IBM Cloud Docs
VPN 서버로 환경 보호하기

VPN 서버로 환경 보호하기

클라이언트-사이트 간 VPN 서버는 환경을 보호하고 규정 준수 요건을 충족하는 데 도움이 될 수 있습니다.

경계 보호를 위해 보안 그룹 및 ACL 사용

VPN 서버는 VPC 보안 그룹 및 ACL(Access Control List)과의 통합을 지원합니다. 자세한 정보는 보안 그룹 정보네트워크 ACL 설정을 참조하십시오.

예상치 못한 통신 또는 허용되지 않은 통신으로부터 환경을 보호하려면 기본적으로 모든 트래픽을 거부하고 예상된 프로토콜, CIDR 또는 포트만을 허용하도록 ACL 및 보안 그룹 규칙을 구성하십시오. VPN과 사용하도록 보안 그룹과 ACL을 구성하면 VPN 서버가 제대로 작동하는 데 필요한 규칙의 예를 제공할 수 있습니다. 추가 규칙을 사용하여 Any 또는 0.0.0.0/0 대신 특정 네트워크에 대한 VPN 서버 포트의 액세스를 제한할 수 있습니다.

VPN 클라이언트 인증을 통한 액세스 제어

클라이언트-사이트 VPN 서버는 인증서 인증 및 사용자/패스코드 인증을 지원합니다. 각 방법에 필요한 구성에 대한 자세한 내용은 클라이언트-사이트 인증 설정VPN 클라이언트 인증을 참조하십시오.

클라이언트 액세스를 인증하기 위해 두 인증 방법을 함께 사용할 수 있습니다. 최상의 결과를 얻으려면 다음 가이드라인을 따르십시오.

사용자 이름/패스코드로 인증

사용자 이름 또는 패스코드로 인증하려면 다음 사항에 유의하십시오.

  • 이 옵션을 사용하려면 VPN 클라이언트 사용자가 유효한 패스코드를 획득하여 VPN 연결에 사용하기 전에 원하는 MFA 방법으로 인증을 수행해야 합니다. 이것은 IAM 인증 섹션에서 구성할 수 있습니다(관리 > 액세스(IAM) > 설정 > 인증). 자세한 정보는 다단계 인증 사용 을 참조하십시오.
  • 사용자 이름/패스코드 인증을 이용하려면 사용자에게 IAM VPN 서버 사용자 역할이 있어야 합니다. 자세한 정보는 IAM 액세스 그룹 작성 및 VPN 서버에 연결하기 위한 역할 부여를 참조하십시오. 이 역할을 VPN 액세스가 필요한 사용자에게만 활성화하려면 IAM 액세스 그룹 또는 액세스 정책을 구성해야 합니다.

클라이언트 인증서로 인증

클라이언트 인증서를 사용하여 인증하려면 다음 사항에 유의하세요:

  • 고유한 클라이언트 인증서를 사용하십시오. 클라이언트 인증서 인증을 위해 VPN 서버를 구성하려면 클라이언트 인증서가 입력되어야 합니다. 그러나 동일한 인증서 기관(Certificate Authority, CA)이 서명한 고유한 클라이언트 인증서는 별도로 생성하여 다른 사용자에게 사용할 수 있습니다.
  • 인증서 취소 목록(Certificate Revocation List, CRL)을 사용하여 클라이언트 인증서를 취소합니다. 클라이언트-사이트 VPN 서버는 클라이언트 인증서를 취소하기 위해 CRL을 지원합니다. 자세한 내용은 VPN 서버 생성하기에서 확인할 수 있습니다.
  • Secrets Manager 통해 만든 LetsEncrypt 인증서와 같이 공개 CA로 서명된 클라이언트 인증서는 사용하지 마세요. 공용 CA 서명 클라이언트 인증서를 사용하면 누구나 클라이언트 인증서를 프로비저닝하여 인증에 성공할 수 있습니다. 또한 공용 CA로 생성된 인증서는 CRL로 쉽게 추적하여 취소할 수 없습니다.

추가 VPN 서버 구성

클라이언트-사이트 VPN 서버는 여러 추가 옵션을 지원하므로 이를 구성하여 보안을 향상하고 규정 준수 요구 사항을 충족할 수 있습니다. 자세한 내용은 VPN 서버 생성하기VPN 서버 계획 고려 사항에서 확인할 수 있습니다.

VPN 서버 구성 시 다음 문제에 유의해야 합니다.

  • VPN 서버는 클라이언트 유휴 제한시간을 지원합니다. 기본적으로 VPN 클라이언트 연결은 활성 트래픽이 10분 동안 없으면 끊깁니다. 필요한 값을 추가하기 위해 제한시간을 편집할 수 있습니다.
  • VPN 서버에서 전체 터널 모드를 활성화합니다. 특히 신뢰할 수 없는 네트워크로 연결할 경우 전체 터널 모드가 더 안전하므로 권장됩니다. 전체 터널 모드에서 VPN 클라이언트의 모든 트래픽은 VPN 서버로 라우팅됩니다.
  • 전송 프로토콜과 VPN 포트를 구성합니다. TCP/443과 같이 잘 알려진 포트를 열어 놓고 싶지 않을 수도 있습니다. 이 옵션을 편집하여 기본이 아닌 전송 프로토콜 및 VPN 포트를 사용하십시오.
  • VPN 서버 로그를 수신하고 분석하도록 Activity Tracker 구성하세요. 자세한 정보는 Activity Tracker 이벤트를 참조하십시오.