클라우드에서 노드 관리

클라우드 인프라가 확대되면서 보안 가시성 확보와 자산 연동의 중요성은 더욱 커지고 있습니다. 특히, Genians ZTNA와 같은 제로 트러스트 보안 환경에서는 클라우드 리소스에 대한 실시간 수집과 모니터링이 보안 정책의 근간이 됩니다. Genian ZTNA Cloud Collector는 클라우드 환경에서 IP 지원 노드에 대한 정보를 수집하도록 활성화할 수 있습니다. 설정된 수행 주기로 Cloud Collector는 Cloud Service provider에게 쿼리하여 지정된 환경의 노드와 검색된 노드의 기타 중요한 클라우드 관련 세부 정보를 식별합니다.

클라우드 환경 구성

Cloud Collector를 사용하기 위한 사전 구성이 필요합니다. 아래 순서를 따라 설정을 완료 후 사용하시길 바랍니다.

1. Cloud Provider 관리

2. 사이트 관리

3. Collector

4. 상단 메뉴에서 시스템 > Cloud Provider로 이동합니다.

5. 작업 선택을 클릭한 다음 생성을 클릭합니다.

6. 설정명 입력(예: 'AWS Cloud')

7. Cloud에 대해 "AWS", "AZURE", "NHN", "NAVER", "LINODE" 중 하나를 선택하십시오.

8. 아래 'Cloud 종류별 입력방법'을 참고하여 정보를 넣어주십시오.

9. 생성 클릭

Cloud 종류별 입력방법

• AWS의 크리덴셜 정보

1. Access Key : AWS Console > 오른쪽 상단의 사용자 이메일 선택 > Security credentials(보안 자격 증명) 선택 > 'Access key' 확인 후 입력합니다.

2. Secret Key : Access key 생성할 때 show(표시) 선택 > 'Secret key' 확인 후 입력합니다.

• AWS 계정의 IAM관련 활성화 되어야하는 정책

• 설정 경로 : AWS Console > IAM > Users > 사용자 아이디 > Permissions > Policy name

• AdministratorAccess : AWS 서비스 및 리소스에 대한 전체 액세스를 제공합니다.

• AmazonEC2FullAccess : AWS Management Console을 통해 Amazon EC2에 대한 전체 액세스를 제공합니다.

• AmazonRoute53FullAccess : AWS Management Console을 통해 모든 Amazon Route 53에 대한 전체 액세스를 제공합니다.

• AmazonS3FullAccess : AWS Management Console을 통해 모든 버킷에 대한 전체 액세스를 제공합니다.

• AWSMarketplaceFullAccess : AWS Marketplace 소프트웨어를 구독 및 구독 취소할 수 있는 기능을 제공하고, 사용자가 Marketplace '귀하의 소프트웨어' 페이지에서 Marketplace 소프트웨어 인스턴스를 관리할 수 있도록 하며, EC2에 대한 관리 액세스를 제공합니다

• AWSSupportAccess : 사용자가 AWS 지원 센터에 액세스할 수 있도록 허용합니다.

• CloudFrontFullAccess : CloudFront 콘솔에 대한 전체 액세스 권한과 AWS Management Console을 통해 Amazon S3 버킷을 나열하는 기능을 제공합니다.

• CloudWatchEventsFullAccess : Amazon CloudWatch Events에 대한 전체 액세스를 제공합니다.

• CloudWatchFullAccess : CloudWatch에 대한 전체 액세스를 제공합니다.

• SecurityAudit : 보안 감사 템플릿은 보안 구성 메타데이터를 읽을 수 있는 액세스 권한을 부여합니다. AWS 계정의 구성을 감사하는 소프트웨어에 유용합니다.

• AZURE의 크리덴셜 정보

1. Client ID : Azure Portal > Azure Active Directory > App registrations(앱 등록) > 'Application ID' 확인 후 입력합니다.

2. Client Secret : Home > Azure Active Directory > App registrations(앱 등록) > Certificates & secrets(인증서 및 암호) > 'Value' 확인 후 입력합니다.

3. Subscription ID : Home > Subscriptions > 'Subscription ID' 확인 후 입력합니다.

4. Tenant ID : Home > Azure Active Directory > App registrations(앱 등록) > 'Directory ID' 확인 후 입력합니다.

5. Resource Group Name : Home > Subscriptions > Subscription Name > Resource groups > 'Name' 확인 후 입력합니다.

• Azure 계정의 IAM관련 활성화 되어야하는 정책

• 설정 경로 : Access control(IAM) > View my access > Current role assignments > Role 항목

• Contributor : 모든 리소스를 관리할 수 있는 전체 액세스 권한을 부여하지만 Azure RBAC에서 역할을 할당하거나, Azure Blueprints에서 할당을 관리하거나, 이미지 갤러리를 공유할 수는 없습니다.

• User Access Administrator : Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.

• Managed Application Operator Role: 관리형 애플리케이션 리소스에 대한 작업을 읽고 수행할 수 있습니다.

• NHN의 크리덴셜 정보

1. User Name : NHN Console 로그인 'ID'를 입력한다.

2. Tenant ID : Compute > Instance > 관리 페이지 > API 엔드포인트 설정 버튼 클릭 > 'Tenant ID' 확인 후 입력한다.

3. Password : Compute > Instance > 관리 페이지의 API 엔드포인트 설정 버튼 클릭 > 원하는 API 'Password' 지정 후 입력한다.

• NHN 계정의 IAM관련 설정해야 할 프로젝트의 역할

• 경로 : 헤당 콘솔 로그인 > 맴버 관리 > IAM 맴버

• 프로젝트의 역할 설정은 ADMIN으로 한다.

• 프로젝트 기본 정보, 멤버, 역할, 서비스 등 프로젝트 전체에 대한 Create(생성)/Read(읽기)/Update(갱신)/Delete(삭제)가 가능하다.

• NAVER의 크리덴셜 정보

1. Access Key : NCloud Console > 우측 상단 사용자 ID > 계정 관리 > 비밀번호 및 인증 > 인증키 관리 > 신규 API 인증키 생성 > 'Access Key ID' 확인 후 입력한다.

2. Secret Key : API 인증키 생성 후 'Secret Key' 확인 후 입력한다.

• Naver 계정의 IAM관련 활성화 되어야하는 정책 항목

• 설정 경로 : 우측 상단 사용자 ID > 권한보기

• 권한의 정책명은 NCP_ADMINISTRATOR(포털과 콘솔에 접근할 수 있는 권한이 메인 계정과 동일한 권한)로 설정한다.

• 권한설정은 관리자 전용 메뉴로 좌측 상단에 서비스 환경 설정 > 구성원/권한 관리에서 설정한다.

• LINODE의 크리덴셜 정보

1. Token : Linode Console > My Profile > API Tokens > Add a Personal Access Token > 'Key' 확인 후 입력한다.

• Linode 계정 관련 활성화 되어야하는 정책

• API Token 생성시 생성/삭제 등 모든 권한을 가지도록 설정한다.

• 좌측 Account > User & Grants > 해당 유저의 User Permissions > Full Account Access로 설정한다.

• OCI의 크리덴셜 정보

1. Tenancy OCID : OCI Console > 오른쪽 상단 MY Profile > Tenancy > OCID를 입력한다.

2. User OCID : OCI Console > 오른쪽 상단 MY Profile > User Information의 OCID를 입력한다.

3. Fingerprint : OCI Console > 오른쪽 상단 MY Profile > API Keys의 FingerPrint를 입력한다.

4. Private Key : OCI Console > 오른쪽 상단 MY Profile > API Keys 생성시 다운로드한 private key를 선택한다.

5. Region : OCI Console 오른쪽 상단에 있는 리전 정보를 선택한다.

• OCI 계정의 IAM관련 활성화 되어야하는 정책

• 경로 : Identity & Security > Policies

• 테넌시 관리 정책

• Allow group Administrators to manage all-resources in tenancy

• Administrators 그룹에게 테넌시 내의 모든 리소스에 대한 관리 권한을 부여하는 정책

• 사용자 및 그룹 관리 정책

• Allow group Administrators to manage users in tenancy

• Administrators 그룹에게 테넌시 내의 사용자 및 그룹을 관리할 권한을 부여하는 정책

• 정책 관리 정책

• Allow group Administrators to manage policies in tenancy

• Administrators 그룹에게 테넌시 내의 정책을 관리할 권한을 부여하는 정책

• API를 사용하기 위해 API Key를 추가 해줘야한다.

• 경로 : My Profile > API Keys > Add API key > Generate API Key Pair

• Download Private Key 클릭하여 oci_api_key.pem 파일을 다운로드한다.

• 다운로드 파일 경로 : /home/{username}/.oci/oci_api_key.pem

• 아래 Add 클릭

• API Key가 정상적으로 추가되면, Fingerprint 값이 표시된다.

클라우드 사이트 생성

SASE 구성을 설정하기 위한 설정 화면 입니다. 사이트 생성 및 관리를 통해 Cloud에 Service Edge(ZTNA Gateway, Hub)를 만들고 Service Edge에 연결할 Branch를 구성 할 수 있습니다.

1. 상단 메뉴에서 시스템 > 사이트로 이동합니다.

2. 작업을 클릭한 다음 생성을 클릭합니다.

3. 사이트명 입력 (예: '기업 hub' 또는 'VPC-XXXXXXXX')

4. 인프라의 경우 Cloud 선택

5. Cloud Provider의 경우 이전 단계에서 생성한 Cloud Provider를 선택합니다.

6. Cloud Provider 선택시 수집기의 유무에 따라 아래 Collector탭의 출력 여부가 결정됩니다.

7. Region의 경우 목록에서 원하는 리전을 선택합니다.

8. VPC ID의 경우 목록에서 원하는 VPC를 선택합니다.

9. Network Address의 경우 VPC ID 선택시 자동으로 입력됩니다.

주석

VPC가 나열되지 않으면 이전 단계와 로그를 확인하여 Cloud Provider를 추가할 때 문제가 없었는지 확인하십시오.

1. 타입에 대해 hub 또는 branch를 선택하십시오.

2. 네트워크 주소에 7단계에서 입력한 VPC에 해당하는 서브넷을 입력합니다(예: 172.31.16.0/20).

3. Collector 상태를 사용으로 설정(프록시 설정을 기본값으로 두고 원하는 수행 주기 설정)

4. 저장 클릭

클라우드 노드 감지 확인

센서에 의해 등록된 노드를 다양한 현황 및 필터를 사용하여 검색할 수 있는 페이지 입니다.

1. 상단 메뉴에서 관리 > 노드로 이동합니다.

2. 왼쪽 창에서 이전 단계에서 만든 사이트 이름을 클릭합니다.

3. 이전에 지정된 VPC 및 서브넷의 모든 자원은 노드로 표시됩니다.

4. 검색된 노드에 대한 Cloud 자원 세부 정보는 노드 정보를 통해 볼 수 있습니다. 노드 세부 정보는 관리 > 노드로 이동하여 노드 IP를 클릭하고 Cloud 섹션까지 아래로 스크롤하여 볼 수 있습니다.

주석

노드 검색, 그룹화 및 모니터링에 대해서는 네트워크 노드 모니터링 를 참조 하십시오.