프라이빗 클라우드 보안 엔드포인트 사용 설명서

소개

이 문서에서는 에어 갭(air-gapped) 보안 엔드포인트 프라이빗 클라우드를 최신 버전으로 업그레이드하는 프로세스에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• protectDB를 가져오지 않고 3.0.2 버전의 보안 엔드포인트 VPC
• VPC에 연결된 약 1TB의 SSD 
• 윈도우 10 시스템 업데이트/업그레이드 ISO를 생성하려면 amp-sync 유틸리티가 설치된 Cygwin을 사용합니다. 
• 선택 사항: WinSCP는 ISO를 창 시스템에서 Secure Endpoint Appliance 또는 Secure Endpoint VPC로 전송합니다(또는 Secure Endpoint Appliance의 CIMC 액세스를 통해 ISO를 Secure Endpoint Appliance에 마운트할 수 있음).
• mount, umount, df, lsblk 와 같은 Linux 파일 시스템 및 명령에 대한 기본 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Secure Endpoint VPC 버전 3.0.2 
• 윈도우 10 VM 
• WinSCP 
• amp-sync 유틸리티는 Secure Endpoint Appliance 또는 VPC 관리 GUI의 Operation(작업) > Update Device(디바이스 업데이트)에서 다운로드할 수 있습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

절차

1단계. 업데이트 ISO 다운로드

windows 및 Linux 플랫폼에서 amp-sync 툴을 사용하여 필요한 패키지를 다운로드하고 ISO 파일에 번들로 구성합니다.

참조 문서: https://docs.amp.cisco.com/AMPPrivateCloudAdminGuide-latest.pdf

Windows의 경우: 

1. https://cygwin.com/index.html에서 Cygwin 애플리케이션 다운로드

참고: Cygwin은 Windows 시스템용 타사 애플리케이션입니다.

2. 설치를 시작하고 Cygwin에서 curl, genisoimage 및 xmlstarlet의 패키지를 선택합니다.

3. 이미지에 표시된 대로 Secure Endpoint VPC admin(보안 엔드포인트 VPC 관리) 페이지에서 amp-sync 스크립트를 다운로드합니다. Operations(작업) > Update Device(디바이스 업데이트)

4. 디렉터리에 amp-sync를 복사합니다.

C:\cygwin\home\%username%\   
Example: C:\cygwin64\home\
     
     
       -amp-window 
     

이 시나리오에서는 Cygwin64를 사용하여 업데이트/업그레이드 ISO를 생성했습니다.

5. amp-sync 옵션 목록을 보려면 다음 명령을 실행합니다.

./amp-sync -h

6. 모든 업데이트를 다운로드하고, 확인하고, ISO에 패키지하려면 다음 명령을 실행합니다.

./amp-sync all  

 

   

7. 필요한 패키지 및 업데이트를 모두 다운로드한 후 ISO가 생성되고 C:\cygwin\home\%username%\\에 저장됩니다.

C:\cygwin\home\%username%\

     

   

Linux(CentOS)용

1. EPEL 보고서 다운로드:

wget http://download.fedoraproject.org/pub/epel/6/x86_64/epelrelease-6-8.noarch.rpm

a. URL이 작동하지 않으면 대체 URL을 사용합니다.

https://centos.pkgs.org/6/centos-extras-i386/epel-release-6-8.noarch.rpm.html

b. cmd에 EPEL을 설치할 수도 있습니다.

yum install epel-release

2. yum을 통해 다른 종속성을 설치합니다.

yum install curl
yum install genisoimage
yum install xmlstarlet

3. 프라이빗 클라우드 디바이스에서 amp-sync를 다운로드하고 업데이트 호스트에 전송합니다. 업데이트 호스트에서 다음 명령을 실행합니다.

chmod 700 amp-sync

         

4. amp-sync 옵션 목록을 보려면 다음 명령을 실행합니다.

./amp-sync -h

5. 모든 업데이트를 다운로드하고, 확인하고, ISO에 패키지하려면 다음 명령을 실행합니다.

./amp-sync all

2단계. 백업 생성

1. Air-Gap Mode에서 현재 프라이빗 클라우드의 백업을 만듭니다.

[root@fireamp ~]# rpm -qa | grep Pri
AMP-PrivateCloud-content-3.0.2.20181206114527-0.x86_64
AMP-PrivateCloud-V-3.0.2_1544122167-0.x86_64
[root@fireamp ~]#

2. 이미지에 표시된 대로 작업 > 백업으로 이동합니다.

     

백업 파일은 다음 디렉토리에서 찾을 수 있습니다.

[root@fireamp ~]# ll -h /data/backups/
total 4.9G
-rw-r--r--. 1 root root 707M Nov 10 00:00 amp-backup-20201110-0000.02.bak
-rw-r--r--. 1 root root 707M Nov 11 00:00 amp-backup-20201111-0000.02.bak
-rw-r--r--. 1 root root 707M Nov 12 00:00 amp-backup-20201112-0000.02.bak
-rw-r--r--. 1 root root 707M Nov 13 00:00 amp-backup-20201113-0000.02.bak
-rw-r--r--. 1 root root 707M Feb 21 00:00 amp-backup-20210221-0000.02.bak
-rw-r--r--. 1 root root 707M Mar  3 02:32 amp-backup-20210303-0232.09.bak
-rw-r--r--. 1 root root 707M Mar  4 00:00 amp-backup-20210304-0000.03.bak
[root@fireamp ~]#
[root@fireamp ~]#

3. 백업 파일을 외부 저장소에 저장합니다.

4. VPC Secure Endpoint Appliance가 하드웨어 요구 사항을 충족하는지 확인합니다.

다음 예에서는 이미지에 표시된 대로 Administration Portal 페이지에서 크기 조정 알림을 보여줍니다.

3단계. ISO 마운트

가상 프라이빗 클라우드

A. vSphere를 통해 ISO 마운트

1. VM에서 액세스할 수 있는 vSphere의 스토리지에 ISO 파일을 업로드합니다.

2. VM으로 이동하여 설정 편집 메뉴를 엽니다.

3. CD/DVD 드라이브 1의 오른쪽 드롭다운 메뉴에서 데이터 저장소 ISO 파일로 전환합니다.

4. 1단계에서 vSphere에 업로드한 ISO 파일로 이동하여 선택합니다.

5. ISO 파일을 선택한 후에는 데이터 저장소 ISO 파일 드롭다운 옆에 있는 연결된 상자 및 상태 오른쪽에 있는 전원 켜짐 상자에 연결되었는지 확인합니다. 확인을 눌러 ISO 마운트를 확인합니다.

6. 프라이빗 클라우드 어플라이언스에 SSH를 입력한 후 다음을 실행합니다.

amp-ctl iso -m

7. amp-ctl iso -i를 사용하여 ISO 마운트 정보를 다시 확인합니다. 이 정보는 /dev/sr0에서 ISO를 찾을 수 있음을 나타내야 합니다.

lsblk 명령을 사용하여 다시 확인합니다.

공격 전:

이후:

8. 이제 어플라이언스의 업그레이드 및 업그레이드를 확인할 수 있습니다.

B. NFS를 통해 ISO 마운트

참고: Private Cloud Standalone Air Gap 소프트웨어 버전 3.3 이상에서 지원되고 권장되는 방법입니다. 

1. NFS 서버에 ISO 파일 업로드

2. 관리 포털 또는 원격 셸을 통해 ISO를 마운트합니다

    a. [Preferred Method] Through the Administration Portal: Operations(운영) > Mount ISO(ISO 마운트)로 이동합니다. 이미지에 표시된 대로 Mount Type(마운트 유형)을 선택하고 Remote Share(원격 공유) 및 Remote ISO File(원격 ISO 파일) 정보를 입력한 다음 Mount(마운트)를 클릭합니다.

    b. Through Remote Shell(원격 셸을 통해): 셸을 열고 Private Cloud Appliance에 원격으로 연결합니다. amp-ctl iso -m -t <type> <file_server_uri> <iso_file>을 실행합니다. 여기서 type은 nfs3 또는 nfs4이고 file_server_uri는 원격 공유 uri이고 iso_file은 ISO 파일 이름입니다. 예를 들면 다음과 같습니다.

이제 어플라이언스에서 업데이트를 확인할 수 있습니다.

프라이빗 클라우드 어플라이언스(하드웨어)

1. Secure Endpoint Private Cloud Appliance가 있는 경우 이미지에 표시된 대로 CIMC 액세스를 통해 ISO를 마운트할 수도 있습니다.

2. 원격 셸에 amp-ctl iso -m을 사용하여 ISO를 마운트하거나 NFS를 통해 ISO 마운트에 설명된 대로 관리 포털 마운트 ISO 페이지를 통해 마운트합니다.

4단계. 프라이빗 클라우드 업그레이드

1. Check Update ISO(ISO 업데이트 확인) 버튼을 클릭합니다.

사용 가능한 콘텐츠 및 소프트웨어 업데이트를 표시하도록 페이지가 업데이트됩니다.

2. 내용 갱신 버튼을 클릭합니다.

3. 다음으로 보호 DB를 가져옵니다. 

4. 소프트웨어 업데이트를 진행합니다. 

[root@fireamp ~]# rpm -qa | grep -i Priv
AMP-PrivateCloud-V-3.3.0_202102032120-0.x86_64
AMP-PrivateCloud-content-20210228231625-0.x86_64
[root@fireamp ~]#

참고: 업데이트 ISO의 크기가 약 280G이므로 디스크 공간 소모를 방지하기 위해 VPC에 대한 외부 드라이브가 추가/마운트되고 업데이트 ISO로 전송되었습니다.

5단계. 델타 업데이트

1. Protect DB and Content에서 델타 업데이트를 다운로드하려면 Private Cloud Appliance에 현재 Protect DB 버전이 설치되어 있어야 합니다. 이 정보는 Opadmin Portal(Opadmin 포털) > Update Device(디바이스 업데이트)에서 확인할 수 있습니다.

2. 이 예의 설치된 Protect DB 버전은 20210405-2045입니다. 다음 명령에서 해당 버전을 사용하십시오.

./amp-sync all -X -M 20210405-2045

amp-sync 명령의 기본 디렉토리는 /home/<user>/amp-sync-data입니다.  이는 export AMP_SYNC_DATA_DIR=<target directory>명령을 통해 변경할 수 있습니다.

a. ISO를 다른 디렉토리에 저장하려면 출력 옵션을 사용합니다.

./amp-sync all -X -M 20210405-2045 -o /run/media/pc_protectdb/pc_delta.iso

레거시 ISO 마운트 지침 

가상 프라이빗 클라우드

1. amp-sync로 생성된 최신 ISO를 /data/tmp 디렉토리로 전송합니다.

참고:업그레이드 프로세스는 시간이 걸릴 수 있으므로 네트워크 불안정으로 인한 중단을 방지하려면 VPC에 로컬로 연결된 USB 또는 HDD를 사용하거나 ISO를 지정된 경로로 전송하는 것이 좋습니다. 

2. ISO 파일을 /데이터/업데이트 경로에 마운트합니다.

mount /data/tmp/
     
     
       /data/updates/ 
     

예를 들면 다음과 같습니다.

mount /data/tmp/PrivateCloud-3.0.2-Updates-2021-03-01-prod.iso /data/updates/

공격 전:

이후:

프라이빗 클라우드 어플라이언스

A. SCP를 통해 ISO 마운트

1. SCP가 있는 어플라이언스에 ISO를 복사합니다.

scp PrivateCloud-3.1.0-Updates-2020-08-12-qa.iso  root@
     
     
       :/other 
     

2. 어플라이언스 콘솔에 로그인하고 ISO를 /데이터/업데이트 및/데이터/iso에 마운트합니다.

[root@fireamp ~]# mount -o loop -r -t udf /other/PrivateCloud-3.1.0-Updates-2020-08-12-qa.iso /data/updates
[root@fireamp ~]# mount -o loop -r -t udf /other/PrivateCloud-3.1.0-Updates-2020-08-12-qa.iso /data/iso

3. 갱신을 수행할 관리 포털 UI로 이동합니다. Operations(운영) > Update Device(디바이스 업데이트)로 이동하고 Check update ISO(업데이트 ISO 확인)를 클릭합니다.

4. 업데이트가 완료되면 ISO를 마운트 해제하고 로컬 ISO를 제거합니다.

[root@fireamp ~]# umount /data/updates/
[root@fireamp ~]# umount /data/iso/
[root@fireamp ~]# rm -f /other/PrivateCloud*iso

B. CIMC를 통해 ISO 마운트

1. 또 다른 옵션은 그림과 같이 CIMC 액세스를 통해 ISO를 마운트하는 것입니다.

문제 해결

이 목록은 완전한 것이 아닙니다. 여기 지침을 따랐지만 오류가 지속되는 경우 TAC 팀에 문의하여 지원 티켓을 여십시오.

프라이빗 클라우드 어플라이언스

문제 1: 오류 404 - 찾을 수 없음

...failure: repodata/repomd.xml from prod: [Errno 256] No more mirrors to try.
http://127.0.0.1:8080/PrivateCloud/3.7.1/prod/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found

1. 프라이빗 클라우드에 대한 SSH를 수행하고 명령을 실행하여 baseurl 값을 확인합니다.

cat /opt/opadmin/etc/yum.repos.d/prod.repo | grep baseurl

2. baseurl이 대상 버전(이 예에서는 3.8.1)을 가리키지 않으면 다음 명령을 실행하여 파일을 업데이트합니다.

amp-ctl config-updates -V 3.8.1        #3.8.1 is only an example; your update path could be different, use the appropriate version.

3. 필요한 경우 ISO를 다시 마운트한 다음 업데이트를 다시 실행합니다.

문제 2: ISO가 /dev/sr0 대신 /dev/sr1에 마운트되었습니다.

1. ISO의 Virtual Private Cloud 버전을 정리하고 마운트를 해제합니다.

rpm -e AMP-PrivateCloud-V              #read the Note section below
umount /data/updates
umount /data/iso

2. 어플라이언스를 재부팅합니다.

3. ISO를 다시 마운트합니다. 현재 설치된 프라이빗 클라우드의 버전에 해당하는 Mount the ISO 명령을 사용합니다. 

4. 관리 포털에서 업데이트를 실행합니다. 업데이트할 수 있는 옵션이 없으면 다음 단계로 진행합니다.

5. 명령을 실행하여 수동으로 프라이빗 클라우드를 업데이트합니다.

amp-ctl maintenance on
amp-ctl update
amp-ctl maintenance off
amp-ctl config-updates -V 3.8.1        #3.8.1 is only an example; your update path could be different, use the appropriate version.