됩니다.

외부 네트워크와 내부 네트워크 모두에서 가상화된 워크로드 간의 트래픽을 제한할 수 있습니다. 네트워크 컨트롤러는 Hyper-V 호스트로 작동하는 Azure Stack HCI 클러스터 노드의 가상 스위치 포트에 방화벽 정책을 적용합니다. 이러한 정책은 VLAN 기반 네트워크에 연결된 Azure Stack HCI 워크로드를 지원합니다.

데이터 센터 방화벽 기반 트래픽 필터링을 구현하려면 네트워크 컨트롤러의 REST(Representational State Transfer) API와의 통신을 지원하는 관리 도구를 사용하여 방화벽 정책을 정의합니다. 이러한 도구에는 PowerShell, Windows Admin Center 및 Microsoft System Center VMM(Virtual Machine Manager)이 포함됩니다.

클러스터 노드 간에 VM을 이동하면 규칙이 자동으로 업데이트됩니다. 또한 네트워크 컨트롤러는 로컬 구성 변경으로 인해 정의한 정책과의 편차를 자동으로 수정합니다. 이 프로세스는 이식성을 촉진하고 방화벽 기반 보호가 일관성을 유지하도록 합니다.

다음 다이어그램은 네트워크 컨트롤러가 분산 방화벽과 작동하는 방식을 보여줍니다. 데이터 센터 방화벽은 정책을 사용하여 VM을 보호하는 방화벽을 관리합니다.

Diagram depicting Network Controller with Distributed Firewall. Distributed Firewall is using policies to administer firewalls protecting VMs.