Azure

Azure 어카운트 준비

Azure 어카운트 및 구독을 연결하고 Multicloud Defense 컨트롤러에 온보딩하기 전에 다음 단계를 따라 준비합니다.

  1. Azure 구독을 확보하고 등록합니다. 구독이 Microsoft Entra ID에 연결되어 있는지 확인합니다. Azure 포털 에서 앱 등록 목록을 검토하여 구독이 Multicloud Defense에 올바르게 연결되었는지 확인합니다.

  2. Azure 구독에 대한 사용자 지정 역할을 생성합니다. 이렇게 하면 Multicloud Defense는 그렇지 않으면 차단될 특정 리소스 또는 작업에 액세스할 수 있게 됩니다.

  3. Azure Event Grid를 구독합니다. 이렇게 하면 Multicloud Defense가 실시간 업데이트를 수신하고, 가입자에게 이벤트를 보내거나(푸시), 가입자가 Event Grid에 연결하여 이벤트를 읽을 수 있습니다(가져오기). 자세한 내용은 Azure 사용 설명서의 "이벤트 구독 생성" 장을 참조하십시오.

  4. Multicloud Defense 대시보드에서 Multicloud Defense 컨트롤러에 Azure 구독 연결. Azure 구독은 가상 머신과 같은 "기술" 리소스를 캡슐화합니다. Multicloud Defense 게이트웨이 또는 구축 작업과 함께 Azure 기반 VM을 사용하려면 이 단계를 완료합니다.

  5. 시장 약관 동의. Azure 어카운트를 Multicloud Defense에 처음 온보딩하는 경우 Cisco 시장 약관에 동의해야 합니다. 동의하지 않으면 온보딩 작업을 완료할 수 없습니다.

  6. (선택 사항) 키 저장소 및 Blob 스토리지 액세스를 위해 사용자가 할당하는 관리 ID Azure 환경에서 구성된 키 저장소 및 Blob 스토리지 액세스는 서로 다른 리소스에서 동일한 ID를 사용하여 서비스 전반에 걸쳐 일관된 권한 및 ID를 유지 관리할 수 있는 유연성을 제공하기 위한 것입니다.

자동화된 스크립트를 사용할 수 없는 경우 여기에서 수동으로 어카운트를 온보딩하는 대체 절차를 참조하십시오.


Note

Multicloud Defense로 구성하려는 구독 두 개 이상 있는 경우 하나의 구독 에 대해 Multicloud Defense 대시보드에서 Multicloud Defense 컨트롤러에 Azure 구독 연결의 절차를 사용한 다음 Azure 포털에서 정책을 수정하여 다른 구독을 추가합니다. 이러한 구독은 개별적으로 온보딩해야 하지만 대량으로 Multicloud Defense과 연결할 수는 있습니다.

Microsoft Entra ID에 애플리케이션 등록

다음 절차를 사용하여 Entra ID에 Multicloud Defense 애플리케이션을 등록합니다.

Procedure

Step 1

Azure 포털에서 Microsoft Entra ID로 이동합니다.

Step 2

App registrations(앱 등록)를 선택합니다.

Step 3

New registration(새 등록)을 클릭합니다.

Step 4

새 앱 등록을 참조할 이름을 제공합니다. 예를 들어 Multicloud Defense 컨트롤러. Supported account types(지원되는 어카운트 유형)에서 두 번째 옵션인 Accounts in any organizational directory(조직 디렉터리의 어카운트)를 선택합니다.

Step 5

조직에 적절한 옵션을 선택합니다. Redirect URI(리디렉션 URI)는 앱 등록을 생성하는 데 필요하지 않습니다.

Step 6

Register(등록)를 클릭합니다.

Step 7

새로 생성된 애플리케이션 아래의 왼쪽 탐색 모음에서 Certificates and secrets(인증서 및 암호)를 클릭합니다.

Step 8

+ New client secret(+ 새 클라이언트 비밀번호)를 클릭한 다음 Add client secret(클라이언트 비밀번호 추가) 대화 상자에 필요한 정보를 입력합니다.

  • Description(설명)- 설명을 추가합니다(예: Multicloud Defense-controller-secret1).

  • Expires(만료) - Never(안 함)를 선택합니다. 또한 편의에 따라 선택할 수 있습니다. 현재 암호가 만료되면 새 암호를 생성해야 함)를 선택합니다.

Step 9

Add(추가)를 클릭합니다. 클라이언트 비밀이 Value(값) 열에 채워집니다.

Step 10

클라이언트 비밀은 한 번만 표시되고 다시 표시되지 않으므로 메모장에 복사합니다.

Step 11

왼쪽 내비게이션 바에서 Overview(개요)를 클릭합니다.

Step 12

애플리케이션(클라이언트) ID디렉터리(테넌트) ID를 메모장에 복사합니다.

애플리케이션에 할당할 사용자 지정 역할 생성

CloudFormation 템플릿이 Multicloud Defense 컨트롤러를 위해 생성된 애플리케이션에 할당할 사용자 지정 역할을 생성합니다. 사용자 지정 역할은 애플리케이션에 재고 목록 정보 읽기 권한과 VM, 로드 밸런서 등의 리소스 생성 권한을 부여합니다.

사용자 지정 역할을 생성하는 방법에는 여러 가지가 있지만 다음 절차를 사용하는 것이 좋습니다.

Procedure

Step 1

Subscription(구독)으로 이동하여 Access Control (IAM)(액세스 제어(IAM))을 클릭합니다.

Step 2

Roles(역할)를 클릭하고 상단 메뉴 모음에서 +Add(+추가 ) > Add Custom Role(맞춤형 역할 추가)로 이동하여 클릭합니다.

Step 3

사용자 지정 역할에 이름을 지정합니다(예: Multicloud Defense-controller-role).

Step 4

JSON 편집 화면이 표시될 때까지 Next(다음)를 계속 클릭합니다.

Step 5

화면에서 Edit(편집)를 클릭한 후 JSON 텍스트에서 permissions(권한) > Action(작업) 섹션 아래에서 제공된 코드 내용을 대괄호 사이에 복사하여 붙여넣습니다(들여쓰기는 유지할 필요 없음). 코드 콘텐츠에 표시된 대로, 역할 할당 및 역할 정의를 읽을 수 있도록 Azure 역할에 권한을 추가합니다. 


"Microsoft.ApiManagement/service/*", 
"Microsoft.Compute/disks/*", 
"Microsoft.Compute/images/read", 
"Microsoft.Compute/sshPublicKeys/read", 
"Microsoft.Compute/virtualMachines/*", 
"Microsoft.ManagedIdentity/userAssignedIdentities/read", 
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action", 
"Microsoft.Network/loadBalancers/*", 
"Microsoft.Network/natGateways/*", 
"Microsoft.Network/networkinterfaces/*", 
"Microsoft.Network/networkSecurityGroups/*", 
"Microsoft.Network/publicIPAddresses/*", 
"Microsoft.Network/routeTables/*", 
"Microsoft.Network/virtualNetworks/*", 
"Microsoft.Network/virtualNetworks/subnets/*", 
"Microsoft.Resources/subscriptions/resourcegroups/*", 
"Microsoft.Storage/storageAccounts/blobServices/*", 
"Microsoft.Storage/storageAccounts/listkeys/action", 
"Microsoft.Network/networkWatchers/*", 
"Microsoft.Network/applicationSecurityGroups/*",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Insights/Metrics/Read"
"Microsoft.Network/locations/serviceTagDetails/read",
"Microsoft.Network/locations/serviceTags/read",
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/virtualHubs/hubRouteTables/*",
"Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/*"
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"

Step 6

선택 사항 - 여러 구독을 Multicloud Defense과(와) 함께 사용하려는 경우 assignableScopes에서 JSON을 편집하여 다른 구독 라인을 추가하거나 모든 구독에 사용자 지정 역할을 사용할 수 있도록 *(별표)로 변경해야 합니다.

Step 7

텍스트 상자 맨 위에서 Save(저장)를 클릭합니다.

Step 8

Review + Create(검토 + 생성)를 클릭하고 역할을 생성합니다.

Step 9

Custom Role(사용자 지정 역할)이 생성되면 Access Control(IAM)(액세스 제어(IAM))으로 돌아갑니다.

Step 10

상단 메뉴 모음에서 Add(추가) > Add role assignment(역할 할당 추가)를 클릭합니다.

Step 11

Role(역할) 드롭다운에서 위에서 생성한 Custom Role(사용자 지정 역할)을 선택합니다.

Step 12

Assign access to(액세스 권한 할당 대상) 드롭다운에서 이를 기본값(Azure AD 사용자, 그룹, 서비스 주체)으로 유지합니다.

Step 13

Select(선택) 텍스트 상자에 이전에 생성한 애플리케이션 이름(예: Multicloud Defensecontrollerapp)을 입력하고 Save(저장)를 클릭합니다.

Step 14

Subscription(구독) 페이지의 왼쪽 메뉴 모음에서 Overview(개요)를 클릭하고 구독 ID를 메모장에 복사합니다.

Multicloud Defense 대시보드에서 Multicloud Defense 컨트롤러에 Azure 구독 연결

이전 섹션에서 설명한 대로 Azure 어카운트 및 구독을 준비했으면 Multicloud Defense 컨트롤러에 연결할 수 있습니다.

Procedure

Step 1

Multicloud Defense 컨트롤러 대시보드의 클라우드 어카운트 창에서 Add Account(어카운트 추가)를 클릭합니다.

Step 2

일반 정보 페이지에 있는 Account Type(어카운트 유형) 목록 상자에서 Azure를 선택합니다.

Step 3

1단계에서 링크를 클릭하여 Bash 모드에서 Azure Cloud Shell을 엽니다.

Step 4

2단계에서 Copy(복사) 버튼을 클릭합니다.

Step 5

Bash 셸에서 온보딩 스크립트를 실행합니다.

Note

 

  • Multicloud Defense에 이미 연결된 다른 Azure 구독이 있는 경우 동일한 기존 이름으로 IAM 역할을 생성하면 이 스크립트가 실패할 수 있습니다. IAM 역할은 둘 이상 있을 수 없습니다. 이 문제를 해결하려면 -p 접두사를 사용하여 Bash 스크립트를 실행합니다.

  • 구독 전반에서 스포크 VNet 보호를 지원하려면 Active Directory 앱 등록을 사용하여 구독을 온보딩해야 합니다.

Step 6

이 Azure 어카운트의 이름을 제공합니다. 이 이름은 Azure 구독 이름과 동일하게 지정할 수 있습니다. 이 이름은 Multicloud Defense 컨트롤러 어카운트 페이지에만 표시됩니다.

Step 7

(선택 사항) 구독에 대한 설명을 제공합니다.

Step 8

테넌트 ID라고도 하는 디렉터리 ID를 입력합니다.

Step 9

온보딩 중인 구독의 구독 ID를 입력합니다.

Step 10

온보딩 스크립트에서 생성한 애플리케이션 ID(클라이언트 ID라고도 함)를 입력합니다.

Step 11

Client Secret(클라이언트 암호)(암호 ID라고도 함)을 입력합니다.

Step 12

Save & Continue(저장 후 계속)를 클릭합니다.

Azure 구독이 온보딩되고 새 디바이스가 추가된 것을 확인하기 위해 대시보드로 다시 연결되었습니다.

What to do next

마켓플레이스 약관 동의

Multicloud Defense 컨트롤러는 Azure Marketplace에서 Multicloud Defense VM(가상 머신) 이미지를 사용하여 게이트웨이 인스턴스를 생성합니다. 각 구독에 대해 약관에 동의해야 합니다. Azure 포털 웹사이트(오른쪽 상단 메뉴 모음)에서 Azure Cloud 쉘을 엽니다. Bash 쉘을 선택하거나 전환하고 다음 명령을 실행합니다(subscription-id를 이전 섹션에서 복사한 구독 ID로 대체). 

az vm image terms accept --subscription $sub_id --publisher valtix --offer datapath --plan valtix_dp_image

Multicloud Defense 대시보드에서 Multicloud Defense 컨트롤러에 Azure 구독 연결

이전 섹션에서 설명한 대로 Azure 어카운트 및 구독을 준비했으면 Multicloud Defense 컨트롤러에 연결할 수 있습니다.

Procedure

Step 1

Multicloud Defense 컨트롤러 대시보드의 클라우드 어카운트 창에서 Add Account(어카운트 추가)를 클릭합니다.

Step 2

일반 정보 페이지에 있는 Account Type(어카운트 유형) 목록 상자에서 Azure를 선택합니다.

Step 3

1단계에서 링크를 클릭하여 Bash 모드에서 Azure Cloud Shell을 엽니다.

Step 4

2단계에서 Copy(복사) 버튼을 클릭합니다.

Step 5

Bash 셸에서 온보딩 스크립트를 실행합니다.

Note

 

  • Multicloud Defense에 이미 연결된 다른 Azure 구독이 있는 경우 동일한 기존 이름으로 IAM 역할을 생성하면 이 스크립트가 실패할 수 있습니다. IAM 역할은 둘 이상 있을 수 없습니다. 이 문제를 해결하려면 -p 접두사를 사용하여 Bash 스크립트를 실행합니다.

  • 구독 전반에서 스포크 VNet 보호를 지원하려면 Active Directory 앱 등록을 사용하여 구독을 온보딩해야 합니다.

Step 6

이 Azure 어카운트의 이름을 제공합니다. 이 이름은 Azure 구독 이름과 동일하게 지정할 수 있습니다. 이 이름은 Multicloud Defense 컨트롤러 어카운트 페이지에만 표시됩니다.

Step 7

(선택 사항) 구독에 대한 설명을 제공합니다.

Step 8

테넌트 ID라고도 하는 디렉터리 ID를 입력합니다.

Step 9

온보딩 중인 구독의 구독 ID를 입력합니다.

Step 10

온보딩 스크립트에서 생성한 애플리케이션 ID(클라이언트 ID라고도 함)를 입력합니다.

Step 11

Client Secret(클라이언트 암호)(암호 ID라고도 함)을 입력합니다.

Step 12

Save & Continue(저장 후 계속)를 클릭합니다.

Azure 구독이 온보딩되고 새 디바이스가 추가된 것을 확인하기 위해 대시보드로 다시 연결되었습니다.

What to do next

Azure 구독에 대한 VNet 경로 테이블

이그레스 구축의 경우 UDR(사용자 정의 라우팅) 테이블을 생성하여 스포크 네트워크의 방향을 수동으로 지정해야 할 수 있습니다. 기본적으로 Azure와 는 모두 피어 간의 비공개 정보 교환으로 인해 라우팅 값을 자동으로 식별할 수 있습니다. 이 설정은 인그레스 게이트웨이에 이상적입니다. 이그레스 게이트웨이에는 적합하지 않습니다.

이그레스 구축을 위해 이러한 값 또는 서브넷 라우팅 테이블을 전체적으로 재정의하려면 Azure 포털에서 값을 재할당해야 합니다. 자세한 내용은 Azure 설명서를 참조하십시오.

게이트웨이에서 사용 중인 라우팅 테이블의 종류는 무엇인가요?

라우팅 테이블이 피어 디바이스의 VNet을 기반으로 하는지 확인하려면 Infrastructure(인프라) > Gateways(게이트웨이) > Gateways(게이트웨이)에서 구독에 할당된 게이트웨이를 확인하고 View Details(세부 정보 보기)를 클릭합니다. 이 창에서 Troubleshooting(문제 해결) > Datapath Subnet(데이터 경로 서브넷 문제 해결) 탭으로 이동합니다. 라우팅 테이블이 없으면 구독 피어 디바이스에서 가져온 기본 라우팅 테이블을 활용하고 있는 것입니다.

역할 생성자: Multicloud Defense

제공된 스크립트를 사용하여 클라우드 서비스 어카운트를 Multicloud Defense 컨트롤러에 온보딩할 경우 서비스 간 통신이 보호되도록 클라우드 통신 사업자의 매개변수 내에서 사용자 역할이 생성됩니다. 클라우드 통신 사업자에 따라 서로 다른 역할 및 권한이 생성됩니다.

어카운트를 온보딩할 때 다음 역할이 생성됩니다.

Azure IAM 역할

Multicloud Defense 컨트롤러를 위해 생성된 애플리케이션에 할당할 사용자 지정 역할을 생성해야 합니다. 사용자 지정 역할은 재고 목록 정보를 읽고 리소스(예: VM, 로드 밸런서 등)를 생성할 수 있는 애플리케이션 권한을 제공합니다. 사용자 지정 역할은 여러 방법으로 생성할 수 있습니다. 사용자 지정 역할은 여러 방법으로 생성할 수 있습니다. 구독으로 이동하여 Access Control (IAM)(액세스 제어(IAM))을 클릭합니다.

사용자 지정 역할을 추가할 때 역할의 이름을 지정하고 JSON 파일을 편집해야 합니다. 이 파일은 구독과 Multicloud Defense 컨트롤러간의 통신 및 데이터 전송을 허용하는 데 필요한 모든 권한을 설명합니다. 목록에 필요한 모든 권한이 포함됩니다. 


"Microsoft.ApiManagement/service/*", 
"Microsoft.Compute/disks/*", 
"Microsoft.Compute/images/read", 
"Microsoft.Compute/sshPublicKeys/read", 
"Microsoft.Compute/virtualMachines/*", 
"Microsoft.ManagedIdentity/userAssignedIdentities/read", 
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action", 
"Microsoft.Network/loadBalancers/*", 
"Microsoft.Network/natGateways/*", 
"Microsoft.Network/networkinterfaces/*", 
"Microsoft.Network/networkSecurityGroups/*", 
"Microsoft.Network/publicIPAddresses/*", 
"Microsoft.Network/routeTables/*", 
"Microsoft.Network/virtualNetworks/*", 
"Microsoft.Network/virtualNetworks/subnets/*", 
"Microsoft.Resources/subscriptions/resourcegroups/*", 
"Microsoft.Storage/storageAccounts/blobServices/*", 
"Microsoft.Storage/storageAccounts/listkeys/action", 
"Microsoft.Network/networkWatchers/*", 
"Microsoft.Network/applicationSecurityGroups/*",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Insights/Metrics/Read"
"Microsoft.Network/locations/serviceTagDetails/read",
"Microsoft.Network/locations/serviceTags/read",
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/virtualHubs/hubRouteTables/*",
"Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/*"
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"

온보딩 후 절차

다음 절차를 사용하여 Multicloud Defense로 Azure 어카운트를 마무리합니다.

Azure VNet 설정

이 문서에서는 VNet에서 Multicloud Defense 게이트웨이을(를) 생성할 수 있도록 VNet에서 생성해야 하는 요구 사항 및 리소스(서브넷, 보안 그룹)에 대해 설명합니다.

서브넷

게이트웨이 구축을 구성할 때 Multicloud Defense 컨트롤러에서 관리데이터 경로서브넷 정보를 입력하라는 메시지가 표시됩니다.

관리 서브넷은 인터넷에 대한 기본 경로가 있는 라우트 테이블과 연결해야 하는 퍼블릭 서브넷입니다. Multicloud Defense 게이트웨이 인스턴스에 Multicloud Defense 컨트롤러과(와)의 통신에 사용하는 이 서브넷에 연결된 인터페이스가 있습니다. 이 인터페이스는 Multicloud Defense 컨트롤러Multicloud Defense 게이트웨이 인스턴스 간의 정책 푸시와 기타 관리, 텔레메트리 활동에 사용됩니다. 고객 애플리케이션 트래픽은 이 인터페이스 및 서브넷을 통과하지 않습니다. 아래의 보안 그룹 섹션에서 설명하는 관리 보안 그룹과 인터페이스가 연결됩니다.

데이터 경로 서브넷은 인터넷에 대한 기본 경로가 있는 라우트 테이블과 연결해야 하는 퍼블릭 서브넷입니다. Multicloud Defense 컨트롤러는 이 서브넷에 네트워크 로드 밸런서(NLB)를 생성합니다. 또한, Multicloud Defense 게이트웨이 인스턴스에 이 서브넷에 연결된 인터페이스가 있습니다. 고객 애플리케이션 트래픽은 이 인터페이스를 통해 흐릅니다. 이 인터페이스를 통해 인그레스하는 트래픽에 보안 정책이 적용됩니다. 인터페이스는 보안 그룹 섹션에서 설명하는 데이터 경로 보안 그룹과 연결됩니다.

보안 그룹

관리 및 데이터 경로 보안 그룹은 위의 서브넷 섹션에서 설명한 대로 Multicloud Defense 게이트웨이 인스턴스의 각 인터페이스와 연결됩니다.

관리 보안 그룹은 게이트웨이 인스턴스가 컨트롤러와 통신하도록 허용하는 아웃바운드 트래픽을 허용해야 합니다. 선택적으로, 인바운드 규칙의 경우 포트 22(SSH)를 활성화하여 게이트웨이 인스턴스에 대한 SSH 액세스를 허용합니다. Multicloud Defense 게이트웨이가 제대로 작동하기 위해 SSH가 반드시 필요한 것은 아닙니다.

데이터 경로 보안 그룹은 데이터 경로 인터페이스에 연결되며 인터넷에서 Multicloud Defense 게이트웨이로의 트래픽을 허용합니다. 현재 Multicloud Defense 컨트롤러는 보안 그룹을 관리하지 않습니다. 이 인터페이스의 트래픽 이그레스를 허용하는 아웃바운드 규칙이 있어야 합니다. 인바운드 포트는 Multicloud Defense 컨트롤러 보안 정책에 구성되어 있고 Multicloud Defense 게이트웨이에서 사용하는 각 포트에 대해 열려 있어야 합니다.

예를 들어 애플리케이션이 포트 3000에서 실행 중이고 포트 443의 Multicloud Defense 게이트웨이에서 프록시되는 경우, 데이터 경로 보안 그룹에서 포트 443을 열어야 합니다. 또한 이 예시는 애플리케이션에 연결된 보안 그룹에서 포트 3000이 열려 있음을 의미합니다.

ARM 템플릿 실행

제공되는 템플릿을 사용하여 이 페이지에서 설명하는 모든 리소스를 생성합니다.

이 템플릿은 새 VNet을 생성합니다. 기존 프로덕션 환경을 터치하지 않고 Multicloud Defense을(를) 시작할 때 매우 유용합니다.

제공된 템플릿은 다음 리소스를 생성합니다.

  • VNet.

  • 관리 서브넷.

  • 데이터 경로 서브넷.

  • 아웃바운드 규칙이 있는 관리 보안 그룹.

  • 포트 443에 대한 아웃바운드 규칙 및 인바운드 규칙이 있는 데이터 경로 보안 그룹.

필요에 따라 추가 서브넷을 생성하여 앱을 실행하고 앱별 보안 그룹을 생성할 수 있습니다.

ARM 템플릿을 실행하려면 다음 단계를 수행합니다.

Procedure

Step 1

Azure 어카운트에 로그인하여 맞춤형 템플릿을 구축합니다.

Step 2

Build your own template in the editor(편집기에서 자체 템플릿 구축)를 클릭합니다.

Step 3

ARM 템플릿의 내용을 복사하여 편집기에 붙여넣습니다.

Step 4

Save(저장)를 클릭합니다.

Step 5

Subscription(구독), Resource group(리소스 그룹)Region(지역)을 선택합니다.

Step 6

Review+ Create(검토+ 생성)를 클릭합니다.

Step 7

모든 리소스가 생성될 때까지 몇 분 정도 기다립니다.