NVA란?
NVA(네트워크 가상 어플라이언스)는 다음과 같은 다양한 계층으로 구성된 가상 어플라이언스입니다.
- 방화벽
- WAN 최적화 프로그램
- 애플리케이션 전송 컨트롤러
- 라우터
- 부하 분산 장치
- IDS/IPS
- 프록시
Azure Marketplace 공급자에서 선택한 NVA를 배포할 수 있습니다. 공급자에는 Cisco, Check Point, Barracuda, Sophos, WatchGuard, SonicWall이 포함됩니다. NVA를 사용하여 가상 네트워크에 대한 인바운드 트래픽을 필터링하고 악의적인 요청이나 예기치 않은 리소스에서 발생한 요청을 차단할 수 있습니다.
소매 조직 예제 시나리오에서는 보안 및 네트워크 팀과 함께 작업해야 합니다. 들어오는 모든 트래픽을 조사하고 허가되지 않은 트래픽이 내부 네트워크에 전달되지 않도록 차단하는 보안 환경을 구현하려고 합니다. 또한 회사의 네트워크 보안 전략의 일환으로 가상 머신 네트워킹과 Azure 서비스 네트워킹을 모두 보호하려고 합니다.
목표는 원하지 않거나 보안이 설정되지 않은 네트워크 트래픽이 주요 시스템에 도달하지 못하도록 방지하는 것입니다.
네트워크 보안 전략의 일환으로 가상 네트워크 내에서 트래픽 흐름을 제어해야 합니다. 또한 NVA의 역할 및 NVA를 사용하여 Azure 네트워크를 통해 트래픽 흐름을 제어하는 이점을 알아야 합니다.
네트워크 가상 어플라이언스
NVA(네트워크 가상 어플라이언스)는 라우팅을 제어하여 네트워크 트래픽 흐름을 제어하는 가상 머신입니다. 일반적으로 경계 네트워크 환경에서 다른 네트워크 또는 서브넷으로 흐르는 트래픽을 관리하는 데 사용합니다.
방화벽 어플라이언스를 여러 다른 구성의 가상 네트워크에 배포할 수 있습니다. 방화벽 어플라이언스를 가상 네트워크의 경계 네트워크 서브넷에 배치할 수 있으며, 보안을 더 강력하게 제어하려는 경우 마이크로 조각화 방법을 구현할 수 있습니다.
마이크로 조각화 방법을 사용하는 경우, 방화벽의 전용 서브넷을 만들고 웹 애플리케이션과 기타 서비스를 다른 서브넷에 배포할 수 있습니다. 모든 트래픽은 방화벽을 통해 라우팅되고 NVA를 통해 검사됩니다. 가상 어플라이언스 네트워크 인터페이스에서 전달을 사용하도록 설정하여 허용된 트래픽이 적절한 서브넷에 의해 수락됩니다.
마이크로 조각화를 사용하면 방화벽에서 OSI 계층 4 및 애플리케이션 인식 어플라이언스의 경우 계층 7의 모든 패킷을 검사할 수 있습니다. NVA를 Azure에 배포하는 경우 가상 네트워크의 서브넷 간에 요청을 전달하는 라우터 역할을 합니다.
일부 NVA에는 여러 네트워크 인터페이스가 필요합니다. 한 개의 네트워크 인터페이스는 어플라이언스에 대한 관리 네트워크 전용입니다. 추가 네트워크 인터페이스가 트래픽 처리를 관리하고 제어합니다. NVA를 배포한 후에는 적절한 인터페이스를 통해 트래픽을 라우팅하도록 어플라이언스를 구성할 수 있습니다.
사용자 정의 경로
대부분의 환경에서는 Azure를 통해 이미 정의된 기본 시스템 경로만으로도 환경을 시작하고 실행하는 데 충분합니다. 특정한 경우에는 경로 테이블을 만들고 사용자 지정 경로를 추가해야 합니다. 다음은 이러한 템플릿의 예입니다.
- 강제 터널링을 사용하여 온-프레미스 네트워크를 통해 인터넷에 액세스합니다.
- 가상 어플라이언스를 사용하여 트래픽 흐름 제어
Azure에서 여러 경로 테이블을 만들 수 있습니다. 각 경로 테이블은 하나 이상의 서브넷과 연결될 수 있습니다. 서브넷은 단일 경로 테이블에만 연결할 수 있습니다.
고가용성 아키텍처의 네트워크 가상 어플라이언스
NVA를 통해 트래픽이 라우팅된 경우 NVA는 인프라의 중요한 부분이 됩니다. NVA 오류는 서비스의 통신 기능에 직접 영향을 줍니다. NVA 배포에 고가용성의 아키텍처를 포함하는 것이 중요합니다.
NVA를 사용할 때 고가용성을 달성하는 방법에는 여러 가지가 있습니다. 이 모듈 마지막에서 고가용성 시나리오에서 NVA를 사용하는 방법에 대한 자세한 내용을 확인할 수 있습니다.