퍼블릭 클라우드 애플리케이션(일명 SaaS)에 접근하기…비공개적으로
소프트웨어 서비스(SaaS) 제공은 모든 산업에서 점점 더 보편화되고 있으며, 조직은 운영 안정성, 비용 투명성, 동적 규모 및 민첩성을 보장하면서 소프트웨어를 활용할 수 있는 더욱 역동적이고 유연한 방법을 모색하고 있습니다.
그러나 타사에서 제공하는 애플리케이션에 대해 살펴보기 전에 사용자가 액세스할 수 있도록 네트워크 연결, 스토리지, 컴퓨팅(인프라 계층), 가상화, 운영 체제, 미들웨어, 런타임 등 애플리케이션이 서비스 계층 내에서 실행될 수 있도록 하는 데 필요한 모든 구성 요소가 필요합니다. 그런 다음에야 RBAC 구성, 사용자 관리 및 최종 사용자에게 애플리케이션 배포의 영역으로 들어가게 됩니다.
또한, 위의 계층 중 다수가 기능 내에서 기반 기술에서 통합 및 중복을 보이는 반면, 조직은 일반적으로 특정 계층을 소유하는 고유한 프로세스를 갖춘 여러 팀을 보유하고 있다는 점도 중요합니다. 대부분의 경우 각 계층에는 여러 팀이 운영됩니다.
이 기사에서는 Thad Széll(UBS의 저명한 엔지니어)과 Nuno Ferreira(Volterra의 현장 CTO)가 제시한 아이디어와 혁신을 설명합니다. 이를 통해 조직은 기존 환경을 손상시키거나 훼손하지 않고 실시간으로 안전하고 개인적인 방식으로 SaaS 애플리케이션을 도입할 수 있습니다. 그들의 초점은 Microsoft Office 365.a에서 시작되었습니다.
우리 모두가 알고 있듯이 SaaS 애플리케이션은 일반적으로 공용 인터넷을 통해 접근하며 여기에서 첫 번째 문제가 발생합니다. 첫 번째 인프라 문제는 이전에는 애플리케이션이 통제되고 주로 정적인 인프라에 있었지만, 이제는 매우 동적이고 특정 엔터티의 통제를 받지 않는 인터넷을 통해 액세스하게 되었다는 사실에서 비롯됩니다.
일부 SaaS 제공업체는 조직이 비공개적으로 연결할 수 있도록 전용 회로(예: Azure는 ExpressRoute를 제공함) 또는 VPN을 제공할 수 있습니다. 이러한 메커니즘을 채택하려면 조직에서 최소한 다음이 필요합니다.
SaaS 공급자와 피어링(네트워크 수준에서)하고 라우팅 관계를 유지합니다. SaaS 공급자의 공용 IP 주소를 회사 네트워크에 주입/광고합니다. 서비스를 엑스트라넷이나 DMZ로 취급하고 세분화 및 보안 수준을 오버레이합니다. SaaS 공급자가 고객에게 VPN 서비스만 제공하는 경우 이 VPN을 구축하고 유지 관리하기 위한 장치가 필요합니다. 이러한 기술은 지연 문제를 해결하지 못한다는 점에 유의하세요.
전방 프록시/NAT 장치를 사용하면 일부 보안 문제는 해결할 수 있지만, 라우팅 문제나 타사 공용 IP 주소를 회사 네트워크에 주입해야 하는 필요성은 해결하지 못합니다.
게다가 SaaS 제공자는 대개 매우 역동적이며, 광고된 주소, DNS 이름 및 게시된 엔드포인트가 매우 정기적으로 변경되기 때문에 피어링/주입/광고 및 보안 제어를 유지하기 위한 운영 메커니즘을 마련해야 합니다.
따라서 라우팅이 필요 없이 포워드 프록시/NAT를 허용하는 솔루션이 더욱 우아하고 필요합니다.
예를 들어 Office 365를 살펴보겠습니다. Microsoft는 Azure를 통해 클라우드 영향력을 확대하고 있으며 Microsoft Application Services도 매일 확장되고 있습니다. 이 플랫폼을 사용하면 대규모 기업이 ExpressRoute라고 불리는 Azure에 대한 비공개적이고 전용의 고속 물리적 링크를 가질 수 있습니다.
따라서 Microsoft는 기업 직원이 이 전용 개인 ExpressRoute 회로를 통해 Office 365에 액세스할 수 있도록 허용하여 위에서 언급한 문제(개인 정보 보호 및 지연 시간 관련 문제)를 해결할 수 있습니다.
Office 365용 ExpressRoute는 많은 인터넷 기반 Office 365 서비스에 대한 대체 라우팅 경로를 제공합니다. Office 365용 ExpressRoute 아키텍처는 인터넷을 통해 이미 액세스할 수 있는 Office 365 서비스의 공용 IP 접두사를 프로비저닝된 ExpressRoute 회로에 광고하여 이후 해당 IP 접두사를 네트워크에 다시 분배하는 방식을 기반으로 합니다. ExpressRoute를 사용하면 Office 365 서비스에 대해 인터넷과 ExpressRoute 등 여러 가지 라우팅 경로를 효과적으로 사용할 수 있습니다. 네트워크의 이러한 라우팅 상태는 내부 네트워크 토폴로지가 설계되고 보안되는 방식에 상당한 변경을 나타낼 수 있습니다.
음, 아마도 그렇게 사적이지는 않을 것 같아요.
아래 그림은 이 시나리오를 나타냅니다.
이 접근 방식은 네트워크 및 보안 팀에 세 가지 뚜렷한 과제를 제시합니다.
네트워크 라우팅 및 NAT 기업 네트워크 인프라 팀은 사용자가 선호하는 경로(ExpressRoute를 통해)를 따를 수 있도록 공개적으로 라우팅 가능한 IP 공간을 회사 네트워크에 주입해야 합니다. 또한, 회사 네트워크가 Microsoft에 노출되는 것을 방지하기 위해 네트워크 팀도 이 Microsoft 네트워크에 대해 NAT를 구현해야 합니다. 이는 Microsoft와 BGP 피어링(NAT와 함께)을 유지하는 데 따른 운영상의 복잡성을 가져올 뿐 아니라, 전용 회로와 핵심 네트워크에 경로가 삽입된 인터넷 모두를 통해 라우팅을 사용할 수 있도록 하는 네트워크 복잡성을 수용하기 위한 신중한 계획이 필요합니다. 보안 변경 관리 Office 365의 주소는 수시로 변경되므로 이러한 변경 사항을 기업의 내부 보안 및 프록시 인프라에 반영해야 합니다. 이렇게 하지 않으면 ExpressRoute 회로가 활성화되었을 때 Office 365 서비스에 대한 연결이 간헐적으로 끊어지거나 완전히 끊어질 수 있습니다. Microsoft는 기업 보안 및 라우팅 어플라이언스에서 기업 보안 및 거버넌스 정책을 시행하기 위해 구성하고 지속적으로 업데이트해야 하는 도메인, IP 주소 및 TCP/UDP 포트 목록을 제공하는 포괄적이고 정기적으로 업데이트되는 문서(및 REST API)를 제공합니다. 운영 및 보안 가시성 NAT 장치에서는 애플리케이션에 대한 가시성이 거의 또는 전혀 없습니다. 그러면 아무것도 충분하지 않을 때 우리는 어떻게 이 시나리오에 접근했을까?
우리는 직원들에게 Office 365 및 관련 애플리케이션 서비스에 액세스할 수 있는 ExpressRoute 연결의 이점을 제공하면서도 복잡한 네트워크 인프라와 보안 정책을 관리할 필요성을 제거하는 우아한 솔루션을 찾아냈습니다.
Volterra의 통합 네트워크 및 보안 스택에는 이러한 요구 사항을 해결하기 위한 프로그래밍 가능한 프록시 및 부하 분산 기능이 있는 애플리케이션 라우터가 포함되어 있습니다. 이러한 기능 외에도 Volterra는 기업이 제로 트러스트 보안으로 발전할 수 있는 간단한 경로를 제공합니다.
높은 수준에서 Enterprise는 ExpressRoute 라우터와 피어링되는 Volterra Application Gateway 클러스터를 보유하게 되며, Microsoft는 이를 통해 Office 365 경로/서비스를 제공합니다. Volterra Application Gateway는 이 라우터를 통해 Office 365 엔드포인트를 자동으로 검색하여 기업이 해당 라우터에서 Office 365 서비스에 액세스할 수 있도록 합니다. 이러한 혁신을 통해 운영자는 동적 구성을 인프라의 규칙으로 변환하기 위해 또 다른 프로세스를 관리할 필요성을 제거할 수 있습니다. Volterra Gateway Auto-Discovery 혁신을 통해 클라이언트는 요청의 대상을 지속적으로 변경할 수 있으며, 게이트웨이는 들어오는 모든 요청에 대해 자동 검색 및 TLS 무결성을 트리거합니다.
솔루션의 두 번째 부분은 엔터프라이즈 네트워크 내의 Microsoft 공개 경로를 광고하지 않고도 이러한 서비스를 기업 사용자에게 공개하는 것입니다. 이는 두 가지 방법으로 달성할 수 있습니다.
첫 번째 방법은 ExpressRoute 회로를 통해 Azure의 Volterra Application Gateway 클러스터에서 직접 이 작업을 수행하는 것입니다. Azure의 Volterra Application Gateway 클러스터의 IP 주소만이 엔터프라이즈 네트워크에 IP를 주입할 수 있습니다. 설명을 위해 게이트웨이가 Azure에 있지만 다음 2가지 조건이 충족되는 한 어디에나 위치할 수 있다고 가정하겠습니다. a. 사용자는 게이트웨이에 접근하여 트래픽을 보낼 수 있습니다(또는 게이트웨이가 트래픽을 가로챌 수 있음) 게이트웨이는 Office 365 엔드포인트가 위치하거나 검색 가능한 Express Route 회로에 연결됩니다. 두 번째 방법은 회사 구내(및 개인 DC)에 Volterra Application Gateway 클러스터를 하나(또는 여러 개) 추가하는 것입니다. 그런 다음 온-프레미스 애플리케이션 게이트웨이 클러스터에서 검색된 Office365 엔드포인트 서비스를 노출하기 위한 정책을 구성합니다. 이러한 엔드포인트는 Azure Cloud에 있는 Volterra Application Gateway를 통해 검색됩니다(첫 번째 부분에서 설명). 또한, 기업 운영 팀은 모든 트래픽을 암호화하는 동시에 추가적인 보안 및 인증 정책을 구성할 수 있습니다. 아래 그림은 이러한 시나리오를 나타냅니다.
Volterra 애플리케이션 게이트웨이 클러스터는 또한 자동 크기 조정 기능을 구현합니다. 즉, 하나의 게이트웨이가 특정 임계값을 넘으면 다른 게이트웨이를 실행하여 클러스터에 추가합니다.
기업 네트워크, 보안 및 운영 팀에 상당한 이점을 제공하는 Volterra 솔루션의 다른 기능은 다음과 같습니다.
중앙 집중화된 정책과 SaaS 기반 관리를 통한 운영 단순성 프로그래밍 가능한 데이터 플레인을 통한 통합/통합 프록시, 보안 및 라우팅 세부적이고 풍부한 가시성, 로깅 및 애플리케이션 사용 및 액세스 메트릭 단순성과 운영적 우수성을 달성함으로써 이 솔루션은 UBS와 유사한 목표를 달성하려는 조직에 대한 진정한 답이라고 믿습니다.이 솔루션은 Office 365와 같은 SaaS 서비스에 대한 개인 액세스를 회사 네트워크를 "공용 네트워크에 사용 가능하게 하거나 심지어 그 일부로 만들 필요 없이" 사용할 수 있도록 보장할 수 있습니다.