이 문서에서는 Cato 사이트 뒤에 위치한 인터넷에 노출된 공용 리소스와 함께 타사 DDoS 보호 솔루션을 통합하는 방법을 설명합니다.
Cato의 원격 포트 전달 (RPF) 은 주로 허용 목록 접근 방식을 통해 회사의 리소스를 알려진 회사 사용자에게 노출하도록 설계되었습니다. 이는 기업 리소스를 연결이 허용된 특정 IP 주소로 제한할 수 있으며, 그렇지 않으면 트래픽이 차단됩니다.
때로는 알 수 없는 사용자에게 접근 권한을 제공하고 RPF를 통해 내부 서버를 인터넷에 공개적으로 노출해야 할 필요가 있습니다. 이러한 경우, 내부 리소스에 대한 공개 접근 권한을 허용함으로써 잠재적인 보안 위험이 발생합니다. 이러한 상황에서는 사이트 앞에 있는 타사 DDoS 클라우드 서비스를 사용하여 RPF 트래픽을 보호할 것을 권장합니다. 예를 들어, 인바운드 HTTP 트래픽을 보호하기 위해 WAF를 통합합니다.
본 섹션에서는 RPF 리소스를 보안 서비스(예: DDoS)만 액세스할 수 있도록 구성하는 방법을 설명합니다. 이는 공용 인터넷에서 사용할 수 있는 리소스에 상당한 보안 계층을 추가합니다.
다음은 설정해야 하는 구성입니다:
-
타사 클라우드 서비스에서 다음을 정의합니다:
-
서비스에서 사용하는 공용 IP
-
Cato가 계정에 할당한 공용 IP 주소에 매핑된 리소스의 DNS 이름 (네트워크 > IP 할당)
-
-
Cato 관리 애플리케이션에서 클라우드 서비스로 트래픽을 전달하는 RPF 규칙을 정의합니다
-
Cato Cloud의 보안 스택은 인바운드 RPF 트래픽에 대해 TLS 검사를 수행하지 않습니다
-
RPF 트래픽을 위한 타사 보안 서비스 통합:
-
타사 보안 서비스에서 다음 설정을 정의합니다:
-
서버에 공용 IP 주소를 할당합니다.
-
외부 RPF 규칙에 대한 IP 주소의 IP/CNAME을 구성합니다.
-
-
DNS 공급업체에서 이전 단계의 IP/CNAME으로 트래픽을 전달하도록 도메인을 구성합니다.
-
타사 보안 서비스(WAF, 인바운드 TLS 검사 등)에 대한 정책을 구성합니다.
-
Cato 관리 애플리케이션에서 다음 설정으로 RPF 규칙을 정의합니다 (보안 > 원격 포트 전달):
-
외부 IP와 Cato 공용 IP에 대한 외부 포트 범위 (각 IP에 대해 별도의 규칙)
-
내부 IP와 내부 리소스에 대한 내부 포트 범위
-
트래픽 유형은 허용 목록입니다
-
트래픽 출처는 클라우드 서비스의 공용 IP 주소입니다 (타사 보안 서비스에서 공개적으로 광고함)
-
댓글 0개
댓글을 남기려면 로그인하세요.