방화벽 관리 재조정

CNAF(Compute Application Network Firewall)를 위한 셀프 서비스 관리

이 문서에서는 조직 내에서 사용 중인 모든 컴퓨팅 방화벽(CNAF)에 액세스하고 업데이트하는 방법을 안내합니다.

개요

CNAF는 Rescale 호스팅 방화벽 서비스로, Compute Network Application Firewall의 약자입니다. 하나 이상의 컴퓨팅 리전에서 Rescale 작업 및 워크스테이션을 실행하는 데 엄격한 보안 네트워크 제한이 있는 고객을 위해 설계되었습니다. CNAF는 Rescale 제어 플레인과 관리형 컴퓨팅 리전 간의 네트워크 트래픽을 허용하므로 작업이 문제없이 실행되고 Rescale 스토리지 및 Rescale과 같은 다른 Rescale 서비스에 액세스할 수 있습니다. 라이센스 서비스(회사 라이선스 프록시 및 라이선스 호스팅). Rescale VPN 서비스를 사용하는 고객의 경우, 내부 개인 경로는 CNAF 방화벽 서비스 뒤에서 계속 작동합니다. 

기본적으로 컴퓨팅 경계 외부의 다른 모든 네트워크 트래픽은 CNAF에 의해 차단됩니다. 여기에는 작업 간의 네트워크 트래픽이 포함됩니다. 클러스터 or 워크 스테이션 공용 인터넷, 그리고 작업 클러스터 또는 워크스테이션과 사용자의 로컬 온프레미스 데스크톱 컴퓨터 간의 네트워크 트래픽. 다음 다이어그램은 Rescale 환경 내에서 CNAF 방화벽 서비스가 작동하는 방식을 보여줍니다.

동일한 컴퓨팅 지역에 CNAF가 있는 특정 작업을 실행하기 위해 인터넷에 대한 외부 네트워크 액세스가 필요한 경우, 고객은 CNAF의 허용 목록 항목을 업데이트하여 IP 주소 또는 도메인 이름 등 지정된 위치로의 컴퓨팅 네트워크 트래픽을 허용할 수 있습니다. 항목 업데이트는 조직에 존재하는 모든 CNAFS에 적용됩니다.  


CNAF 관리 페이지는 조직 관리자만 접근할 수 있습니다. 관리자 페이지에서 요청된 CNAF 업데이트는 보안상의 이유로 Rescale 직원이 먼저 검토한 후 적용됩니다. 정규 업무 시간 동안 제출된 CNAF 업데이트 요청을 검토하고 승인하는 데 걸리는 시간은 일반적으로 1시간 이내입니다. 허용되는 허용 목록 값에는 IP CIDR 범위, 정규화된 도메인 이름(FQDN), 그리고 ''와 같은 도메인에 대한 기본 정규 표현식 사용이 포함됩니다.*’, [a-z], [0-9]*등. 다음으로 시작하는 직접 URL 값 https:// 지원되지 않습니다.

Rescale의 CNAF 서비스 사용의 이점

컴퓨팅 리전을 위한 Rescale 호스팅 방화벽 솔루션은 기존 제품 플랫폼 인프라의 작업 및 워크스테이션에 완벽하게 통합됩니다. CNAF 관리는 기존 관리 포털에서 제공되므로 별도의 애플리케이션을 설치하고 실행할 필요가 없습니다. 새로운 작업과 워크스테이션은 수동 구성 설정 없이 CNAF 경계 내에서 작동하도록 동적으로 구성됩니다. Rescale 방화벽 서비스를 관리하는 데 네트워킹 전문 지식이나 특별한 CSP 클라우드 관리자 권한이 필요하지 않습니다. 새로 제출된 모든 작업과 워크스테이션에 대해 내부 Rescale 제어 평면에 대한 최소 필수 연결이 보장되므로 원활하고 투명한 실행이 가능합니다. HPC 작업량

Rescale 관리자는 외부 IT 조직이나 네트워크 팀에 요청을 제출할 필요 없이 지속적인 CNAF 조정 및 업데이트를 수행할 수 있습니다. 여러 CNAF는 Rescale 관리 포털에서 중앙에서 관리됩니다. 방화벽 업데이트에 대한 변경 내역은 CNAF 관리 페이지에서 쉽게 확인할 수 있습니다. 모든 CNAF 인스턴스는 다음과 같이 구성됩니다. 고 가용성 지속적으로 모니터링됩니다. Rescale은 사용 중인 모든 CNAF 서비스에 대한 소프트웨어 업데이트와 24시간 연중무휴 지원을 제공합니다.

새로운 CNAF 프로비저닝

Rescale에서 제공하는 CNAF 서비스는 선택 사항이며, 별도 가격이 책정됩니다. CNAF 가격은 구축된 장치 수, 고객 환경의 복잡성, 그리고 제공되는 서비스 수준에 따라 결정됩니다. 고객은 관리 포털을 통해 새로운 CNAF를 프로비저닝할 수 없으며, 사전에 Rescale에 요청하여 구매해야 합니다. 하나 이상의 CNAF가 구성되고 사용 가능해지면, 고객은 통합 메뉴의 방화벽 관리 페이지에서 사용 가능한 모든 CNAF를 확인하고 관리할 수 있습니다.

새로운 CNAF 방화벽 서비스를 요청하기 위한 최선의 준비를 위해 다음 정보를 준비해 주세요.

  • Python 라이브러리, Linux 유틸리티 등 작업 및 워크스테이션과 함께 사용할 것으로 예상되는 알려진 패키지나 기타 인터넷 다운로드를 나열하세요.
  • Rescale 환경에 기존 회사 사설 네트워크(CPN)가 이미 있습니까? Rescale 환경 내의 CPN은 CSP 사설 네트워크(예: AWS VPC 또는 Azure V넷.
  • 귀하의 Rescale 조직은 어떤 지역 플랫폼에서 호스팅되고 있습니까? (아메리카, 유럽, 일본, 한국 또는 ITAR)
  • CNAF 적용이 필요한 컴퓨팅 리전은 몇 개입니까? CSP 제공업체와 CSP 리전 이름(예: "AWS/us-east-1"또는"Azure/southcentralus".
  • 작업이나 워크스테이션에서 발생하는 아웃바운드 네트워크 트래픽에 허용되는 모든 IP 주소와 도메인 값 목록을 제공하세요.
  • 귀사에서는 NAT(네트워크 주소 변환) 게이트웨이를 사용하시나요?
  • 회사 라이선스 프록시(CLP) 및 라이선스 호스트(LH) 등 사용 중인 Rescale 라이선스 서비스를 나열해 주세요.

CNAF 관리

CNAF 관리자 페이지는 관리 포털 내에 있습니다. CNAF를 보고 관리하려면 조직 관리자 권한이 있어야 합니다. 이 권한은 다음 사용자에게 제공되지 않습니다. 작업 공간 관리자. "통합" 메뉴로 이동한 다음 "방화벽"을 선택하세요.

CNAF 관리 페이지에는 4개의 섹션이 있습니다.

  • 방화벽 배포 세부 정보
    • 이는 CSP 지역별로 배포된 개별 CNAF 목록입니다.
  • IP 허용 목록
    • 이는 컴퓨팅 네트워크 트래픽에 허용되는 IP 값 또는 CIDR 범위 목록입니다.
  • 도메인 허용 목록
    • 이는 컴퓨팅 네트워크 트래픽에 허용되는 도메인 값 목록입니다.
  • 최근 업데이트
    • 이는 CNAF 허용 목록 값에 대한 최근 관리 변경 사항 목록입니다.

배포 세부 정보 섹션

조직 내에 배치된 각 CNAF는 관리 페이지의 첫 번째 섹션에 나타납니다.

배포된 CNAF 목록에서 총 개수, 적용 대상 컴퓨팅 리전, 그리고 활성화 상태를 확인할 수 있습니다. 이 관리 페이지에서는 새로운 CNAF를 생성할 수 없습니다. 새로운 CNAF를 사용하려면 Rescale에 문의하세요.

CNAF를 일시적으로 비활성화하면 방화벽의 네트워크 트래픽 차단이 일시 중단됩니다. 이는 CNAF가 제거되거나 종료되는 것이 아닙니다. CNAF를 비활성화하면 해당 컴퓨팅 리전의 모든 네트워크 트래픽이 실제로 통과하게 됩니다. 페이지 하단의 "최근 업데이트" 섹션에서 CNAF 일시 중단 요청을 취소할 수 있습니다.

IP 허용 목록 섹션

CNAF 관리 페이지의 다음 섹션은 IP 허용 목록 테이블입니다. 이 값은 조직 내 배포된 모든 CNAF에 동기화되므로 각 CNAF를 개별적으로 업데이트할 필요가 없습니다. 조직 관리자는 IP 허용 목록에 항목을 추가하거나 제거할 수 있으며, 새 항목에 대한 간략한 설명을 제공할 수 있습니다.

IP 허용 목록에서 기존 값을 제거하려면 "삭제" 버튼을 클릭하세요. IP 허용 목록에 새 값을 추가하려면 "항목 추가" 버튼을 클릭하세요. 변경했지만 제출하지 않은 내용은 "삭제 취소" 또는 "추가 취소" 버튼을 선택하여 취소할 수 있습니다. 허용 목록에 추가된 모든 IP 값은 IP CIDR 표기법을 따라야 합니다. 허용 목록에 단일 IP 주소를 지정하려면 값 뒤에 "/32” . 유효한 예시 항목은 “162.194.16.4/32".  

기존 항목을 삭제하고 새 항목을 추가하기 위해 IP 허용 목록 테이블을 업데이트하는 예는 다음과 같습니다.

IP 허용 목록 테이블 변경을 완료하면 "IP 허용 목록 업데이트 요청"을 클릭하여 제출할 수 있습니다. 이렇게 하면 Rescale에서 검토할 수 있도록 업데이트가 제출됩니다. 보안상의 이유로 모든 방화벽 업데이트는 요청된 업데이트를 적용하기 전에 Rescale에서 내부적으로 검토합니다.

제출한 업데이트가 검토 대기 중인 동안 IP 허용 목록에 대한 업데이트가 다음과 같이 표시됩니다.

  • 제거한 항목의 상태 값은 "삭제 보류"입니다.
  • 추가한 항목의 상태 값은 "추가 보류"입니다.

변경 사항이 적용되기 전에는 언제든지 업데이트 요청을 취소할 수 있습니다. IP 허용 목록에 보류 중인 변경 사항이 있는 경우, 이전에 제출한 변경 사항이 적용되거나 업데이트 요청을 취소할 때까지 추가 업데이트를 할 수 없습니다. 보류 중인 업데이트 요청을 취소하면 허용 목록 항목이 이전 상태로 재설정됩니다.

도메인 허용 목록 섹션

CNAF 관리 페이지의 다음 섹션은 도메인 허용 목록 테이블입니다. 이 값은 조직 내 배포된 모든 CNAF에 동기화되므로 각 CNAF 인스턴스를 개별적으로 업데이트할 필요가 없습니다. 조직 관리자는 도메인 허용 목록에 항목을 추가하거나 제거하고, 새 항목에 대한 간략한 설명을 제공할 수 있습니다.


도메인 허용 목록에서 기존 값을 제거하려면 "삭제" 버튼을 클릭하세요. 도메인 허용 목록에 새 값을 추가하려면 "항목 추가" 버튼을 클릭하세요. 변경했지만 제출하지 않은 내용은 "삭제 취소" 또는 "추가 취소" 버튼을 선택하여 취소할 수 있습니다. 허용 목록에 추가된 모든 도메인 값은 허용되는 도메인 이름 형식을 따라야 합니다. "https://" 예를 들어.

기본 정규 표현식을 도메인 이름 값과 결합하여 사용하면 단일 항목으로 여러 값을 일치시킬 수 있습니다.

  • abcdefg-[0-9]*.blob.core.windows.net

아래는 여러 하위 도메인과 일치하는 2차 도메인과 정규 표현식을 결합하여 도메인 허용 목록을 업데이트하는 예입니다.

항목 *.orgname.org 다음 샘플 하위 도메인이 존재하는 경우 일치합니다.

도메인 허용 목록 테이블 변경을 완료하면 "도메인 허용 목록 업데이트 요청"을 클릭하여 제출할 수 있습니다. 이렇게 하면 Rescale에서 검토할 수 있도록 업데이트가 제출됩니다. 보안상의 이유로 모든 방화벽 업데이트는 요청된 업데이트를 적용하기 전에 Rescale에서 내부적으로 검토합니다.

제출한 업데이트가 검토 대기 중인 동안 도메인 허용 목록에 대한 업데이트가 다음과 같이 표시됩니다.

  • 제거한 항목의 상태 값은 "삭제 보류"입니다.
  • 추가한 항목의 상태 값은 "추가 보류"입니다.

변경 사항이 적용되기 전에는 언제든지 업데이트 요청을 취소할 수 있습니다. 도메인 허용 목록에 보류 중인 변경 사항이 있는 경우, 이전에 제출한 변경 사항이 적용되거나 업데이트 요청을 취소할 때까지 추가 업데이트를 할 수 없습니다. 보류 중인 업데이트 요청을 취소하면 허용 목록 항목이 이전 상태로 재설정됩니다.

IP 및 도메인 값에 대한 두 개의 허용 목록 테이블은 개별적으로 업데이트할 수 있습니다.

최근 업데이트 섹션

조직 내 CNAF에 대한 최신 업데이트를 최대 10개까지 볼 수 있습니다. 여기에는 제출되었지만 보류 중인 변경 사항도 포함됩니다. 각 업데이트 항목에는 변경 날짜, 변경 요청자 및 현재 상태가 포함됩니다. 아래는 Rescale의 승인을 기다리는 보류 중인 최근 제출된 업데이트의 예입니다.

요청된 업데이트가 적용된 후 최근 업데이트 섹션에서 상태가 "보류 중"에서 "적용됨"으로 변경되는 것을 확인할 수 있습니다.

알려진 제한 사항

  • 현재 새로운 CNAF 생성은 자동화되지 않습니다. 새로운 CNAF 요청은 Rescale에 직접 제출해 주세요.
  • 도메인 목록 항목은 URL 값이 아닌, 정규화된 도메인 이름이어야 합니다.
  • 도메인 목록 항목의 경우 CNAF를 사용할 경우 HTTPS 트래픽만 허용됩니다. 다른 모든 트래픽은 삭제됩니다.
  • CNAF 허용 목록 항목을 업데이트하기 위해 제출된 요청은 자동으로 적용되지 않습니다. 먼저 Rescale에서 검토하여 승인합니다.
  • 때로는 UI 페이지를 자동으로 새로 고치기 위해 업데이트 요청이 지연되는 경우가 있습니다.
  • CNAF는 Rescale 고도 규정 준수 플랫폼(FedRAMP 및 IL5)에서는 제공되지 않습니다.

×