Multicloud Defense 마법사를 사용하여 설정

Multicloud Defense 컨트롤러에서는 Multicloud Defense를 구축 및 관리할 수 있는 SaaS 제공 중앙 집중식 컨트롤 플레인 및 해당 보안 정책을 제공합니다.

설정은 다음과 같은 일련의 간단한 단계를 통해 Multicloud Defense 보안을 설정하는 프로세스를 사용자에게 안내합니다.

  • 어카운트 연결 - 이 프로세스에서는 클라우드 통신 사업자 어카운트를 Multicloud Defense에 온보딩하고 어카운트와 관련된 지역 및 추가 재고 목록 및 에셋을 검색합니다.

  • Enable Traffic Visibility(트래픽 가시성 활성화) - 쉬운 설정 방법을 사용하면 로그 컬렉션을 활성화하여 트래픽 플로우를 파악합니다.

  • 어카운트 보호 - 이 절차를 수행하면 보유한 클라우드 어카운트에 따라 VNET 또는 VPC를 쉽게 설정하고 Multicloud Defense 게이트웨이로 환경을 보호할 수 있습니다.

Multicloud Defense를 시작하는 방법에 대한 자세한 가이드는 Cisco Multicloud Defense 시작 가이드를 참조하십시오.

클라우드 어카운트 연결

첫 번째 단계는 하나 이상의 클라우드 어카운트를 Multicloud Defense에 온보딩하는 것입니다. Multicloud Defense 컨트롤러에서 재고 목록을 검색하고 트래픽 및 로그를 활성화하고 보안 구축을 오케스트레이션하고 정책을 생성 및 관리하여 각 어카운트와 상호 작용할 수 있습니다.

다음 절차를 사용하여 클라우드 통신 사업자 어카운트를 Multicloud Defense 컨트롤러에 연결합니다.

AWS 어카운트 연결

다음 절차에 따라 Multicloud Defense의 쉬운 설정 마법사를 통해 AWS 구독에 연결합니다.

시작하기 전에

  • 활성 AWS(Amazon Web Services) 어카운트가 있어야 합니다.

  • Security Cloud Control 테넌트에 관리자 또는 슈퍼 관리자 사용자 역할이 있어야 합니다.

  • Security Cloud Control 테넌트에 대해 Multicloud Defense를 활성화해야 합니다.


참고

Multicloud Defense 컨트롤러 버전 23.10은 Multicloud Defense 게이트웨이 버전 23.04 이상을 사용하는 경우 AWS EC2 인스턴스에서 기본적으로 IMDSv2를 사용합니다. IMDSv1과 IMDSv2의 차이점에 대한 자세한 내용은 AWS 설명서를 참조하십시오.

프로시저

단계 1

Multicloud Defense 컨트롤러 대시보드에서 창 왼쪽에 있는 Setup(설정)을 클릭합니다.

단계 2

Connect Account(어카운트 연결)를 선택합니다.

단계 3

AWS 아이콘을 선택합니다.

단계 4

모달에 다음 정보를 입력합니다.

  1. Launch Stack(스택 실행)을 클릭하여 CloudFormation 템플릿을 다운로드하고 구축합니다. 이렇게 하면 템플릿을 구축할 수 있는 다른 탭이 열립니다. AWS에 로그인해야 합니다.

  2. CloudFormation 템플릿의 CloudFormation 스택 출력에서 컨트롤러 IAM 역할 ARN을 복사하여 붙여넣습니다.

  3. Multicloud Defense 컨트롤러 쉬운 설정 모달에서 AWS Account Number(AWS 어카운트 번호)를 입력합니다. 이 번호는 CloudFormation 템플릿의 출력 값 Current Account에서 찾을 수 있습니다.

  4. Multicloud Defense 컨트롤러에 어카운트에 할당될 Account Name(어카운트 이름)을 입력합니다.

  5. (선택 사항) 어카운트 설명을 입력합니다.

  6. 외부 ID를 입력합니다. IAM 역할의 신뢰 정책에 대한 임의의 문자열입니다. 이 값은 생성된 컨트롤러 IAM 역할에서 사용됩니다. 외부 ID를 편집하거나 다시 생성할 수 있습니다.

  7. Controller IAM Role(컨트롤러 IAM 역할)을 입력합니다. 이 역할은 CFT(CloudFormation Template) 구축 중에 Multicloud Defense 컨트롤러에 대해 생성되는 IAM 역할입니다. CFT 스택에서 출력 값 MCDControllerRoleArm을 찾습니다. 다음과 유사해야 합니다: arn:aws:iam::<Acc Number>:role/ciscomcdcontrollerrole.

  8. Inventory Monitor Role(재고 목록 모니터 역할)을 입력합니다. 이 역할은 CFT 구축 중에 멀티클라우드 방어 재고 목록에 대해 생성된 IAM 역할입니다. CFT 스택에서 출력 값 MCDInventoryRoleArn을 찾습니다. 다음과 유사해야 합니다: arn:aws:iam::<Acc Number>:role/ciscomcdinventoryrole.

단계 5

Next(다음)를 클릭합니다. 어카운트가 Multicloud Defense 컨트롤러에 온보딩됩니다.

다음에 수행할 작업

계속하기 전에 AWS 대시보드에서 AWS Marketplace 서비스 약관에 수동으로 동의해야 합니다. 승인 없이는 Multicloud Defense 컨트롤러은 클라우드 통신 사업자와 완전히 통신할 수 없습니다.

어카운트를 연결하면 Multicloud Defense 컨트롤러이 클라우드 통신 사업자 어카운트와 연결된 에셋 및 재고 목록을 검색하기 시작합니다. 이는 트래픽 검색과는 다릅니다. Multicloud Defense 컨트롤러은(는) 기본적으로 어카운트 에셋 및 재고 목록을 검색하므로 이 마법사의 다음 단계는 트래픽 가시성을 활성화하는 것입니다.

Azure 어카운트 연결

다음 절차에 따라 Multicloud Defense 컨트롤러의 쉬운 설정 마법사를 통해 Azure 구독에 연결합니다.

시작하기 전에

  • 활성 Azure 구독이 있어야 합니다.

  • Security Cloud Control 테넌트에 관리자 또는 슈퍼 관리자 사용자 역할이 있어야 합니다.

  • Security Cloud Control 테넌트에 대해 Multicloud Defense를 활성화해야 합니다.

프로시저

단계 1

Security Cloud Control 대시보드에서 왼쪽 탐색 창에 있는 Multicloud Defense 탭을 클릭합니다.

단계 2

오른쪽 상단 창에 있는 Multicloud Defense 컨트롤러을 클릭합니다.

단계 3

Multicloud Defense 컨트롤러 대시보드에서 창 왼쪽에 있는 Setup(설정)을 클릭합니다.

단계 4

Connect Account(어카운트 연결)를 선택합니다.

단계 5

Azure 아이콘을 선택합니다.

단계 6

모달에 다음 정보를 입력합니다.

  1. 링크를 클릭하여 Bash 모드에서 Azure Cloud Shell을 엽니다.

  2. Azure 어카운트 모달에서 Copy(복사)를 클릭하여 온보딩 스크립트를 복사하고 1단계에서 연 Bash 쉘에서 실행합니다.

  3. Azure 어카운트 모달에서 이 Azure 어카운트의 이름을 제공합니다. 이 이름은 Azure 구독 이름과 동일하게 지정할 수 있습니다. 이 이름은 Multicloud Defense 컨트롤러 어카운트 페이지에만 표시됩니다.

  4. (선택 사항) 구독에 대한 설명을 제공합니다.

  5. 테넌트 ID라고도 하는 디렉터리 ID를 입력합니다.

  6. 온보딩 중인 구독의 구독 ID를 입력합니다.

  7. 온보딩 스크립트에서 생성한 애플리케이션 ID(클라이언트 ID라고도 함)를 입력합니다.

  8. Client Secret(클라이언트 암호)(암호 ID라고도 함)을 입력합니다.

단계 7

Next(다음)를 클릭합니다.

다음에 수행할 작업

어카운트를 연결하면 Multicloud Defense 컨트롤러이 클라우드 통신 사업자 어카운트와 연결된 에셋 및 재고 목록을 검색하기 시작합니다. 이는 트래픽 검색과는 다릅니다. Multicloud Defense 컨트롤러은(는) 기본적으로 어카운트 에셋 및 재고 목록을 검색하므로 이 마법사의 다음 단계는 트래픽 가시성을 활성화하는 것입니다.

Google Cloud 플랫폼 어카운트 연결

다음 절차에 따라 Multicloud Defense 컨트롤러의 간편한 설정 마법사를 사용하여 단일 GCP 프로젝트를 어카운트로 온보딩합니다.

시작하기 전에

  • 액티브 GCP(Google Cloud Platform) 프로젝트가 있어야 합니다.

  • GCP 프로젝트 내에서 VPC, 서브넷, 서비스 어카운트를 생성하는 데 필요한 권한이 있어야 합니다. 자세한 내용은 GCP 문서를 참조하십시오.

  • Security Cloud Control 테넌트에 관리자 또는 슈퍼 관리자 사용자 역할이 있어야 합니다.

  • Security Cloud Control 테넌트에 대해 Multicloud Defense를 활성화해야 합니다.

프로시저

단계 1

Multicloud Defense 컨트롤러 대시보드에서 창 왼쪽에 있는 Setup(설정)을 클릭합니다.

단계 2

Connect Account(어카운트 연결)를 선택합니다.

단계 3

GCP 아이콘을 선택합니다.

단계 4

Cloud Platform Cloud Shell(클라우드 플랫폼 클라우드 쉘)을 클릭하여 클라우드 쉘을 시작합니다. 또는 GCP 어카운트에 로그인하여 Multicloud Defense에 연결하려는 프로젝트에서 Cloud Shell을 시작합니다. 스크립트는 프로젝트 이름을 클라우드 쉘을 실행하는 프로젝트의 이름으로 자동으로 수정합니다.

  1. Multicloud Defense 컨트롤러 쉬운 설정 모달에서 생성된 명령을 복사하여 클라우드 쉘에 붙여넣습니다. 명령을 실행하여 온보딩 프로세스를 시작합니다. 이 스크립트는 Multicloud Defense 컨트롤러이(가) GCP 프로젝트와 직접 통신할 수 있도록 사용자 어카운트를 자동으로 생성합니다.

  2. GCP 프로젝트가 여러 개인 경우 번호 매기기 목록을 통해 프로젝트를 선택하라는 메시지가 표시됩니다. 연결하고 제출할 프로젝트의 값을 선택합니다.

  3. 이 프로젝트 설정을 계속하시겠습니까? 라는 메시지가 표시되면 [y/n] "y" 또는 "n" 중 하나만 입력하면 됩니다. 사항을 제출하기 위해 Enter를 누르지 마십시오.

Multicloud Defense에 연결 중인 GCP 프로젝트가 이전에 온보딩된 경우 GCP가 스토리지 버킷이 이미 존재한다는 오류 메시지가 표시될 수 있습니다. 이를 해결할 수 없는 경우 GCP 어카운트에 새 스토리지 버킷을 생성하여 Multicloud Defense에 연결된 이 프로젝트의 플로우 로그를 처리하십시오.

단계 5

모달에 다음 정보를 입력합니다.

  1. GCP Account Name(GCP 어카운트 이름)을 입력합니다. 이 이름은 Multicloud Defense에만 표시됩니다.

  2. (선택 사항) Description(설명)을 입력합니다.

  3. GCP 프로젝트의 프로젝트 ID를 입력합니다. 1단계의 스크립트에 의해 생성된 개인 키의 상단에 있습니다.

  4. 온보딩 프로세스의 일환으로 생성된 서비스 어카운트의 Client Email(클라이언트 이메일)을 입력합니다. 이는 1단계의 스크립트에 의해 생성된 개인 키에 포함되어 있습니다.

  5. 스크립트 출력에서 서비스 어카운트의 개인 키를 복사하여 붙여넣습니다.

단계 6

Next(다음)를 클릭합니다.

다음에 수행할 작업

GCP는 프로젝트가 구성된 지역을 자동으로 포함하지 않습니다. Multicloud Defense에 연결되면 재고 목록으로 이동하여 모든 적절한 지역을 수동으로 수정하고 추가하는 것을 강력히 권장합니다.

어카운트를 연결하면 Multicloud Defense 컨트롤러이 클라우드 통신 사업자 어카운트와 연결된 에셋 및 재고 목록을 검색하기 시작합니다. 이는 트래픽 검색과는 다릅니다. Multicloud Defense 컨트롤러은(는) 기본적으로 어카운트 에셋 및 재고 목록을 검색하므로 이 마법사의 다음 단계는 트래픽 가시성을 활성화하는 것입니다.

OCI 어카운트 연결

Multicloud Defense에 연결하기 전에 다음 절차를 자세히 읽고 OCI 어카운트를 준비합니다.

OCI 어카운트 준비

이 절차를 수행하면 Multicloud Defense과 OCI 어카운트 간의 연결이 자동화됩니다. 또한 올바른 권한으로 정책을 생성하도록 안내합니다. 절차의 일부로 나열된 모든 권한이 없으면 일부 기능을 사용할 수 없습니다.

다음 절차에 따라 Multicloud Defense의 쉬운 설정 마법사를 통해 OCI 어카운트에 연결합니다.

Procedure

Step 1

OCI 테넌트에 로그인합니다.

Step 2

Identity & Security(ID 및 보안) > Groups(그룹)로 이동합니다.

Step 3

Create Group(그룹 생성)을 클릭합니다.

Step 4

다음을 입력합니다.

  • Name(이름): Multicloud Defense-controller-group

  • Description(설명): Multicloud Defense 그룹

Step 5

Create(생성)를 클릭합니다.

Step 6

OCI에서 네트워크 방화벽 정책을 생성합니다. 자세한 내용은 OCI 설명서를 참조하십시오. 단, 정책을 생성할 때 다음 정보를 포함하십시오.

  • Name(이름): Multicloud Defense-controller-policy.

  • Description(설명): Multicloud Defense 정책.

  • Compartment(컴파트먼트): ["root" 컴파트먼트여야 함].

  1. Show Manual Editor(수동 편집기 표시) 탭에서 다음 권한을 추가합니다. 

    
Allow group <group_name> to inspect instance-images in compartment <compartment_name>
Allow group <group_name> to read app-catalog-listing in compartment <compartment_name>
Allow group <group_name> to use volume-family in compartment <compartment_name>
Allow group <group_name> to use virtual-network-family in compartment <compartment_name>
Allow group <group_name> to manage volume-attachments in compartment <compartment_name>
Allow group <group_name> to manage instances in compartment <compartment_name>
Allow group <group_name> to {INSTANCE_IMAGE_READ} in compartment <compartment_name>
Allow group <group_name> to manage load-balancers in compartment <compartment_name>
Allow group <group_name> to read marketplace-listings in tenancy
Allow group <group_name> to read marketplace-community-listings in tenancy
Allow group <group_name> to inspect compartments in tenancy
Allow group <group_name> to manage app-catalog-listing in compartment <compartment_name>
Allow group <group_name> to read virtual-network-family in tenancy
Allow group <group_name> to read instance-family in tenancy
Allow group <group_name> to read load-balancers in tenancy

    • group_name: Multicloud Defense-controller-group.

    • compartment_name:[Multicloud Defense이(가) 구축될 컴파트먼트].

      Note

       

      Cisco IOS 시스템을 교체할 때 <compartment_name>을 정책을 적용할 구역의 이름으로 바꿉니다. 구역이 하위 구역인 경우, 이름 형식은 compliance:sub-compartment(예: Prod:App1)입니다.

      <compartment_name>이 루트 컴파트먼트(예: multicloud (root))로 지정된 경우 OCI는 정책을 수락하지 않고 오류: Invalid parameter(잘못된 매개변수)가 생성됩니다. 특정 컴파트먼트에 대해 정책을 정의해야 하며 해당 컴파트먼트는 루트 컴파트먼트일 수 없습니다.

  2. Create(생성)를 클릭합니다.

Step 7

OCI에서 사용자를 생성합니다. 자세한 내용은 OCI 설명서를 참조하십시오. 단, 사용자를 생성할 때 다음 구성 정보를 제공하십시오.

  • Name(이름): Multicloud Defense-controller-user

  • Description(설명): Multicloud Defense User(사용자)

Step 8

API 키 생성. 자세한 내용은 OCI 설명서를 참조하십시오.

API 키를 추가하기 전에 개인 키와 공개 키를 모두 다운로드해야 합니다.

Step 9

OCI 어카운트에 대한 사용 약관을 수락합니다. 자세한 내용은 OCI 설명서를 참조하고, UI의 이미지 변경 섹션에 액세스하여 Multicloud Defense관련 "커뮤니티 이미지" 정보를 추가합니다.

  1. Multicloud Defense에 대한 확인란을 선택합니다.

  2. I have reviewed and accept the Publishers terms of use, Oracle Terms of Use, and the Oracle General Privacy Policy(본인은 게시자 이용 약관, 오라클 이용 약관 및 오라클 일반 개인정보 취급방침을 검토하고 이에 동의합니다.)에 대한 상자를 선택합니다.

  3. Multicloud Defense에 연결하기 전에 이미지를 구축하지 않고 종료를 클릭하는 것을 강력히 권장합니다.

    Multicloud Defense 게이트웨이를 구축하려는 각 컴파트먼트에 대해 단계를 반복합니다.

Oracle 어카운트 연결

다음 절차에 따라 Multicloud Defense 컨트롤러의 쉬운 설정 마법사를 통해 OCI 어카운트에 연결합니다.

시작하기 전에

  • 기존 OCI(Oracle Cloud) 어카운트가 있어야 합니다.

  • 온보딩 전에 OCI 어카운트에 대한 사전 요구 사항을 완료해야 합니다. 자세한 내용은 OCI 어카운트 준비를 참조하십시오.

  • Security Cloud Control 테넌트에 관리자 또는 슈퍼 관리자 사용자 역할이 있어야 합니다.

  • Security Cloud Control 테넌트에 대해 Multicloud Defense를 활성화해야 합니다.

프로시저

단계 1

Multicloud Defense 컨트롤러 대시보드에서 창 왼쪽에 있는 Setup(설정)을 클릭합니다.

단계 2

Connect Account(어카운트 연결)를 선택합니다.

단계 3

OCI 아이콘을 선택합니다.

단계 4

Oracle Cloud Shell을 클릭하여 네이티브 셸 프롬프트를 시작합니다.

단계 5

Multicloud Defense 설정 마법사에서 제공된 명령을 복사하여 클라우드 쉘에 붙여넣습니다. 다음 명령을 실행합니다.

이 명령은 OCI 어카운트와 Multicloud Defense간의 통신을 촉진하는 IAM 정책, OCI 그룹 및 OCI 사용자를 생성하는 프로세스를 자동화합니다.

단계 6

모달에 다음 정보를 입력합니다.

  1. OCI Account Name(OCI 어카운트 이름)을 입력합니다. 이 이름은 Multicloud Defense 컨트롤러에서만 사용되며 식별 목적으로만 사용됩니다.

  2. (선택 사항) 어카운트 설명을 입력합니다.

  3. Tenancy OCID(테넌시 OCID)를 입력합니다. 이는 OCI 사용자로부터 가져온 테넌시 Oracle Cloud 식별자입니다.

  4. OCI 사용자에게 할당된 개인 키를 입력합니다.

단계 7

Next(다음)를 클릭합니다.

다음에 수행할 작업

어카운트를 연결하면 Multicloud Defense 컨트롤러이 클라우드 통신 사업자 어카운트와 연결된 에셋 및 재고 목록을 검색하기 시작합니다. 이는 트래픽 검색과는 다릅니다. Multicloud Defense 컨트롤러은(는) 기본적으로 어카운트 에셋 및 재고 목록을 검색하므로 이 마법사의 다음 단계는 트래픽 가시성을 활성화하는 것입니다.

트래픽 가시성 활성화

트래픽 가시성을 활성화하면 이러한 로그를 수집하여 클라우드 어카운트 내의 트래픽 플로우를 확인할 수 있습니다.

  • VPC/VNet 플로우 로그

  • DNS 로그

  • Route53 쿼리 로깅

플로우 및 DNS 쿼리 로그는 Multicloud Defense에서는 트래픽 플로우를 파악하고, 위협 인텔리전스 피드와 상호 연결하고, Multicloud Defense를 사용하여 보호할 수 있는 기존 위협에 대한 인사이트를 제공하는 데 사용됩니다.

트래픽 가시성을 활성화하는 것은 클라우드 어카운트 유형마다 다른 프로세스이지만, 일반적으로 클라우드 어카운트의 지역, 모니터링할 VPC/VNet, 네트워크 보안 그룹 및 로그용 클라우드 스토리지 어카운트와 같은 어카운트 특성을 식별해야 합니다.


참고

Multicloud Defense는 현재 OCI에 대한 트래픽 가시성을 지원하지 않습니다. 본 절차의 대체 조치로 에셋 검색 기능을 활성화하는 것을 강력히 권장합니다. 이는 Multicloud Defense이 외부 환경에서 에셋의 메타데이터를 식별 및 수집하며, 수집된 결과 데이터는 마이그레이션 지원을 위한 재고 목록 생성에 활용될 수 있음을 의미합니다. 자세한 내용은 에셋 검색 및 재고 목록 활성화를 참조하십시오.

AWS 어카운트에 대한 트래픽 활성화

다음 절차를 따라 설정 마법사를 사용하여 AWS 어카운트에 대한 트래픽 가시성을 활성화합니다.

프로시저

단계 1

Multicloud Defense 컨트롤러 포털의 왼쪽 내비게이션 바에서 Setup(설정)을 클릭합니다.

단계 2

설정 마법사에서 Enable Traffic Visibility(트래픽 가시성 활성화)를 클릭합니다.

단계 3

모달에 다음 정보를 입력합니다.

  1. CSP Account(CSP 어카운트) - 드롭다운 메뉴를 사용하여 Multicloud Defense 컨트롤러이(가) 서비스 VPC/VNet을 구축할 클라우드 통신 사업자 어카운트를 선택합니다.

  2. Region(지역) - 드롭다운 메뉴를 사용하여 선택한 클라우드 통신 사업자가 위치한 지역을 선택합니다.

  3. VPC - 선택한 클라우드 통신 사업자 유형에 적용 가능한 사용 가능한 VPC 테이블을 스크롤하여 적절한 VPC를 선택합니다. VPC가 즉시 표시되지 않는 경우 Refresh(새로 고침) 아이콘을 클릭하여 현재 목록을 새로 고칩니다.

  4. S3 Bucket(S3 버킷) - 드롭다운 메뉴를 사용하여 어카운트에서 DNS 쿼리 및 VPC/VNet 플로우 로그가 저장되는 S3 버킷을 선택합니다. 이 S3 버킷은 이전 단계에서 생성되었습니다.

단계 4

Next(다음)를 클릭합니다.

다음에 수행할 작업

어카운트를 보호합니다.

Azure 어카운트에 대한 트래픽 활성화

다음 절차를 따라 설정 마법사를 사용하여 Azure 어카운트에 대한 트래픽 가시성을 활성화합니다.

프로시저

단계 1

Multicloud Defense 컨트롤러 포털의 왼쪽 내비게이션 바에서 Setup(설정)을 클릭합니다.

단계 2

설정 마법사에서 Enable Traffic Visibility(트래픽 가시성 활성화)를 클릭합니다.

단계 3

모달에 다음 정보를 입력합니다.

  1. CSP Account(CSP 어카운트) - 드롭다운 메뉴를 사용하여 Multicloud Defense 컨트롤러이(가) 서비스 VPC/VNet을 구축할 클라우드 통신 사업자 어카운트를 선택합니다.

  2. Region(지역) - 드롭다운 메뉴를 사용하여 선택한 클라우드 통신 사업자가 위치한 지역을 선택합니다.

  3. 스크립트를 복사 하고 실행합니다. Azure 어카운트를 다시 온보딩하고 클라우드 스토리지 버킷을 재사용하는 경우 스크립트는 새 스토리지 버킷을 자동으로 생성하지 않습니다. 기본 또는 기존 스토리지 버킷을 사용할 수 있지만, 그렇지 않은 경우 Azure 대시보드에서 새 스토리지 버킷을 생성하거나 실행 전에 이 스크립트 명령어를 수동으로 편집하여 어카운트의 플로우 로그를 저장할 스토리지 버킷 이름을 포함시켜야 합니다.

  4. 가상 네트워크(VNet) - 트래픽을 표시할 VNet을 하나 이상 선택합니다. 선택한 클라우드 통신 사업자 유형에 적용 가능한 사용 가능한 VNet 테이블을 스크롤하여 적절한 것을 선택합니다. VNet이 즉시 표시되지 않는 경우 Refresh(새로 고침) 아이콘을 클릭하여 현재 목록을 새로 고칩니다.

    참고

     

    Microsoft Azure에서 더 이상 사용되지 않을 때까지 Multicloud Defense에서 지원되는 기존 NSG 플로우 로그가 표시될 수 있습니다. 더 이상 새 NSG 플로우 로그를 생성할 수 없습니다. 사용자는 대신 VNet 플로우 로그를 생성할 수 있습니다.

  5. 스토리지 어카운트 - 위의 선택한 지역에서 전체 리소스 ID를 입력합니다.

단계 4

Next(다음)를 클릭합니다.

다음에 수행할 작업

어카운트를 보호합니다.

GCP 프로젝트에 대한 트래픽 활성화

다음 절차를 따라 설정 마법사를 사용하여 GCP 어카운트에 대한 트래픽 가시성을 활성화합니다.

프로시저

단계 1

Security Cloud Control 홈 페이지에서, Products(제품) > Multicloud Defense 를 클릭합니다.

단계 2

Multicloud Defense 컨트롤러 포털의 왼쪽 내비게이션 바에서 Setup(설정)을 클릭합니다.

단계 3

설정 마법사에서 Enable Traffic Visibility(트래픽 가시성 활성화)를 클릭합니다.

단계 4

모달에 다음 정보를 입력합니다.

  1. CSP Account(CSP 어카운트) - 드롭다운 메뉴를 사용하여 Multicloud Defense 컨트롤러이(가) 서비스 VPC/VNet을 구축할 클라우드 통신 사업자 어카운트를 선택합니다.

  2. Cloud Storage(클라우드 스토리지) - 선택한 GCP 프로젝트에 이미 할당되어 있는 사용 가능한 클라우드 스토리지 버킷을 선택합니다.

  3. Select VPC(s)(VPC 선택) - 트래픽을 표시할 VPC를 하나 이상 선택합니다. 선택한 클라우드 통신 사업자 유형에 적용 가능한 사용 가능한 VPC 테이블을 스크롤하여 적절한 VPC를 선택합니다. VPC가 즉시 표시되지 않는 경우 Refresh(새로 고침) 아이콘을 클릭하여 현재 목록을 새로 고칩니다.

  4. 스크립트를 복사 하고 실행합니다. GCP 프로젝트를 다시 온보딩하고 클라우드 스토리지 버킷을 재사용하는 경우 스크립트는 새 스토리지 버킷을 자동으로 생성하지 않습니다. 기본 또는 기존 스토리지 버킷을 사용할 수 있지만, 그렇지 않은 경우 GCP 대시보드에서 새 스토리지 버킷을 생성하거나 실행 전에 이 스크립트 명령어를 수동으로 편집하여 GCP 프로젝트의 플로우 로그를 저장할 스토리지 버킷 이름을 포함시켜야 합니다.

단계 5

Next(다음)를 클릭합니다.

다음에 수행할 작업

어카운트를 보호합니다.

어카운트 보안

중앙 집중식 또는 분산형 모델에 구축된 게이트웨이로 어카운트를 보호합니다.

중앙 집중식 모델에서는 Multicloud Defense가 게이트웨이를 포함하기 위해 VPC 또는 VNet을 오케스트레이션하고 구축합니다. 즉, VPC 또는 VNet 및 필요한 모든 추가 구성 요소는 이 구문 내에서 게이트웨이의 구축과 함께 오케스트레이션됩니다.

분산형 모델에서 Multicloud Defense는 네트워크에서 이미 사용 가능한 기존 인프라 내에서 게이트웨이를 빌드하고 구축합니다.

어카운트를 보호하려면 아래 절차 중 하나를 계속 진행합니다.

중앙 집중식 모델: VPC 또는 VNet 추가

다음 절차에 따라 게이트웨이를 수용하고 어카운트를 보호할 VPC 또는 VNet을 만들고 추가합니다.

시작하기 전에

이 마법사를 시작하기 전에 Multicloud Defense 컨트롤러에 연결된 클라우드 통신 사업자가 하나 이상 있어야 합니다. 일부 사업자의 경우, 이 절차는 필수 매개변수에 따라 변경됩니다.

프로시저

단계 1

Multicloud Defense 컨트롤러 포털의 왼쪽 창에서 Home(홈) > Easy Setup(쉬운 설정)을 선택합니다.

단계 2

설정 마법사에서 어카운트 보안섹션에서 어카운트 보안을 클릭합니다.

단계 3

Centralized(중앙 집중식)를 선택하면 강조 표시됩니다.

단계 4

Next(다음)를 클릭합니다.

단계 5

서비스 VPC/VNet 추가:

  1. Name(이름) - 서비스 VPC/VNet의 이름을 입력합니다. 생성되면 이 이름이 페이지에 표시됩니다.

  2. (AWS 전용)CSP Account(CSP 어카운트) - 드롭다운 메뉴를 사용하여 Multicloud Defense 컨트롤러에 이미 연결된 클라우드 통신 사업자 어카운트를 선택합니다. 서비스 VPC/VNet이 선택한 어카운트에 구축됩니다.

  3. Region(지역) - 드롭다운 메뉴를 사용하여 선택한 클라우드 통신 사업자가 있는 지역을 선택합니다.

  4. CIDR Block(CIDR 차단) - 서비스 VPC/VNet이 연결되는 Transit 게이트웨이의 고유한 값을 입력합니다.

  5. (GCP 전용) Datapath CIDR Block(데이터 경로 CIDR 블록) - 스포크 VPC와 중복되지 않아야 하는 데이터 경로 VPC에 대한 유효한 CIDR 블록을 입력합니다.

  6. (AWS/GCP 전용) Management CIDR Block(CIDR 블록 관리) - 관리 서비스 VPC에 대한 CIDR 블록입니다.

  7. Availablity Zones(가용성 영역) - 생성된 목록에서 가용성 영역을 하나 이상 선택합니다. 최상의 결과를 얻으려면 영역 2개를 선택하는 것을 강력히 권장합니다.

  8. (Azure 어카운트 전용) Resource Group(리소스 그룹) - 드롭다운 메뉴를 사용하여 게이트웨이를 연결할 리소스 그룹을 선택합니다. 현재 나열되지 않은 경우 이 화면에서 Create Resource Group(리소스 그룹 생성)을 수행할 수 있습니다.

  9. (AWS 어카운트 전용) Transit Gateway(Transit 게이트웨이) - 드롭다운 메뉴를 사용하여 VPC에 연결할 사용 가능한 Transit 게이트웨이를 선택합니다. 없는 경우 create_new를 클릭하여 이 창에서 Transit 게이트웨이를 생성합니다.

  10. (AWS 및 Azure 어카운트 전용) Use NAT Gateway(NAT 게이트웨이 사용) - 모든 이그레스 트래픽이 NAT 게이트웨이를 통과하도록 하려면 이 옵션을 선택합니다. Multicloud Defense에서는 선택된 각 가용성 영역에 대해 NAT 게이트웨이를 자동으로 생성합니다.

  11. (Azure 전용) VWAN(Virtual WAN)을 연결하려면 vWAN Attachment(vWAN 연결)에서 토글을 Enabled(활성화)로 설정합니다.

  12. (Azure 전용) vHub 드롭다운 목록에서 허브를 선택합니다.

  13. (Azure 전용) Associate Route Table(경로 테이블 연결) 드롭다운 목록에서 연결할 경로 테이블을 선택합니다.

  14. (Azure 전용) Propagate Route Tables(경로 테이블 전파) 드롭다운 목록에서 전파할 경로 테이블을 선택합니다.

단계 6

Next(다음)를 클릭합니다.

다음에 수행할 작업

게이트웨이를 추가합니다.

분산형 모델

분산형 게이트웨이 모델의 경우 사용 중인 클라우드 통신 사업자에 따라 다음 절차를 사용합니다.

Azure 분산형 모델: 게이트웨이 생성

다음 절차를 사용하여 분산형 모델로 Azure 어카운트용 게이트웨이를 생성합니다.

프로시저

단계 1

Multicloud Defense 컨트롤러 포털의 왼쪽 내비게이션 바에서 Setup(설정)을 클릭합니다.

단계 2

설정 마법사에서 Secure Account(어카운트 보안)를 클릭합니다.

단계 3

Distributed(분산됨)를 선택하면 강조 표시됩니다.

단계 4

Next(다음)를 클릭합니다.

단계 5

다음 게이트웨이 정보를 입력합니다.

  1. Account(어카운트) - 드롭다운 메뉴를 사용하여 게이트웨이를 구축할 Azure 어카운트를 선택합니다.

  2. Name(이름) - 게이트웨이 이름을 입력합니다. 이 이름은 페이지에 표시됩니다.

  3. (선택 사항) Description(설명) - 다른 게이트웨이와 구별하는 게이트웨이의 설명을 입력합니다.

  4. Instance Type(인스턴스 유형) - 드롭다운 메뉴를 사용하여 게이트웨이를 구축하는 인스턴스 유형을 선택합니다.

  5. Minimum Instances(최소 인스턴스) - 가용성 영역당 자동 확장 그룹에 구축되는 최소 인스턴스 수를 선택합니다.

  6. Maximum Instance(최대 인스턴스) - 가용성 영역당 자동 확장 그룹에 구축되는 최대 인스턴스 수를 선택합니다.

  7. HealthCheck Port(상태 확인 포트) - 상태 확인 포트 번호를 입력합니다. Multicloud Defense 컨트롤러에서는 기본값으로 65534를 사용합니다.

  8. User Name(사용자 이름) - 생성된 게이트웨이에 액세스하는 데 사용되는 사용자 이름을 입력합니다.

  9. Packet Capture Profile(패킷 캡처 프로파일) - 드롭다운 메뉴를 사용하여 클라우드 스토리지 버킷에서 패킷이 저장되는 위치를 선택합니다. 옵션이 나열되지 않는 경우 Create Packet Capture Profile(패킷 캡처 프로파일 생성)을 클릭하여 이 창에서 하나를 생성합니다.

  10. Log Profile(로그 프로파일) - 드롭다운 메뉴를 사용하여 어떤 클라우드 통신 사업자에 로깅을 포워딩할지 선택합니다.

  11. Metrics Profile(메트릭 프로파일) - 드롭다운 메뉴를 사용하여 메트릭을 포워딩할 엔터티를 선택합니다. 옵션이 나열되지 않는 경우 Create Metrics Forward Profile(메트릭 포워딩 프로파일 생성)을 클릭하여 이 창에서 생성합니다.

  12. NTP Profile(NTP 프로파일) - 드롭다운 메뉴를 사용하여 게이트웨이와 연결된 NTP 프로파일을 선택합니다. 옵션이 나열되지 않으면 Create(생성)를 클릭하여 이 창에서 옵션을 생성합니다.

  13. Security(보안) - 게이트웨이가 처리해야 하는 트래픽 플로우의 유형을 선택합니다. 인그레스 보안은 공용 인터넷에서 프라이빗 네트워크로 이동하는 트래픽을 대상으로 합니다. 이스트-웨스트 및 이그레스 보안은 프라이빗 네트워크에서 아웃바운드하는 트래픽과 데이터 센터 간에 이동하는 트래픽을 대상으로 합니다.

  14. Gateway Image(게이트웨이 이미지) - 드롭다운 메뉴를 사용하여 게이트웨이에 구축할 게이트웨이 이미지를 선택합니다.

  15. Policy Ruleset(정책 규칙 집합) - 드롭다운 메뉴를 사용하여 구축할 정책 규칙 집합을 선택하고 트래픽 처리를 시작합니다. 규칙 집합이 목록에 없으면 Create new(새로 만들기)를 클릭하여 이 창에서 정책 규칙 집합을 생성합니다.

  16. Region(지역) - 드롭다운 메뉴를 사용하여 게이트웨이가 구축된 지역을 선택합니다.

  17. VPC/VNet ID - 드롭다운 메뉴를 사용하여 게이트웨이가 구축된 VPC를 선택합니다.

  18. Key Selection(키 선택) - SSH 공개 키 또는 SSH 키 쌍을 선택합니다. 게이트웨이에 적용할 값을 다음 텍스트 필드에 입력합니다.

  19. Resource Group(리소스 그룹) - 드롭다운 메뉴를 사용하여 게이트웨이에 적용되는 기존 리소스 그룹을 선택합니다.

  20. User Assigned Identity ID(사용자 할당 ID) - 유효한 값을 입력합니다.

  21. Mgmt. Security Group(관리 보안 그룹) - 드롭다운 메뉴를 사용하여 게이트웨이 관리 인터페이스에 사용되는 보안 그룹을 선택합니다. Multicloud Defense에서 생성된 서비스 VPC를 선택할 경우 관리용으로 보안 그룹이 특별히 생성됩니다.

  22. Datapath Security Group(데이터 경로 보안 그룹) - 드롭다운 메뉴를 사용하여 게이트웨이 데이터 경로 인터페이스에 사용되는 보안 그룹을 선택합니다. Multicloud Defense에서 생성한 서비스 VPC를 선택할 경우 해당 데이터 경로에 특별히 보안 그룹이 생성됩니다.

  23. Disk Encryption(디스크 암호화) - Azure 관리 암호화 또는 고객 관리 암호화 키를 사용하여 디스크 암호화를 활성화합니다. 고객 관리 암호화 키를 선택하는 경우 성공적인 구축을 위해 IAM 정책을 생성하고 구축해야 합니다.

  24. Availability Zone(가용성 영역) - 드롭다운 메뉴를 사용하여 가용성 영역을 선택합니다.

  25. Mgmt. Subnet(관리 서브넷) - 드롭다운 메뉴를 사용하여 관리 인터페이스의 관리 서브넷을 선택합니다.

  26. Datapth Subnet(데이터 경로 서브넷) - 드롭다운 메뉴를 사용하여 데이터 경로 인터페이스의 서브넷을 선택합니다.

    인스턴스 유형을 더 추가하려면 "+" 아이콘을 클릭합니다. 이어서 "-" 아이콘을 사용하여 추가 인스턴스 유형을 제거할 수 있습니다.

단계 6

Next(다음)를 클릭합니다.

단계 7

고급 설정에 대한 세부 정보를 입력합니다.

단계 8

Next(다음)를 클릭합니다.

단계 9

검토.
다음에 수행할 작업