개요

Firewall Threat Defense 가상(FTDv) 게이트웨이를 구축하면 특히 네트워크 보안 및 관리 측면에서 몇 가지 이점을 제공할 수 있습니다. FTDv에서 이 기능을 활용하면 표준 ISP 게이트웨이에는 없는 고급 보안 기능을 활용할 수 있습니다. FTDv 게이트웨이를 구축하면 이러한 보안 기능을 활용하여 네트워크를 보호할 수 있습니다.

다중 제품 작업이므로 Multicloud Defense 및 클라우드 제공 Firewall Management Center 사이를 이동하여 단계를 완료해야 합니다. Multicloud Defense가 인터페이스, 게이트웨이 구성, NAT 규칙, 플랫폼 설정을 포함한 FTDv 디바이스를 구축하고 등록하는 반면, 액세스 정책, 규칙 및 개체를 편집하는 반면 사용자는 클라우드 제공 Firewall Management Center 어카운트 내에서 액세스 정책, 규칙 및 개체를 편집합니다.

지침

다음은 클라우드 제공 Firewall Management Center에서 관리하는 FTDv를 생성할 때 따라야 할 몇 가지 지침입니다.

• 게이트웨이를 생성하고 FTDv 환경에 적용할 때 Multicloud Defense은 필요한 보조 인터페이스에 대해 서브넷 및 해당 보안 그룹을 자동으로 생성합니다.

• 테넌트 내에서 클라우드 제공 Firewall Management Center 계층에서 허용하는 최대 수의 FTDv 게이트웨이를 구축하지 마십시오. 업그레이드 중에는 이전 인스턴스를 해제하기 전에 새 인스턴스를 가동할 수 있도록 추가 용량이 일시적으로 필요합니다.

• Azure에서 디버깅 위해 SSH를 통해 FTDv 인스턴스에 로그인하려는 경우, 게이트웨이 구축 중에 프로비저닝된 SSH 키와 함께 사용자 이름 "centos"를 사용합니다.

  또는 Azure CLI를 통해 게이트웨이 구축 중에 제공된 "admin" 사용자 이름 및 비밀번호 로 FTDv에 로그인할 수 있습니다.

• AWS에서 동-서 트래픽 검사를 위해 액세스 정책에 사용할 보안 영역은 "VNI" 영역입니다. U턴 트래픽이므로 소스 및 대상 보안 영역은 동일합니다.

  AWS에서 이그레스 트래픽 소스에 대해 사용할 소스 보안 영역은 "VNI" 영역이고 사용할 대상 "외부" 보안 영역입니다.

• Azure에서 동-서 트래픽 검사의 경우 액세스 정책에 사용할 보안 영역은 "내부" 영역입니다. U턴 트래픽이므로 소스 및 대상 보안 영역은 동일합니다.

  Azure에서 이그레스 트래픽의 경우 소스 보안 영역은 "내부" 영역이 되고 대상 "외부" 보안 영역이 됩니다.

FTDv 게이트웨이를 성공적으로 생성하고 구축하려면 다음 절차를 수행합니다.

1. Security Cloud Control 테넌트에서 클라우드 제공 Firewall Management Center를 활성화합니다.

2. CSP를 온보딩합니다.

3. 서비스 VPC를 생성합니다.

4. FTDv 게이트웨이를 생성합니다.

5. 액세스 정책 클라우드 제공 Firewall Management Center를 구성합니다.

제한 사항

클라우드 제공 Firewall Management Center에서 관리하는 FTDv 게이트웨이를 생성할 때 적용되는 다음의 일반적인 제한 사항을 자세히 읽어보십시오.

• 활성 클라우드 제공 Firewall Management Center 어카운트가 있는지 확인해야 합니다.

• FTDv 디바이스가 클러스터링된 경우 게이트웨이를 생성할 수 없습니다.

• FTDv 게이트웨이를 사이트 간 VPN 또는 RA VPN의 엔드포인트로 사용할 수 없습니다.

• 동-서/이그레스 게이트웨이 유형만 지원됩니다.

• 새 서비스 VPC를 생성해야 합니다. 이 기능이 도입되기 전에 생성된 VPC는 이 기능을 지원하지 않습니다. 새 VPC를 생성할 때 Multicloud Defense 게이트웨이 또는 FTDv 게이트웨이에 계속 사용할 수 있습니다.

• 스마트 라이선스를 사용하려면 Cisco 판매자 또는 파트너를 통해 라이선스를 구매해야 합니다.

• 게이트웨이 소프트웨어 업데이트는 Multicloud Defense 대시보드를 통해 수행해야 합니다.

• FTDv 게이트웨이에 대한 FTDv 버전 업데이트 및 설정 변경은 Multicloud Defense 대시보드를 통해 수행 해야 합니다. 여기에는 FTDv 디바이스를 디바이스 그룹 내부 또는 외부로 이동, FTDv 디바이스 또는 디바이스 그룹에 연결된 정책 변경, FTDv의 상태에 직접 영향을 미치는 기타 작업이 포함됩니다.

• 액세스 제어 정책 수정은 클라우드 제공 Firewall Management Center 대시보드를 통해 수행 해야 합니다. 이는 정책 자체의 변경 사항을 의미하며 정책이 FTDv와 연계된 방식을 의미하지 않습니다.

• 현재 점보 프레임은 지원되지 않습니다.

• 현재는 AWS 및 Azure 클라우드 통신 사업자만 FTDv 게이트웨이와 관련된 게이트웨이를 지원합니다.

  중요사항	기존 AWS 또는 Azure 클라우드 통신 사업자 또는 새 AWS 클라우드 통신 사업자 어카운트가 있는 경우 Marketplace 약관 또는 사용 약관에 수동으로 동의 해야 합니다.

라이선싱

Multicloud Defense 게이트웨이는 Multicloud Defense 라이선싱과 스마트 라이선싱을 모두 지원합니다.

Multicloud Defense 라이선싱은 클라우드 통해 제공되는 소프트웨어에 대한 구독 기반 액세스이며 액세스 용이성, 확장성 및 정기 업데이트를 강조합니다. Multicloud Defense 라이선싱은 일반적으로 구독 기반이며 반복 요금이 부과되며 여기에는 종종 유지 보수, 업데이트 및 지원이 패키지의 일부로 포함됩니다. 대부분의 Multicloud Defense 라이선싱 모델은 확장성을 제공하므로 조직의 현재 요구 사항에 따라 사용자 수 또는 기능 수를 쉽게 조정할 수 있습니다. 이 라이선싱 모델은 클라우드 기반이므로 최신 기능 및 업데이트에 즉시 액세스할 수 있습니다. 자세한 내용은 Cisco Security Analytics and Logging 주문 가이드를 참조하십시오.

라이선싱은 특정 구축 시나리오에서 비용 절감을 위해 기존 라이선스를 활용하는 데 더 적합합니다. 스마트 라이선스를 선택하면 조직에서 클라우드 또는 하이브리드 구축에 사전 구매한 라이선스를 사용할 수 있으므로 조직에서 이미 소유한 라이선스를 활용하는 것이 비용면에서 더 효율적입니다. 스마트 라이선스는 클라우드 또는 하이브리드 시나리오와 같이 조직이 새 라이선스를 획득하지 않고 기존 워크로드를 마이그레이션하는 특정 구축 유형에 자주 사용된다는 추가 이점이 있습니다.

FTDv에 대한 게이트웨이를 생성할 때 리소스에 따라 이러한 두 가지 옵션 중 하나를 선택할 수 있습니다.

중요사항	FTDv 디바이스와 함께 게이트웨이를 구축한 후에는 라이선싱 모델을 변경할 수 없습니다. 선택한 라이선싱 모델의 성능 계층을 변경할 수 있습니다.

다음과 같이 여러 라이선싱 계층이 있습니다.

• Base 라이선싱: 이 라이선스는 스테이트풀 방화벽, 라우팅 및 NAT 기능과 같은 기본 방화벽 및 네트워킹 기능을 활성화하는 표준 기본 라이선스입니다.

• Threat 라이선싱(위협 보호): 위협 탐지 및 방지를 활성화하는 IPS(침입 방지 시스템) 기능에 대한 액세스를 제공합니다. 또한 알려진 취약성 및 위협에 대한 시그니처 기반 탐지도 포함됩니다.

• Malware 라이선싱(멀웨어 방어) - Cisco AMP(Advanced Malware Protection)를 통해 지능형 멀웨어 방지를 활성화하며 파일 경로 분석, 샌드박싱 및 회귀적 멀웨어 탐지 기능을 포함합니다.

• URL Filtering 라이선싱: URL 필터링을 통해 웹 트래픽을 제어 및 모니터링할 수 있으며, 웹 범주를 위한 Cisco의 전역 위협 인텔리전스에 대한 액세스를 제공합니다.

이러한 라이선스 유형과 함께 성능과 처리량을 조정하여 비용 최적화와 확장성을 지원할 수 있는 용량 기반 라이선싱이 제공됩니다.

• FTDv5: 최대 100Mbps Azure에서만 지원됩니다.

• FTDv10: 최대 1Gbps Azure에서만 지원됩니다.

• FTDv20: 최대 3Gbps

• FTDv30: 최대 5Gbps

• FTDv50: 최대 10Gbps

• FTDv100: 최대 16Gbps

자동 확장

자동 확장을 사용하면 애플리케이션의 비용 효율성을 최적화하는 동시에 성능을 유지하는 데 필요한 리소스를 사용할 수 있습니다. Multicloud Defense가 이 작업을 자동으로 수행하지만, 게이트웨이 인스턴스 자동 확장의 이점으로는 비용 효율성, 최적화된 성능 및 환경 내의 유연성을 들 수 있습니다.

FTDv 게이트웨이의 자동 확장은 Multicloud Defense 게이트웨이의 자동 확장과 다릅니다. 기본 자동 확장 기능에 대한 자세한 내용은 게이트웨이 자동 확장을 참조하십시오. 자동 확장이 FTDv 게이트웨이에 미치는 영향과 자동 확장이 경험을 향상하는 방법에 대한 내용은 다음을 참조하십시오.

• Monitored Metrics(모니터링된 메트릭) - 자동 확장이 특정 환경에 대해 적시에 적절하게 수행되도록 하기 위해 시스템 메모리, Snort CPU 및 데이터 플레인의 메트릭이 모니터링됩니다.

• Scale Out(확장) - 메트릭이 허용된 임계값을 초과하여 등록되면 환경은 트래픽 급증을 처리하기 위해 인스턴스와 연결된 로드 또는 리소스를 수용할 수 있도록 수직 또는 수평 확장됩니다. 이 트리거된 이벤트는 지정된 지역이 아닌 가용성 영역별로 발생합니다.

  참고	환경을 확장하면 구축 작업에 시간이 추가됩니다.

• Scale In(축소) - 메트릭이 허용된 임계값 아래로 등록되는 경우, 환경은 트래픽 삭제를 처리하기 위해 인스턴스와 연결된 리소스 또는 로드를 수용하기 위해 수직 또는 수평 축소됩니다. 이 트리거된 이벤트는 지정된 지역이 아닌 가용성 영역별로 발생합니다.

이그레스/동-서

퍼블릭 클라우드 네트워크에서 나가는 트래픽을 보호하기 위해 이그레스/이스트-웨스트 게이트웨이 구축. 이그레스 게이트웨이는 투명 포워드 프록시로 작동하여 전체 해독을 수행하고 침입 방지, 악성코드 차단, 데이터 손실 방지, 전체 경로 URL 필터링과 같은 고급 보안 기능을 내장합니다. 선택적으로, 포워딩 모드에서 작동할 수도 있습니다. 이 모드에서는 트래픽을 프록시하거나 해독하지 않지만 악의적인 IP 차단 및 FQDN 필터링과 같은 보안 기능이 계속 적용됩니다.

이 다이어그램은 중앙 집중식 모드의 이그레스 게이트웨이가 있는 AWS 어카운트의 예입니다.

이그레스의 NAT 게이트웨이

Note	현재 Multicloud Defense는 AWS 및 Azure 전용 이그레스 구축에서 네이티브 게이트웨이를 지원합니다.

NAT(네트워크 주소 변환) 게이트웨이는 클라우드 통신 사업자 내에서 시작되도록 설계된 게이트웨이입니다. 이그레스 트래픽은 단일 IP 주소 또는 가용성 영역당 하나 이상의 IP 주소에서 표시됩니다. 클라우드 환경 내에서 게이트웨이를 구축하고 호스팅하면 잠재적으로 효율성을 높이고 비용을 줄일 수 있습니다. Multicloud Defense의 VPC 또는 VNet과 클라우드 통신 사업자의 게이트웨이 간의 연결이 실패하면 Multicloud Defense 시스템 로그가 문제 해결을 위해 인스턴스를 캡처합니다.

지원되는 구성은 다음과 같습니다.

• Azure는 하나의 서브넷을 지원합니다.

• NAT 게이트웨이에 하나 이상의 퍼블릭 IP 주소가 구성되어 있어야 합니다.

이 다이어그램은 중앙 집중식 모드의 이그레스 게이트웨이가 있는 Azure 어카운트의 예입니다.

AWS CloudWAN

현재 Multicloud Defense는 이그레스 게이트웨이에 AWS의 CloudWAN을 포함하는 것을 지원합니다. CloudWAN은 데이터 센터, 브랜치 및 AWS 네트워크를 통합하는 인텐트 기반 매니지드 WAN(Wide Area Network) 서비스입니다. 여러 지역에서 여러 Transit 게이트웨이를 상호 연결하여 글로벌 네트워크를 생성할 수 있지만, CloudWAN은 핵심 네트워크 정책을 기반으로 글로벌 네트워크 구축 및 운영을 위해 특별히 설계된 내장형 자동화, 세그멘테이션 및 설정 관리 기능을 제공합니다.

이 옵션은 모두 AWS Network Manager 내에서 관리되는 자동화된 VPC 첨부, 통합 성능 모니터링, 중앙 집중식 구성과 같은 향상된 기능을 제공합니다. 이를 통해 AWS 어카운트, 지역 및 온프레미스 위치에서 CloudWAN 코어 네트워크 및 Transit 게이트웨이 네트워크를 중앙에서 관리하고 시각화할 수 있습니다.

주요 이점:

• 간소화된 네트워크 관리: AWS CloudWAN은 네트워크 구성, 정책을 관리하고 트래픽을 모니터링하기 위해 AWS Network Manager를 통해 중앙 집중식 대시보드를 제공합니다. 따라서 서로 다른 여러 네트워킹 솔루션을 처리하는 복잡성이 크게 감소하고 네트워크에 대한 통합 보기를 제공합니다.

• 확장성: 고객이 비즈니스 성장에 따라 네트워크를 쉽게 확장할 수 있습니다. 조직이 클라우드 존재 및 글로벌 입지를 확장함에 따라 CloudWAN은 상당한 수동 재구성 없이도 증가하는 수요를 수용할 수 있습니다.

• 최적화된 성능: CloudWAN은 AWS의 글로벌 인프라fmf 활용하여 다양한 지리적 위치에서 고성능 및 레이턴시가 짧은 연결성을 보장하여 애플리케이션 성능 및 사용자 경험을 개선합니다.

CloudWAN 간소화:

• 중앙 집중식 정책 관리: 선언적 언어로 작성된 코어 네트워크 정책은 세그먼트, AWS 지역 라우팅 및 첨부 파일을 세그먼트에 매핑하는 방법을 정의합니다. 단일 네트워크 정책을 통해 고객은 전체 네트워크의 라우팅 및 보안 정책을 관리할 수 있으므로 수동 구성의 필요성이 줄어들고 오류가 최소화됩니다.

• 운영: CloudWAN은 경로 전파 및 정책 시행과 같은 여러 네트워크 관리 작업을 자동화하여 IT 팀이 보다 전략적인 이니셔티브에 집중할 수 있도록 지원합니다.

• 원활한 통합: 다른 AWS 서비스 및 타사 솔루션과 통합되므로 고객은 최소한의 노력으로 일관되고 포괄적인 네트워크 인프라를 구축할 수 있습니다.

• 향상된 시각화: AWS Network Manager는 네트워크 리소스를 정확히 나타내는 세계 맵, CloudWatch 이벤트를 사용한 모니터링, 실시간 이벤트 추적 및 네트워크의 토폴로지 다이어그램을 비롯한 여러 대시보드 시각화를 제공합니다. 따라서 글로벌 네트워크의 모든 측면을 더 쉽게 관리하고 모니터링할 수 있습니다.

보안 서비스 삽입은 보안 서비스를 네트워크 경로에 직접 통합하는 방식을 의미합니다. 다음은 Multicloud Defense를 사용하여 이를 구현할 때의 이점입니다.

• 보안 태세 강화: 네트워크에 보안 서비스를 삽입하면 트래픽을 실시간으로 검사, 모니터링 및 필터링할 수 있어 위협이 중요 리소스에 영향을 미치기 전에 탐지하고 완화할 수 있습니다.

• 일관된 보안 정책: 보안 서비스를 삽입하면 기본 인프라 또는 지리적 위치에 관계없이 전체 네트워크에서 일관된 보안 정책이 적용됩니다. 이러한 균일성은 컴플라이언스 및 거버넌스를 간소화합니다.

• 가시성 및 제어 개선: 보안 서비스를 통합하면 네트워크 트래픽과 잠재적 위협에 대한 가시성이 향상됩니다. 관리자는 고급 애널리틱스 및 모니터링 도구를 활용하여 심층적인 인사이트를 얻고 보안 위험을 보다 효과적으로 관리할 수 있습니다.

• 레이턴시 및 복잡성 감소: 별도의 보안 어플라이언스를 통해 트래픽을 라우팅하는 대신 네트워크 경로에 보안 기능을 내장함으로써 레이턴시가 최소화되고 네트워크 복잡성이 감소되어 성능이 향상되고 네트워크 아키텍처가 간소화됩니다.

• 유연성 및 확장성: Multicloud Defense를 포함하여 보안 서비스를 삽입하면 조직에서 변화하는 네트워크 조건 및 새로운 위협에 대응하여 보안 조치를 동적으로 확장하여 강력한 보호를 항상 보장할 수 있습니다.

• 집중식 보안: 보안 리소스를 통합하여 관리 부담을 줄이고 인프라 비용을 절감합니다.

• 간소화된 라우팅: 복잡한 라우팅 구성 또는 타사 자동화 툴 없이 네트워크 트래픽을 보안 어플라이언스로 쉽게 조정할 수 있습니다.

• Multi-Region Security Inspection(다지역 보안 검사): 다지역 구축을 간소화하여 복잡한 설정 없이도 지역 내 및 지역 간 트래픽이 보안 인프라를 통과할 수 있도록 합니다.

보안 서비스 삽입을 위해 AWS CloudWAN과 Multicloud Defense을 활용함으로써 고객은 비즈니스 성장과 고객은 비즈니스 성장 및 운영 복원력을 지원하는 안전하고 쉽게 관리할 수 있는 고성능 네트워크 인프라를 구축할 수 있습니다. Multicloud Defense를 사용하는 사용자는 보안 서비스 VPC를 생성하고, 기존 CloudWAN에 연결하며, 네트워크 기능 그룹(NFG)을 생성하고, 라우팅 업데이트를 통해 스포크 세그먼트를 보호하는 모든 작업을 자동화된 방식으로 수행할 수 있습니다.

AWS CloudWAN을 사용하여 서비스 VPC를 생성하는 방법

AWS CloudWAN을 사용하여 서비스 VPC를 생성하려면 다음 단계를 수행합니다.

• 서비스 VPC 생성: 필요한 게이트웨이를 사용하여 여러 CNE에서 서비스 VPC를 설정합니다.

• 네트워크 기능 그룹(NFG)를 생성합니다.

• 서비스 VPC를 NFG로 연결: 첨부 파일 정책 규칙을 사용하여 서비스 VPC를 연결합니다.

• 워크로드 VPC 연결: 첨부 파일 정책 규칙을 사용하여 각 세그먼트에 VPC를 연결합니다.

• 라우팅 업데이트: 라우팅을 업데이트할 정책 및 워크로드 VPC를 수정합니다.

• 핵심 네트워크 정책 업데이트: 핵심 네트워크 정책에 필요한 변경 사항을 적용하고 실행합니다.

AWS CloudWAN을 사용하여 서비스 VPC를 생성하기 전에 다음 제한 사항을 고려하십시오.

• NAT 게이트웨이는 서비스 VPC에 필수입니다.

• Dual-Hop 및 Edge 선택은 현재 지원되지 않습니다.

• 포워딩을 위해 SNAT 활성화 트래픽을 지원하지 않는 AWS CloudWAN 제한의 제한으로 인해, SNAT로 구성된 정책 규칙 세트에 대한 트래픽이 삭제됩니다. Multicloud Defense 정책 규칙 집합에서 SNAT를 비활성화하는 것을 강력히 권장합니다.

• 다른 지역(CNE)에 서비스 VPC를 추가하려면 두 옵션 중 하나를 사용합니다.

  • NFG 첨부 파일에 대한 라우팅을 업데이트하려면 정책을 수동으로 실행하고 적용해야 합니다.

  • 코어 네트워크를 통과하는 워크로드 VPC 경로로 새 서비스 VPC 데이터 경로 서브넷의 라우팅 테이블을 수동으로 업데이트합니다.

AWS Global Accelerator

Multicloud Defense는 Multicloud Defense 게이트웨이 인스턴스 전체에서 트래픽을 로드 밸런싱하는 하나 이상의 AWS 글로벌 액셀러레이터 세트와 통합하여 인그레스 포인트로 사용할 수 있습니다. 이는 인그레스 게이트웨이가 구축될 때 Multicloud Defense에서 생성 및 관리하는 AWS 네트워크 로드 밸런서와 유사하지만, 애플리케이션 및 워크로드를 보호하기 위해 인그레스 게이트웨이에 대체 인그레스 포인트를 제공합니다.

가속기는 전역 가속기의 리스너 엔드포인트 그룹을 관리하여 엔드포인트 그룹에 활성 게이트웨이 인스턴스 집합이 있는지 확인합니다. 클라이언트 IP 주소는 Multicloud Defense 인그레스 게이트웨이로 전역 가속기를 통과할 때 유지됩니다.

Multicloud Defense를 전역 가속기와 통합하려면 사용자는 먼저 AWS 내에 전역 가속기를 생성하고, 원하는 리스너를 정의한 다음 빈 엔드포인트 그룹(또는 기존 Multicloud Defense 인그레스 게이트웨이 인스턴스를 포함하는 엔드포인트 그룹)을 생성해야 합니다. AWS 리소스가 있으면 글로벌 가속기와 통합하도록 Multicloud Defense 인그레스 게이트웨이를 구성합니다.

추가 구성 정보는 Amazon AWS 설명서를 참조하십시오.

Azure 로드 밸런서

Azure 클라우드 통신 사업자가 있는 경우, 이제 Multicloud Defense 게이트웨이의 일부로 Azure에서 자체 로드 밸런서를 사용할 수 있습니다. Azure 로드 밸런서 여러 프록시 서버에서 Multicloud Defense 게이트웨이 인스턴스의 클러스터 하나 이상 포함하는 시스템 제공 백엔드 풀로 트래픽을 유입하고 처리합니다. 이 시나리오는 비 HTTP 트래픽을 처리하는 여러 프록시 서버에 대해 보안 정책을 생성하려는 경우에 적합합니다.

이 기능을 사용하려면 Azure 로드 밸런서를 참조하는 Multicloud Defense 게이트웨이을 생성해야 합니다. 다음 사전 요건 및 제한 사항을 고려하십시오.

• Azure 로드 밸런서가 이미 구성되어 있어야 합니다.

• 로드 밸런서가 작동하려면 로드 밸런서 규칙에 대한 동적 IP를 활성화 해야 합니다.

• 사용자 지정 로드 밸런서용으로 Azure에서 백엔드 풀을 생성하고 구성하는 것을 강력히 권장합니다. 현재 백엔드 풀은 리소스를 포함할 필요가 없으며 나중에 수정할 수 있습니다.

• 리소스 그룹으로 Azure 로드 밸런서를 구성하도록 선택하는 경우 Azure 리소스 그룹 및 Multicloud Defense 게이트웨이의 리소스 그룹을 동일한 지역에 대해 구성해야 합니다.

• 리소스 그룹을 사용하여 Azure 로드 밸런서를 구성하도록 선택하는 경우, 로드 밸런서 리소스 그룹과 Multicloud Defense 게이트웨이 리소스 그룹이 동일할 필요는 없습니다.

• Azure 로드 밸런서에 대한 상태 프로브를 구성할 수 있지만 필수 사항은 아닙니다.

• Multicloud Defense 게이트웨이의 가상 네트워크와 Azure 로드 밸런서의 가상 네트워크는 동일해야 합니다.

• Multicloud Defense 게이트웨이의 데이터 경로 서브넷과 Azure 로드 밸런서의 서브넷 동일해야 합니다.

• 가용성 영역이 하나 이상 있는 VPC에 게이트웨이를 연결 해야 합니다.

Azure 로드 밸런서 생성, 수정 또는 완료 방법에 대한 자세한 내용은 Microsoft Azure 설명서를 참조하십시오.

Azure UDP 프래그먼트화

일반적으로는 프래그먼트화를 피하는 것이 좋지만 프래그먼트화가 발생하여 Azure 로드 밸런서 패킷을 삭제하는 시나리오가 있을 수 있습니다.

프래그먼트화에 대한 지원을 활성화하려면 Cisco 지원팀에 문의하십시오.

사전 요건 및 제한 사항

스포크 VPC 또는 VNet을 보호하기 전에 다음 요구 사항을 완료합니다.

AWS

• AWS는 엣지 또는 중앙 집중식 모드에서 구축된 환경에 대해 생성된 후 서비스 VPC에서 가용성 영역을 추가하거나 제거하는 것을 지원하지 않습니다. 서비스 VPC를 생성한 후 가용성 영역을 수정해야 하는 경우 올바른 영역이 포함된 새 VPC를 생성해야 합니다.

• CloudWAN을 사용하는 AWS 어카운트는 스포크 VPC를 보호하거나 게이트웨이를 추가하기 전에 AWS Network Manager를 통해 다음을 구성해야 합니다.

  • 이미 온보딩된 AWS 어카운트의 경우 AWS 대시보드에서 권한 목록을 수동으로 수정하여 MCDControllerRole IAM 정책에 networkmanager:*를 포함합니다. 자세한 내용은 AWS의 "IAM ID 권한 추가 및 제거" 설명서를 참조하십시오.

  • 이그레스/동-서 게이트웨이를 서비스 VPC에 연결해야 합니다.

  • 최소한 하나 이상의 글로벌 네트워크가 구성되어 있어야 합니다.

  • 이미 생성된 코어 네트워크가 하나 이상 있어야 하며, 세그먼트를 이미 포함할 필요는 없습니다.

Azure

• VNet 페어링은 동일한 CSP 유형 내의 어카운트 간에 지원됩니다. 어카운트 내에서 그리고 어카운트 간에 스포크 VPC/VNet을 추가할 수 있습니다. Azure의 구독 간 스포크 VPC 피어링의 경우 동일한 앱 등록을 사용하여 CSP 어카운트를 온보딩해야 하며 구독은 동일한 Active Directory 내에 있어야 합니다.

• Azure 환경에서는 스포크 VPC/VNet을 보호하기 전에 경로 테이블을 연결해야 합니다. 자세한 내용은 Azure 사용자 가이드의 "경로 테이블을 서브넷에 연결" 장을 참조하십시오.

• Azure는 엣지 또는 중앙 집중식 모드에서 구축된 환경에 대해 생성된 후에 서비스 VPC에 가용성 영역을 추가하거나 제거하는 것을 지원하지 않습니다. 서비스 VPC를 생성한 후 가용성 영역을 수정해야 하는 경우 올바른 영역이 포함된 새 VPC를 생성해야 합니다.

GCP

• GCP는 엣지 또는 중앙 집중식 모드에서 구축된 환경에 대해 생성된 후 서비스 VPC에서 가용성 영역 추가 또는 제거를 지원하지 않습니다. 이는 엣지 모드에서 구축된 환경의 Azure, GCP 및 OCI에도 적용됩니다. 서비스 VPC를 생성한 후 가용성 영역을 수정해야 하는 경우 올바른 영역이 포함된 새 VPC를 생성해야 합니다.

OCI

• OCI는 엣지 또는 중앙 집중식 모드에서 구축된 환경에 대해 생성된 후 서비스 VPC에서 가용성 영역 추가 또는 제거를 지원하지 않습니다. 서비스 VPC를 생성한 후 가용성 영역을 수정해야 하는 경우 올바른 영역이 포함된 새 VPC를 생성해야 합니다.

Multicloud Defense 게이트웨이 사전 요건 및 제한 사항

사전 요건

지원되는 클라우드 통신 사업자(AWS, Azure, GCP, OCI)는 고유한 용어 및 게이트웨이 환경을 사용하는 별도의 엔터티입니다. Multicloud Defense 컨트롤러에서 사용 가능한 모든 옵션이 클라우드 통신 사업자와 호환되는 것은 아닙니다. 예를 들어 AWS는 자체 Transit 게이트웨이를 사용하며 사용자는 VPC를 추가할 수 있으며 Azure에서는 로드 밸런서를 사용하여 웹 트래픽 및 애플리케이션을 관리하며 사용자는 여기에 VNet을 추가할 수 있습니다. 계속 진행할 때 이 점에 유의하십시오.

참고	AWS 환경의 경우 중앙 집중식 모드에서 스포크 VPC를 보호할 때 Multicloud Defense은 VPC를 서비스 VPC와 연결된 Transit 게이트웨이에 연결합니다. 기본적으로 Multicloud Defense은(는) Transit 게이트웨이 연결에 대해 각 가용성 영역에서 서브넷을 무작위로 선택합니다. VPC를 추가할 때 이 옵션을 변경할 수도 있고, 게이트웨이에 이미 할당된 VPC를 수정할 수도 있습니다.

제한 사항

Multicloud Defense 게이트웨이를 생성할 때 다음 제한 사항에 유의합니다.

• IPSec 프로파일이 포함된 사이트 간 VPN 터널을 사용하는 Multicloud Defense 게이트웨이을 구축하는 경우, VPN 연결의 양쪽에 NAT(Network Address Translation) 게이트웨이 없이 서비스 VPC 또는 서비스 VNet을 사용하여 게이트웨이를 구축해야 합니다.

• IPSec 프로파일을 포함하는 게이트웨이에 대해서는 Autoscaling이 지원되지 않습니다.

• 게이트웨이 내의 정책 규칙은 포워딩 전용이어야 합니다.

• AWS 또는 Azure 어카운트에 대한 Multicloud Defense 게이트웨이에 IPSec 프로파일을 포함하려면 코어 8 로 게이트웨이 인스턴스를 설정 해야 합니다. Multicloud Defense 게이트웨이는 현재 코어 2 또는 코어 4 옵션이 있는 게이트웨이를 지원하지 않습니다.

FTDv 게이트웨이 사전 요건 및 제한 사항

Multicloud Defense에서는 게이트웨이를 생성, 구축 및 유지 관리하는 프로세스만 오케스트레이션합니다. 모든 정책 또는 규칙 생성은 클라우드 제공 Firewall Management Center에서 이루어집니다. 게이트웨이를 생성하기 전에 두 관리 제품의 통합을 지원하기 위해 다음 사전 요건, 제한 사항 및 권장 사항을 고려하십시오.

사전 요건

FTDv에 대한 Multicloud Defense 게이트웨이을 생성하기 전에 다음을 완료하고 구성해야 합니다.

• 새 서비스 VPC를 생성해야 합니다. 기능 전에 생성된 VPC는 이 기능을 지원하지 않습니다. 새 VPC를 생성할 때 Multicloud Defense 게이트웨이 또는 FTDv 게이트웨이에 계속 사용할 수 있습니다.

• Multicloud Defense 테넌트에 온보딩된 클라우드 통신 사업자가 있어야 합니다.

• FTDv 게이트웨이에 대한 지정 클라우드 통신 사업자로 AWS 어카운트를 사용하는 경우 AWS Marketplace 서비스 약관에 수동으로 동의 해야 합니다. Multicloud Defense 컨트롤러이 필요한 API 요청을 보낼 수 없습니다.

• Cisco 판매자 또는 파트너를 통해 구매한 라이선스가 하나 이상 있어야 합니다.

• 클라우드 제공 Firewall Management Center를 구독 해야 합니다.

환경의 제한 사항 및 요구 사항은 Firewall Threat Defense Virtual을 참조하십시오.