불변의 백업 네트워크 아키텍처
변경 불가능한 백업 솔루션 아키텍처에서 샌드박스 사용은 선택 사항입니다. 이러한 솔루션 아키텍처에서 샌드박스는 백업 사본에 액세스하거나 가상 머신(VM)을 시작하는 데 사용할 수 있는 격리된 네트워크 환경으로 정의됩니다. 프로덕션 환경과 격리되어 동일한 IP 주소를 가진 VM으로 인한 중복 IP 주소가 충돌하거나 복구된 VM이 프로덕션 VM과 상호 작용하지 않도록 합니다.
Veeam® DataLabs은 샌드박스 개념을 활성화하지만, VMware NSX-T™ 환경에서는 아직 활성화되지 않으므로 NSX-T 세그먼트를 격리된 세그먼트에 매핑할 수 없습니다. 따라서 이러한 솔루션 아키텍처를 통해 Veeam과 NSX-T 기술을 모두 사용하는 샌드박스를 구현할 수 있습니다:
- Veeam vPower NFS 서비스 - 백업 파일에서 직접 VM을 시작할 수 있습니다.
- Veeam 데이터 통합 API - 파일 시스템에 백업 파일을 마운트할 수 있습니다.
- NSX-T 오버레이 세그먼트 - 가상 머신을 물리적 네트워크에서 추상화된 가상 네트워크에 연결할 수 있습니다.
- NSX-T T1- 라우팅 및 게이트웨이 방화벽 기능을 제공합니다.
- NSX-T 분산 방화벽 - 분산 방화벽을 사용하면 VM의 횡방향 트래픽에 대한 방화벽 기능을 사용할 수 있습니다.
이전 다이어그램은 VMware Cloud Foundation for Classic - Automated 인스턴스의 통합 클러스터에서 호스팅되는 샌드박스 예시를 보여 줍니다. 고객이 다음 리소스를 주문합니다.
- VCF for Classic - Automated 인스턴스
- Veeam 서비스
- Ubuntu 20.04 LTS를 실행하는 베어메탈 서버
IaaS가 프로비저닝되면 고객이 됩니다:
- 프로비저닝 프로세스 중에 생성된 샘플 세그먼트를 삭제합니다.
- 워크로드를 T0 및 T1로 유지합니다.
- 서비스를 변경하지 않습니다 T0.
- NW1, NW2, NW3 세 개의 세그먼트를 생성하고 이를 워크로드 T1에 연결합니다.
- 세 개의 네트워크에서 워크로드 가상 머신을 프로비저닝하고 구성합니다.
변경 불가능한 스토리지로 백업을 사용하려면 고객이 다음 작업을 완료해야 합니다.
- 베어메탈 서버의 필수 작업을 수행하여 서버가 Linux® 강화된 리포지토리로서의 역할을 수행할 수 있도록 준비합니다.
- Linux® 강화된 리포지토리에서 활성화된 Veeam 백업 서버를 사용합니다.
- 가상 머신에 대한 백업 작업을 생성합니다.
고객은 다음 예시를 포함하는 백업에서 사이버 관련 작업을 완료합니다.
- 백업 파일에서 멀웨어를 검사합니다.
- 격리된 네트워크의 백업에서 VM을 복구합니다.
고객이 다음 항목을 생성합니다:
Cyber-Tools-T1
이라는 이름의 새 T1를 생성하고 이를 워크로드 T0에 연결합니다.Cyber-T1
는 연결된 세그먼트를 광고하도록 구성됩니다. 사이버 툴셋 가상 머신과의 트래픽을 라우팅할 수 있습니다.- 멀웨어 스캐너가 포함된 사이버 도구 세트의 세그먼트입니다.
Isolated-NW-T1
이라는 이름의 새 T1를 생성하고 이를 워크로드 T0에 연결합니다.Isolated-NW-T1
는 모든 NAT IP 주소만 광고하도록 구성됩니다. 이 작업은 연결된 세그먼트의 광고를 중지하고 해당 세그먼트의 NAT IP 주소만 광고합니다.- 다음과 같은 분산 방화벽 그룹이 있습니다.
- 이름
Cyber-Tools-Segments
, 카테고리Segments
, 멤버Cybertools
- 이름
Cyber-Isolated-Segments
, 기준Segment Tag Equals Isolated-Segments
, 범위Cyber
- 이름
- 격리 요구 사항을 충족하는 다음 규칙이 포함된
Cyber-Isolated
이라는 이름의 분산 방화벽 정책입니다:
규칙 이름 | 소스 | 목적지 | 서비스 | 조치 |
---|---|---|---|---|
격리된 액세스를 허용합니다 | 사이버 도구-세그먼트 | 사이버 격리 세그먼트 | 모두 | 허용 |
격리 간 액세스 허용 | 사이버 격리 세그먼트 | 사이버 격리 세그먼트 | 모두 | 허용 |
격리된 액세스를 거부합니다 | 임의 | 사이버 격리 세그먼트 | 모두 | 거부 |
격리에서 액세스 거부 | 임의 | 사이버 격리 세그먼트 | 모두 | 거부 |
샌드박스가 필요한 경우 고객은 선호하는 스크립팅 도구를 사용하여 자동으로 샌드박스를 생성합니다:
- T1에서 해당 네트워크의 기본 게이트웨이의 IP 주소를 사용하여
Isolated-NW-T1
에 연결된 논리적 세그먼트를 생성합니다. 다음 다이어그램에서는 서브넷이 NW2 및 NW3와 일치하는 두 개의Isolated-NW2
및Isolated-NW3
세그먼트를 볼 수 있습니다. 이러한 세그먼트는 태그 및 범위(예: 범위Cyber
및 태그Isolated-Segments
)로 만들어집니다. 이러한 태그와 범위는 이전 표에 나열된 분산 방화벽 그룹 및 규칙에 사용됩니다. - 대상 서브넷을 사이버 도구 세그먼트의 소스 주소를 가진 IP 패킷의 변환된 서브넷에 매핑하는 대상 NAT 규칙을 만듭니다. 예를 들어,
Src=172.16.67.2->Dst=172.16.68.2 => Src=172.16.67.2->Dst=172.16.253.2
입니다.
필요한 트래픽 흐름은 다음 다이어그램에 나와 있습니다:
- 녹색은 허용된 트래픽 흐름을 나타냅니다.
- 빨간색은 거부된 트래픽 흐름을 나타냅니다.
DNAT(대상 네트워크 주소 변환) 규칙은 다음과 같이 구성되었습니다:
소스 | 대상 | 번역됨 |
---|---|---|
172.16.67.0/24 |
172.16.68.0/24 |
172.16.253.0/24 |
172.16.67.0/24 |
172.16.69.0/24 |
172.16.254.0/24 |
분산 방화벽 그룹 구성은 다음과 같이 정의됩니다:
이름 | 범주 | 멤버 | 기준 |
---|---|---|---|
Cyber-Tools-Segments |
Segments |
cyber-tools |
없음 |
Cyber-Isolated-Segments |
없음 | 없음 | Segment Tag Equals Isolated-Segments Scope: Cyber |
Cyber-Isolated
이라는 이름의 정책에서 분산 방화벽 정책 구성은 다음과 같이 정의됩니다:
규칙 이름 | 소스 | 목적지 | 서비스 | 조치 |
---|---|---|---|---|
격리된 액세스 허용 | 사이버 도구-세그먼트 | 사이버 격리 세그먼트 | 모두 | 허용 |
격리된 팀 간의 액세스 허용 | 사이버 격리 세그먼트 | 사이버 격리 세그먼트 | 모두 | 허용 |
격리된 서버에 대한 액세스 거부 | 임의 | 사이버 격리 세그먼트 | 모두 | 거부 |
격리된 곳에서 액세스 거부 | 임의 | 사이버 격리 세그먼트 | 모두 | 거부 |