웨비나속 Q&A

Azure에서 제공하는 기본 정책 이외에 커스텀한 정책 설정을 제공합니다. 또한 로그 관리 방안에서 특정 로그 발생 시 Alert을 받을 수 있도록 자동화도 제안하고 있습니다.

IP를 기준으로 원격 접속 등을 제어 할 수 잇습니다 하기 URL 참고 부탁드리겠습니다 https://docs.microsoft.com/ko-kr/azure/virtual-network/network-security-groups-overview

Azure NSG 설정으로 네트워크 안정성을 높일 수 있으며, Azure Network Watcher 서비스로 알림 및 내용을 확인 할 수 있습니다.

예를 들어서 Azure Policy를 사용하면, 허용되지 않는 운영자의 행위를 제한할 수 있습니다. 한국 이외의 지역에 가상머신을 생성할 수 없도록 제한하는 등의 초치가 이에 해당됩니다.

azure migrate 라는 서비스를 제공합니다. 온프레미스에 성능을 확인하여 Azure에서 최적화된 사양을 확인하실 수 있으며, IaaS의 경우 VM내 정책은 case by case 이지만 기존과 동일하게 진행하게 됩니다. 네트워크 부분은 cloud환경에 맞게 구축게 됩니다.

Azure 랜딩 존은 규모, 보안, 거버넌스, 네트워킹 및 ID를 Azure 환경에 맞추어 환경을 빌드하여 확장 가능한 모듈식 접근 방식을 말합니다. 말씀해주신 것 처럼 기초 작업의 의미로 이해하셔도 됩니다.

[추가질문] 이렇게 만들어진 랜딩존은 추가 확장이나 축소 등의 변경도 가능한 것인가요?

랜딩존은 Cloud 사용을 확장 및 축소가 용이하도록 하기 위해 초기 구축을 진행합니다.

웨비나 후반부에 설명드릴 BluePrint를 보시면 랜딩존 구성 내용 자체를 패키지로 묶어서 버전 관리가 가능합니다. 때문에 관리자는 확장 또는 축소된 랜딩존 버전을 필요에 따라서 클라우드 환경에 적용할 수 있습니다.

랜딩존에서 처리되는 가장 큰 주제는 1. 운영 정책 2. 보안 정책 3. 로그 관리 정도입니다. Azure 랜딩존에서는 국제 표준에 맞는 정책 모음집을 제안받을 수 있고, 이러한 정책들이 제대로 지켜지고 있는지 자동으로 점검되는 장점이 있습니다. 구축 일정은 방금 말씀드린데로, 어떤 정책을 사용할 것인지, 자사의 운영 정책을 클라우드에 맞게 신규로 작성할지 여부에 따라서 결정됩니다. 만약, 클루커스에서 제공하는 기본 랜딩존을 선택하신다면 한달 이내로 구성 가능합니다.

이커머스 사례로는 패션플러스, 랭킹닭컴 등이 있습니다. https://www.cloocus.com/fashionplus/

관리자가 사용하는 CLI명령어는 모두 API로 제공 가능합니다. SIEM, EDR연동시 원하시는 로그포멧을 맞춰서 전송하는 기능레벨까지 지원 가능합니다

아키텍처에 따라 다르겠지만, 일반적으로는 재구성없이 설정변경으로 가능합니다

SSL 를 CPU로 처리하면 Latency가 발생하나 사용자가 서비스 이용에 채감할 정도의 지연은 압니다. 만약 대량의 SSL 서비스를 해야한다면, F5는 SSL Crypto Offloading 기능을 연동하여 SSL 서비스는 Public Cloud, SSL HandShake는 F5 H/W 장비에서 할수 있도록 구성할 수 있습니다

적은 트래픽에서는 괜찮으나 대용량 트래픽에서 SW적으로 하면 문제가 생길 수 있습니다. 기본 권고는 cpu 할당을 충분하게 하는 것을 권고드리며 경우에 따라서 F5에서는 Smartnic을 연동해서 smarnic에 있는 asic에서 ssl을 처리하거나 혹은 F5 VE와 F5 Hardware를 연동해서 ssl 암복호화 속도를 높일 수 있습니다.

클라우드 구성에 따라 다르겠지만 SSL처리에 따른 서비스이슈없이 구성이 가능합니다.

퍼블릭클라우드에서 vm운영시 scaleout되서 vm증가시에도 waf에서 인지하여 보안적용이 가능합니다.

SSL 인증서에 대한 암호화를 말씀 하시는 부분인가요?

fips 140-2 보안레벨의 키 보안을 사용하실수 있습니다.

f5 하드웨어 제품의 경우 FIPS 인증을 받은 제품군이 존재합니다.

최신 버전의 F5의 VM 사용하면 SW에서도 제공가능함을 말씀드립니다