CMA 고급 그룹 및 그룹 작업

개요

Cato 관리 애플리케이션(CMA)의 고급 그룹 및 그룹을 사용하면 사이트, 호스트, 서브넷 및 기타 엔터티 집합을 정책 구성에서 단일 객체로 관리할 수 있습니다.

객체 그룹화는 그룹 멤버십을 정책 적용과 분리함으로써 규모 있게 운영할 수 있게 합니다. 이 접근 방식은 정책 관리를 간소화하고 객체 라이프사이클 작업(예: 구성원 추가 또는 제거)을 규칙 정의 및 시행으로부터 분리하며, 관리 책임을 명확하게 합니다. 각기 다른 관리자들이 그룹 멤버십과 정책 사용을 독립적으로 관리할 수 있습니다.

그룹을 만들 준비가 되었을 때 두 가지 유형 중에서 선택할 수 있습니다.

고급 그룹
- API 통합을 지원합니다: mutation APIs를 생성하고 구성하며, query APIs를 지원합니다.
- 동적으로 멤버가 지원되는 정책과 호환되는지 검증합니다.
- 투명하고 직관적인 사용자 경험을 제공하여 각 정책 맥락에서 유효한 고급 그룹을 쉽게 식별할 수 있도록 합니다.
- 미래의 확장을 지원하기 위해 설계되었으며, Cato는 다양한 구성원 유형 및 새로운 객체로 고급 그룹을 쉽게 업데이트할 수 있습니다.
그룹 - 기존 프로세스 및 구성을 계속 지원하기 위해 남아 있는 초기 유형의 그룹
- 그룹은 또한 사용자 정의 네트워크 옵션, 예를 들어 사용자 정의 DNS 및 DHCP 설정을 계속 지원합니다.

고급 그룹을 위한 지원되는 정책

다음 정책에서 고급 그룹을 지원합니다.

인터넷 방화벽
WAN 방화벽
소켓 차세대 LAN 방화벽
네트워크 규칙

추가 정책은 앞으로 고급 그룹을 지원할 것입니다. 모든 정책은 그룹을 지원합니다.

정책에서 고급 그룹과 그룹 사용

규칙의 필드(예: 출처)는 선택 가능한 모든 그룹을 보여주며, 그룹과 고급 그룹 모두 포함됩니다.

고급 그룹 - 호환 가능한 고급 그룹만 규칙에 추가할 수 있습니다.
그룹 - 모든 그룹이 규칙에 추가할 수 있습니다.

그룹에 대한 검증이 없으며, 만약 그룹에 호환되지 않는 멤버가 포함되어 있다면 규칙 동작이 일관되지 않을 수 있습니다.

고급 그룹의 호환 멤버란 무엇인가요?

고급 그룹은 모든 멤버들이 지원되는 경우에만 정책과 호환됩니다. 그렇지 않으면 고급 그룹은 호환되지 않습니다. 예를 들어, 링크 건강 규칙 정책은 사이트만 지원하므로 사이트 및 호스트를 포함하는 그룹은 해당 규칙에서 비호환이 됩니다.

CMA 또는 API는 정책에 따라 구성원을 검증하고 그룹에 규정을 준수하지 않는 멤버 추가를 허용하지 않습니다. 마찬가지로, 고급 그룹이 정책에 할당되면 모든 정책과 호환되는 새로운 멤버를 추가할 수 있습니다.

고급 그룹에서 IP 범위 사용

IP 범위를 사용하면 여러 정책에 걸쳐 대규모의 IP 범위를 정의하고 재사용할 수 있어 수동 구성을 줄이고 일관성을 보장할 수 있습니다. 고급 그룹은 멤버 유형으로서 IP 범위를 추가하는 것을 지원하여 다음을 제공합니다.

인터넷 및 WAN 방화벽 정책에서 고급 그룹의 멤버로 글로벌 IP 범위의 대량 설정을 관리합니다.
IP 범위 객체에 대한 변경 사항은 관련된 모든 규칙에 자동으로 적용되도록 보장합니다.

IP 범위 생성을 위한 추가 정보는 정책에서 IP 범위 사용을 참조하십시오.

고급 그룹 관리

고급 그룹 추가

그룹을 추가하고 그 구성원을 정의하려면：

탐색 메뉴에서 리소스 > 고급 그룹을 클릭합니다.
새로운을 클릭하세요． 생성 창이 열립니다．
일반 섹션에서 그룹 이름과 설명을 입력합니다.
멤버 섹션에서 이 그룹의 멤버인 항목들을 추가합니다.
저장을 클릭하십시오．

고급 그룹은 저장되고 CMA에 추가됩니다.

그룹 관리

그룹을 생성하고 이를 사전 정의된 그룹과 더불어 CMA 전역 객체로 활용할 수 있습니다.

CMA에서 그룹의 구성원이 되는 항목들을 정의하세요． DNS 및 DHCP 옵션과 관련된 그룹의 특별한 구성을 정의할 수도 있습니다．

다음 유형의 그룹이 있습니다.

수동: 수동으로 정의한 그룹입니다． 그룹 멤버는 다양한 네트워크 엔터티를 포함할 수 있습니다(예: 사이트, 네트워크, 플로팅 범위, 및 호스트).
시스템: CMA에 사전 정의된 그룹. 이들은 적절한 항목이 추가되면 자동으로 새로운 구성원과 함께 업데이트되는 동적 그룹입니다． 예를 들어, 새로운 사이트가 계정에 추가되면, 모든 사이트 시스템 그룹은 자동으로 새로운 사이트로 업데이트됩니다． 이 그룹이 보안 규칙에 사용되면, 규칙은 또한 새로운 사이트에 적용됩니다．

시스템 그룹에는 다음이 포함됩니다：
- 모든 사이트: 모든 사이트를 포함하는 그룹
- 모든 부동 IP 범위: 시스템에서 정의된 모든 부동 IP 범위를 포함하는 그룹

그룹과 그룹 구성원 보여 주기

그룹의 구성원을 표시하려면：

네비게이션 메뉴에서 자원 > 그룹을 클릭하세요．
네비게이션 메뉴에서 구성원을 클릭하세요． 그룹 구성원이 표시됩니다．

그룹 추가

그룹과 그 구성원을 정의할 수 있습니다． 시스템 그룹에 대한 동작은 다음과 같습니다.

일반 패널에서의 정의는 CMA에 의해 정의되며 수정할 수 없습니다.
시스템 그룹에 대해서, 멤버 패널의 정의는 CMA에 의해 정의되며 수정할 수 없습니다.

그룹을 추가하고 멤버를 정의하려면:

네비게이션 메뉴에서 자원 > 그룹을 클릭하세요．
새로 만들기를 클릭합니다. 만들기 패널이 열립니다.
그룹 이름을 입력하고 적용을 클릭하세요． 그룹이 화면에 추가됩니다．
그룹을 클릭하세요． 그룹의 일반 화면이 열립니다．
(선택 사항) 설명을 입력하세요．
이 그룹의 멤버인 항목을 추가합니다.
1. 네비게이션 메뉴에서 구성원을 클릭하세요. 그룹 구성원이 표시됩니다.
2. 멤버 추가 드롭다운 메뉴에서 추가할 멤버 유형을 선택하세요(예: 사이트, 네트워크 인터페이스, 호스트).
  - 네트워크 인터페이스 - 인터페이스의 모든 트래픽(모든 네트워크)
  - 인터페이스 서브넷 - VLAN, 라우팅됨, 직접 범위 또는 보조 AWS vSocket 기본 범위
  - 글로벌 범위 - 인터페이스의 기본 범위
  Cato는 각 그룹에 하나의 유형의 멤버만 포함할 것을 권장합니다． 예시, 모든 네트워크 인터페이스 그룹．
3. 그룹에 포함하려는 유형의 모든 항목을 선택하십시오．
  
  선택된 멤버가 멤버 목록에 추가됩니다．
저장을 클릭합니다.

그룹이 저장되어 CMA에 추가됩니다．

고급 그룹 또는 그룹 삭제

고급 그룹이나 그룹을 삭제하려면 해당 그룹을 사용하는 모든 정책에서 먼저 제거해야 합니다. 예를 들어, 인터넷 방화벽 정책에서 그룹을 제거하지 않으면 그룹을 삭제할 수 없습니다.

그룹을 삭제하려면：

탐색 메뉴에서 리소스 > 고급 그룹 또는 리소스 > 그룹을 클릭합니다.
행 끝의 삭제 아이콘을 클릭합니다.

확인 창이 열립니다．
삭제를 클릭합니다.

그룹이 삭제됩니다．

고급 그룹 FAQ

Q: 고급 그룹을 사용할까요, 아니면 그룹을 사용할까요?

A: 다음의 경우 고급 그룹을 사용하십시오:

API를 통해 이를 관리할 계획일 때
다음 정책(인터넷 또는 WAN 방화벽)에서 사용하고자 할 때
사용자 정의 DNS 또는 DHCP 설정이 필요하지 않을 때
그렇지 않으면 그룹을 사용해야 합니다.

Q: 언제 컨테이너를 사용하고 언제 고급 그룹을 사용하나요?

A: 컨테이너는 IP 및 정규화된 도메인 이름(FQDN)과 같은 값을 지원하도록 설계되었으며, 고급 그룹은 CMA 객체를 지원합니다. 여기에 몇 가지 가이드라인이 있습니다.

고급 그룹 - 설명, 검색, CMA 객체의 개별 멤버 관리 등 강력한 관리 기능을 제공합니다.
컨테이너 - 수백만 개의 항목으로 확장 가능하며, 일반적으로 위협 인텔리전스 또는 인터넷 방화벽 규칙에 적용할 수 있는 사용자 정의 IoC 목록에 사용됩니다.

Q: 고급 그룹을 위한 계획은 무엇인가요?

A: 고급 그룹은 더 많은 멤버 유형을 점진적으로 지원하여 기존 그룹과 동등한 수준에 도달할 것입니다. 새로운 멤버 유형도 추가될 것입니다.

고급 그룹의 알려진 제한 사항

사용자 정의 DNS 및 DHCP 설정은 그룹만 지원합니다.

고급 그룹에 사용자 정의 DNS 및 DHCP 설정을 적용하기 위한 대체 지원이 로드맵에 있습니다.

엔티티 기반 RBAC에 사이트를 지정하는 것은 그룹만 지원합니다.