보안 그룹 구성

이 문서 섹션에서는 필요한 트래픽 플로우를 허용하는 보안 그룹의 구성에 대해 설명합니다. 이 배치 패턴에는 세 개의 보안 그룹이 사용되었습니다.

기본-이 보안 그룹은 기본 호스트를 보호합니다.
AD-이 보안 그룹은 AD 서버를 보호한다.
SQL-이 보안 그룹은 SQL 서버를 보호합니다.

이중 MZR 패턴을 배치하는 경우 보안 그룹이 VPC로 제한되므로 세 개의 보안 그룹 세트가 두 개 있습니다.

트래픽 플로우는 보안 그룹이 상태 정보이기 때문에 다음과 같이 트래픽 플로우의 시작만 허용되어야 합니다.

인터넷에서부터 관리자의 랩탑에서 소싱된 호스트로의 RDP 트래픽.
기본 호스트의 RDP 트래픽을 가상 서버로 전송한다.
기본 호스트의 HTTPS 트래픽을 다운로드하기 위한 인터넷 리소스로 연결한다.
Windows 서버 간의 중소 기업 트래픽.
Windows 클러스터 노드 간의 RPC 트래픽.
도메인 컨트롤러 간의 복제 트래픽입니다.
멤버 서버와 도메인 컨트롤러 간의 AD 트래픽
기본 호스트에서부터 SQL 서버까지의 TCP 1433에서 SQL 트래픽.
SQL 클라이언트는 기본 호스트에서부터 SQL 서버까지 TCP 6789의 리스너에 연결한다.
Microsoft SQL 서버 간에 TCP 5022의 가용성 그룹 트래픽을 항상 설정한다.
내부 자원 간의 ICMP 트래픽.
AD 서버에 대한 UDP (53) 의 DNS 트래픽.
IBM Cloud 엔드포인트 트래픽:
- IBM 161.26.0.10및 161.26.0.11에 대한 UDP 53의 DNS 리졸버 트래픽.
- AD 서버에 대한 UDP (53) 의 DNS 트래픽.
- UDP 123의 NTP 트래픽을 IBM NTP 서버 161.26.0.6으로 설정하십시오.

인터넷에서의 RDP 트래픽

<IP_Address> is the external IP address of the connection from the administrator. 둘 이상의 IP가 있는 경우에는 CIDR 소스 유형의 사용을 고려한다.

보안 그룹: 기본
규칙: 인바운드
프로토콜: TCP
소스 유형: IP 주소
Source: <IP_Address>
값: 포트 3389

기본 호스트의 RDP 트래픽

보안 그룹: 기본
규칙: 아웃바운드
프로토콜: TCP
대상 유형: 임의
대상: 0.0.0.0/0
값: 포트 3389
보안 그룹: SQL, AD
규칙: 인바운드
프로토콜: TCP
소스 유형: CIDR
Source: <bastion_subnet>
값: 포트 3389

기본 호스트의 HTTPS 트래픽

부동 IP로 인해, 기본 호스트는 파일을 다운로드하기 위해 인터넷에 액세스할 수 있지만, 기본 호스트를 보호하는 보안 그룹은 다음과 같은 규칙을 갖는다.

보안 그룹: 기본
규칙: 아웃바운드
프로토콜: TCP
대상 유형: 임의
대상: 0.0.0.0/0
값: 포트 443

Windows 서버 간의 중소 기업 트래픽

이 SMB 트래픽은 도메인 액세스 및 파일 공유에 필요합니다.

보안 그룹: 기본, AD및 SQL
규칙: 인바운드
프로토콜: TCP
소스 유형: CIDR
Source: <vpc_prefix>
값: 포트 139, 445
보안 그룹: 기본, AD및 SQL
규칙: 인바운드
protocol: UDP
소스 유형: CIDR
Source: <vpc_prefix>
값: 포트 137-138
보안 그룹: SQL
규칙: 아웃바운드
프로토콜: TCP
대상 유형: 보안 그룹
대상: 기본
값: 포트 139
보안 그룹: 기본, AD및 SQL
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
Destination: <vpc_prefix>
값: 포트 445
보안 그룹: 기본, AD및 SQL
규칙: 아웃바운드
protocol: UDP
대상 유형: CIDR
Destination: <vpc_prefix>
값: 포트 137-138

Windows 클러스터 노드 간의 RPC 트래픽.

보안 그룹: SQL
규칙: 인바운드
프로토콜: TCP
소스 유형: CIDR
Source: <sql_subnet>
값: 포트 135
보안 그룹: SQL
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
Destination: <sql_subnet>
값: 포트 135
보안 그룹: SQL
규칙: 인바운드
프로토콜: TCP
소스 유형: CIDR
Source: <sql_subnet>
값: 포트 49152-65535
보안 그룹: SQL
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
Destination: <sql_subnet>
값: 포트 49152-65535
보안 그룹: SQL
규칙: 인바운드
protocol: UDP
소스 유형: CIDR
Source: <sql_subnet>
값: 포트 49152-65535
보안 그룹: SQL
규칙: 아웃바운드
protocol: UDP
대상 유형: CIDR
Destination: <sql_subnet>
값: 포트 49152-65535

도메인 컨트롤러 간의 복제 트래픽

이 예제에서는 활성 디렉토리 서브넷 사이의 모든 포트를 허용합니다. 필요한 경우 도메인 컨트롤러 간에 사용되는 모든 끝에서 이를 잠글 수 있도록 하려면 Active Directory 도메인 및 트러스트를 위해 방화벽을 구성하는 방법 를 참조하십시오.

보안 그룹: AD
규칙: 인바운드
프로토콜: 모두
대상 유형: CIDR
대상: <ad_subnet>
값: 포트 모두
보안 그룹: AD
규칙: 아웃바운드
프로토콜: 모두
대상 유형: CIDR
대상: <ad_subnet>
값: 포트 모두

멤버 서버와 도메인 컨트롤러 간의 AD 트래픽

보안 그룹: 기본
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
대상: <ad_subnet>
값: 포트 464, 88, 389, 636, 3268, 3269, 135, 49152-65535
보안 그룹: SQL
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
대상: <ad_subnet>
값: 포트 464, 88, 389, 636, 3268, 3269, 135, 49152-65535
보안 그룹: AD
규칙: 인바운드
프로토콜: TCP
소스 유형: CIDR
소스: <bastion_subnet>, <sql_subnet>
값: 포트 464, 88, 389, 636, 3268, 3269, 135, 49152-65535
보안 그룹: 기본
규칙: 아웃바운드
protocol: UDP
대상 유형: CIDR
대상: <ad_subnet>
값: 포트 464, 88, 389, 49152-65535
보안 그룹: SQL
규칙: 아웃바운드
protocol: UDP
대상 유형: CIDR
대상: <ad_subnet>
값: 포트 464, 88, 389, 49152-65535
보안 그룹: AD
규칙: 인바운드
protocol: UDP
소스 유형: CIDR
소스: <bastion_subnet>, <sql_subnet>
값: 포트 464, 88, 389, 49152-65535

기본 호스트에서 SQL 서버까지 TCP 1433의 SQL 트래픽

보안 그룹: SQL
규칙: 인바운드
프로토콜: TCP
소스 유형: CIDR
소스: <bastion_subnet>
값: 포트 1433
보안 그룹: 기본
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
대상: <sql_subnet>
값: 포트 1433

SQL 클라이언트가 TCP 6789에 있는 기본 호스트에서 SQL 서버로

보안 그룹: SQL
규칙: 인바운드
프로토콜: TCP
소스 유형: CIDR
소스: <bastion_subnet>
값: 포트 6789
보안 그룹: 기본
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
대상: <sql_subnet>
값: 포트 6789

Microsoft SQL 서버 간 TCP 5022의 가용성 그룹 트래픽 항상 설정

보안 그룹: SQL
규칙: 인바운드
프로토콜: TCP
소스 유형: CIDR
소스: <sql_subnet>
값: 포트 5022
보안 그룹: SQL
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
대상: <sql_subnet>
값: 포트 5022

내부 자원 간의 ICMP 트래픽

보안 그룹: 기본, SQL및 AD
규칙: 아웃바운드
프로토콜: ICMP
대상 유형: 임의
대상: 0.0.0.0/0
값: 유형: 임의, 코드: 임의
보안 그룹: 기본, SQL및 AD
규칙: 인바운드
프로토콜: ICMP
소스 유형: 임의
출처: 0.0.0.0/0
값: 유형: 임의, 코드: 임의

AD 서버에 대한 UDP (53) 의 DNS 트래픽

보안 그룹: AD
규칙: 인바운드
protocol: UDP
소스 유형: CIDR
소스: <sql_subnet>, <bastion_subnet> 및 <ad_subnet>
값: 포트 53
보안 그룹: SQL및 기본
규칙: 아웃바운드
protocol: UDP
대상 유형: CIDR
대상: <ad_subnet>
값: 포트 53

IBM Cloud 엔드포인트 트래픽

VPC 내부에서 다음과 같은 세 가지 유형의 IBM Cloud 엔드포인트에 액세스할 수 있습니다.

서비스 엔드포인트 (또한 PaaS (Platform as a service) 엔드포인트로 알려져 있음) 엔드포인트는 IBM Cloud 사설 네트워크를 통해 IBM Cloud 서비스에 대한 보안 연결을 허용합니다. 이러한 엔드포인트는 cloud.ibm.com 도메인의 DNS 이름을 통해 사용할 수 있으며 166.8.0.0/16주소 범위로 해석된다.
인프라 엔드포인트-인프라 서비스는 adn.networklayer.com 도메인의 특정 DNS 이름을 사용하여 사용할 수 있으며, 161.26.0.0/16주소 공간으로 해석된다. 서비스에는 DNS 분석기, NTP, IBM Cloud Object Storage 및 Ubuntu및 Debian Mirror가 포함됩니다. 허용되는 프로토콜은 UDP 53 (DNS), UDP 123 (NTP), TCP 80 (HTTP) 및 TCP 443 (HTTPS) 을 포함해야 한다.
가상 엔드포인트-가상 엔드포인트를 사용하면 VPC의 서브넷에서 할당된 IP 주소를 사용하여 지원되는 IBM Cloud 서비스에 연결할 수 있습니다.

엔드포인트에 대한 자세한 정보는 엔드포인트 사용 가능 및 가상 개인용 엔드포인트 게이트웨이 정보 를 참조하십시오.

인프라 엔드포인트

보안 그룹: 기본, AD및 SQL
규칙: 아웃바운드
프로토콜: TCP
대상 유형: CIDR
목적지: 161.26.0.0/16
값: 포트 443

DNS 리졸버 트래픽

IBM DNS 리졸버에 대한 AD 서버에서 DNS 리졸버 트래픽이 필요합니다.

보안 그룹: AD
규칙: 아웃바운드
protocol: UDP
대상 유형: IP
목적지: 161.26.0.10, 161.26.0.11
값: 포트 53

NTP 트래픽

AD 서버에서 IBM NTP 트래픽이 필요합니다.

보안 그룹: AD
규칙: 아웃바운드
protocol: UDP
대상 유형: IP
목적지: 161.26.0.6
값: 포트 123