Virtual WAN에서 Palo Alto Networks Cloud NGFW 구성
Palo Alto Networks Cloud NGFW(Next Generation Firewall)는 네트워크 트래픽을 검사하는 bump-in-the-wire 솔루션으로 Virtual WAN 허브에 배포할 수 있는 클라우드 네이티브 SaaS(Software-as-a-Service) 보안 제품입니다. 다음 문서에서는 Virtual WAN에서 Palo Alto Networks Cloud NGFW를 사용하는 것과 관련된 핵심 기능, 중요한 사용 사례 및 사용 방법을 설명합니다.
배경
Palo Alto Networks Cloud NGFW를 Virtual WAN와 통합하면 고객에게 다음과 같은 이점이 있습니다.
- Virtual WAN에 bump-in-the-wire 솔루션으로 삽입할 수 있는 확장성이 뛰어난 SaaS 보안 제품을 사용하여 중요한 워크로드 보호.
- Software-as-a-Service 모델의 완전 관리형 인프라 및 소프트웨어 수명 주기.
- 사용량 기반 종량제 청구. Palo Alto Networks Cloud NGFW를 사용하는 경우 Virtual WAN NVA 인프라 단위에 대한 요금이 청구되지 않습니다. 대신 Palo Alto Networks Cloud NGFW 가격 책정에 설명된 대로 Azure Marketplace를 통한 종량제 SaaS 사용에 대해 요금이 청구됩니다.
- Azure와 긴밀하게 통합되어 Azure Portal 또는 Azure API를 사용하는 엔드투엔드 방화벽 관리를 제공하는 클라우드 네이티브 환경. 또한 Palo Alto Network 관리 솔루션인 Panorama를 통해 규칙 및 정책 관리를 선택적으로 구성할 수 있습니다.
- Azure와 Palo Alto Networks 사이에서 문제를 해결하는 간소화된 전용 지원 채널.
- Palo Alto Networks Cloud NGFW를 사용하여 온-프레미스, Virtual Network 및 인터넷 아웃바운드 트래픽을 검사하도록 Virtual WAN을 구성하는 원클릭 라우팅.
사용 사례
다음 섹션에서는 Virtual WAN에서 Palo Alto Networks Cloud NGFW를 사용하는 일반적인 보안 사용 사례에 대해 설명합니다.
프라이빗(온-프레미스 및 가상 네트워크) 트래픽
동-서 트래픽 검사
Virtual WAN은 Virtual Network에서 Virtual Network로 또는 온-프레미스(사이트 간 VPN, ExpressRoute, 지점 및 사이트 간 VPN)에서 허브에 배포된 Cloud NGFW의 온-프레미스로 트래픽을 라우팅하여 검사합니다.
북-남 트래픽 검사
또한 Virtual WAN은 Virtual Network와 온-프레미스(사이트 간 VPN, ExpressRoute, 지점 및 사이트 간 VPN) 간의 트래픽을 허브에 배포된 Cloud NGFW의 온-프레미스로 라우팅하여 검사합니다.
인터넷 에지
참고 항목
0.0.0.0/0 기본 경로는 허브 간에 전파되지 않습니다. 온-프레미스와 Virtual Network는 로컬 Cloud NGFW 리소스만 사용하여 인터넷에 액세스할 수 있습니다. 또한 대상 NAT 사용 사례의 경우 Cloud NGFW는 수신 트래픽을 로컬 Virtual Network 및 온-프레미스에만 전달할 수 있습니다.
인터넷 송신
Virtual Network 또는 온-프레미스에서 Cloud NGFW로 인터넷 바인딩 트래픽을 라우팅하도록 Virtual WAN을 구성하여 트래픽을 검사하고 인터넷을 분류할 수 있습니다. 기본 경로(0.0.0.0/0)를 학습하고 인터넷 송신에 Palo Alto Cloud NGFW를 사용할 Virtual Network 또는 온-프레미스를 선별적으로 선택할 수 있습니다. 이 사용 사례에서는 Azure가 인터넷 바인딩 패킷의 원본 IP를 Cloud NGFW와 연결된 공용 IP에 자동으로 NAT합니다.
인터넷 아웃바운드 기능 및 사용 가능한 설정에 대한 자세한 내용은 Palo Alto Networks 문서를 참조하세요.
인터넷 수신(DNAT)
DNAT(대상 NAT)에 대한 Palo Alto Networks를 구성할 수도 있습니다. 대상 NAT를 사용하면 사용자가 Cloud NGFW와 연결된 공용 IP를 통해 온-프레미스 또는 Azure Virtual Network에 호스트되는 애플리케이션에 액세스하고 통신할 수 있습니다.
인터넷 인바운드(DNAT) 기능 및 사용 가능한 설정에 대한 자세한 내용은 Palo Alto Networks 문서를 참조하세요.
시작하기 전에
이 문서의 단계에서는 이미 Virtual WAN을 만들었다고 가정합니다.
새 Virtual WAN을 만들려면 다음 문서의 단계를 수행합니다.
알려진 제한 사항
- Palo Alto Networks 클라우드 NGFW를 사용할 수 있는 지역 목록은 Palo Alto Networks 설명서를 확인합니다.
- Palo Alto Networks Cloud NGFW는 Virtual WAN 허브에 네트워크 가상 어플라이언스와 함께 배포할 수 없습니다.
- 라우팅 의도 및 라우팅 정책 문서 제한 섹션의 나머지 제한 사항은 Virtual WAN에 배포되는 Palo Alto Networks Cloud NGFW에 적용됩니다.
리소스 공급자 등록
Palo Alto Networks Cloud NGFW를 사용하려면 2022-08-29-preview 이상 API 버전을 사용하여 PaloAltoNetworks.Cloudngfw 리소스 공급자를 구독에 등록해야 합니다.
Azure 구독에 리소스 공급자를 등록하는 방법에 대한 자세한 내용은 Azure 리소스 공급자 및 종류 문서를 참조하세요.
가상 허브 배포
다음 단계에서는 Palo Alto Networks Cloud NGFW와 함께 사용할 수 있는 가상 허브를 배포하는 방법을 설명합니다.
- Virtual WAN 리소스로 이동합니다.
- 왼쪽 메뉴의 연결에서 허브를 선택합니다.
- 새 허브를 클릭합니다.
- 기본 사항에서 가상 허브의 Azure 지역을 지정합니다. 해당 지역이 사용 가능한 Palo Alto 클라우드 NGFW 지역에 나열되어 있는지 확인합니다. 또한 허브의 이름, 주소 공간, 가상 허브 용량 및 허브 라우팅 기본 설정을 지정합니다.
- 가상 허브에 배포하려는 게이트웨이(사이트 간 VPN, 지점 및 사이트 간 VPN, ExpressRoute)를 선택하고 구성합니다. 원한다면 게이트웨이를 나중에 배포해도 됩니다.
- 검토 + 만들기를 클릭합니다.
- 만들기를 클릭합니다.
- 새로 만든 허브로 이동하여 라우팅 상태가 프로비전됨으로 바뀔 때까지 기다립니다. 이 단계는 최대 30분이 걸릴 수 있습니다.
Palo Alto Networks Cloud NGFW 배포
참고 항목
Cloud NGFW를 배포하려면 허브의 라우팅 상태가 "프로비전됨"으로 바뀔 때까지 기다려야 합니다.
- 가상 허브로 이동하고, 타사 공급자에서 SaaS 솔루션을 클릭합니다.
- SaaS 만들기를 클릭하고 Palo Alto Networks Cloud NGFW를 선택합니다.
- 만들기를 클릭합니다.
- 방화벽의 이름을 입력합니다. 방화벽의 Azure 지역이 가상 허브의 Azure 지역과 동일해야 합니다. Palo Alto Networks Cloud NGFW에 사용 가능한 구성 옵션에 대한 자세한 내용은 Cloud NGFW에 대한 Palo Alto Networks 문서를 참조하세요.
라우팅 구성
참고 항목
Cloud NGFW가 성공적으로 프로비전될 때까지 라우팅 의도를 구성할 수 없습니다.
- 가상 허브로 이동하고, 라우팅에서 라우팅 의도 및 정책을 클릭합니다.
- Palo Alto Networks Cloud NGFW를 사용하여 아웃바운드 인터넷 트래픽(Virtual Network 또는 온-프레미스와 인터넷 간의 트래픽)을 검사하려는 경우 인터넷 트래픽에서 SaaS 솔루션을 선택합니다. 다음 홉 리소스로 Cloud NGFW 리소스를 선택합니다.
- Palo Alto Networks Cloud NGFW를 사용하여 프라이빗 트래픽(모든 Virtual Network와 Virtual WAN의 온-프레미스 간 트래픽)을 검사하려면 프라이빗 트래픽에서 SaaS 솔루션을 선택합니다. 다음 홉 리소스로 Cloud NGFW 리소스를 선택합니다.
Palo Alto Networks Cloud NGFW 관리
다음 섹션에서는 Palo Alto Networks Cloud NGFW(규칙, IP 주소, 보안 구성 등)를 관리하는 방법을 설명합니다.
- 가상 허브로 이동하여 SaaS 솔루션을 클릭합니다.
- SaaS 관리에서 여기를 클릭을 클릭합니다.
- Palo Alto Networks Cloud NGFW에 사용 가능한 구성 옵션에 대한 자세한 내용은 Cloud NGFW에 대한 Palo Alto Networks 문서를 참조하세요.
Palo Alto Networks Cloud NGFW 삭제
참고 항목
Cloud NGFW 및 Virtual WAN SaaS 솔루션이 삭제될 때까지 가상 허브를 삭제할 수 없습니다.
다음 단계에서는 Cloud NGFW 제품을 삭제하는 방법을 설명합니다.
- 가상 허브로 이동하여 SaaS 솔루션을 클릭합니다.
- SaaS 관리에서 여기를 클릭을 클릭합니다.
- 페이지의 왼쪽 위 모서리에서 삭제를 클릭합니다.
- 삭제 작업이 성공하면 가상 허브의 SaaS 솔루션 페이지로 돌아갑니다.
- Cloud NGFW에 해당하는 줄을 클릭하고 페이지의 왼쪽 위 모서리에서 SaaS 삭제를 클릭합니다. 이 옵션은 3단계가 완료될 때까지 사용할 수 없습니다.
문제 해결
다음 섹션에서는 Virtual WAN에서 Palo Alto Networks Cloud NGFW를 사용할 때 발생하는 일반적인 문제에 대해 설명합니다.
Cloud NGFW 만들기 문제 해결
- 가상 허브가 Palo Alto Networks 설명서에 나열된 다음 지역 중 하나에 배포되었는지 확인합니다.
- 가상 허브의 라우팅 상태가 "프로비전됨"이어야 합니다. 라우팅 상태가 프로비전됨으로 바뀌기 전에 Cloud NGFW를 만들려는 시도는 실패합니다.
- PaloAltoNetworks.Cloudngfw 리소스 공급자에 성공적으로 등록되어야 합니다.
삭제 문제 해결
- Cloud NGFW 리소스가 삭제될 때까지 SaaS 솔루션을 삭제할 수 없습니다. 따라서 SaaS 솔루션 리소스를 삭제하려면 Cloud NGFW 리소스부터 삭제해야 합니다.
- 현재 라우팅 의도의 다음 홉 리소스인 SaaS 솔루션 리소스는 삭제할 수 없습니다. SaaS 솔루션 리소스를 삭제하려면 라우팅 의도부터 삭제해야 합니다.
- 마찬가지로 SaaS 솔루션이 있는 가상 허브 리소스는 삭제할 수 없습니다. 가상 허브를 삭제하려면 SaaS 솔루션부터 삭제해야 합니다.
라우팅 의도 및 정책 문제 해결
- 라우팅 의도를 구성하려면 먼저 Cloud NGFW 배포가 성공해야 합니다.
- 모든 온-프레미스 및 Azure Virtual Network가 RFC1918(10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 내의 서브넷)에 있어야 합니다. RFC1918에 없는 네트워크가 있는 경우 해당 접두사가 프라이빗 트래픽 접두사 텍스트 상자에 표시되는지 확인합니다.
- 라우팅 의도 문제 해결에 대한 자세한 내용은 라우팅 의도 문서를 참조하세요. 이 문서에서는 필수 구성 요소, 라우팅 의도 구성과 관련된 일반적인 오류 및 문제 해결 팁에 대해 설명합니다.
Palo Alto Networks Cloud NGFW 구성 문제 해결
- Palo Alto Networks 문서를 참조하세요.
다음 단계
- Virtual WAN에 대한 자세한 내용은 FAQ를 참조하세요.
- 라우팅 의도에 대한 자세한 내용은 라우팅 의도 문서를 참조하세요.
- Palo Alto Networks Cloud NGFW에 대한 자세한 내용은 Palo Alto Networks Cloud NGFW 문서를 참조하세요.