Bluemix Infrastructure(이전 SoftLayer) 및 Firewall 정보

인터넷에 노출된 환경을 보호하는 데 필요한 최소한의 도구는 무엇입니까? 그것은 Firewall입니다. 물론, Firewall이 있으면 만전이라는 의미는 아니지만, 외부로부터의 공격을 효율적으로 막기 위해서는 가장 효과적인 것이 Firewall이군요.
그런 Firewall이지만 Bluemix Infra에는 많은 옵션이 있습니다.

넘어지지 않는 지팡이

지팡이 1: Bluemix Infra에서 선택할 수 있는 Firewall 라인업

용도와 보호하려는 대상에 따라 풍부한 옵션이 있습니다.
많은 클라우드에서 고유한 Firewall이 있는 것도 특징입니다.
독점형은 in/out 의 양쪽 모두를 감시 대상으로 할 수 있기 (위해)때문에, 기업용 시스템이나, 엄격한 관리 대상으로 해야 하는 시스템의 Firewall 로서 선택되고 있습니다.


특징
OSFirewall
HardwareFirewall 공용형
HardwareFirewall 전용
FortigateSecurityAppliance
VyattaGatewayAppliance
WAFNetscalerVPX Plemium


적용 범위
OS
서버 IP 주소 1개
퍼블릭 VLAN 1개
퍼블릭 VLAN 1개
퍼블릭, 프라이빗 VLAN N개
퍼블릭, 프라이빗 VLAN 1개

공용・전용
전용
공유
전용
전용
전용
전용

HA 구성
n/a
콜드 스탠바이
가능
가능
가능
가능

관리 방법
CLI, GUI
고객 포털
고객 포털
Web-GUI, CLI
주로 CLI, Web-GUI도 있음
Web-GUI, CLI

보호대상
L4(TCP)
L4(TCP)
L4(TCP)
L4(TCP)
L4(TCP)
L7(앱)

다중 VLAN 보호
불가
불가
불가
불가
가능
불가

성능
서버 성능에 의존
10~2000Mbps
1Gbps (NIC 링크 속도)
1Gbps (NIC 링크 속도)
10Mbps~10Gbps
10Mbps~1Gbps

그 외
OS 번들 FW 또는 APF
서버 단위
VLAN 단위
Outbound 보호FortiGuardAV, NGFW, Web filtering
VPN, NAT, VLAN 트렁크 지원, VyOS(지원 있음)
앱 취약점 대응


참고로 Hardware Firewall은 어플라이언스 유형으로 선택할 수 있는 Fortigate입니다.
또, Vyatta의 10Gbps를 선택하려면, 제일 처음 주문시에 10Gbps까지 확장할 수 있는 것을 선택해 두지 않으면 최대 1Gbps(Redundant 구성으로 2Gbps)가 됩니다. 주의를.

지팡이 2：Firewall 있는 있다

Firewall은 주문하는 것만으로는 아무런 방어도 해주지 않습니다. 규칙을 추가하고 필요한 Filter 등을 설정하여 시스템을 안전하게 만듭니다. 또 로그도 정기적으로 감시해, 룰이 적절한가 어떤가등의 확인을 하도록(듯이) 해 두면 보다 안심입니다.

지팡이 3: Fortigate가 있다

Dedicated Hardware Firewall(Fortigate)를 사용하고 HA 구성을 구성하는 사용자는 주의해야 합니다.
Fortigate의 사양(버그라고 해야 하는가?)로, 497일간 연속 가동하면, Heartbeat가 실패해, 의도하지 않은 Failover가 일어나 버립니다.

대상:
- FortiOS 4.3 계열: 4.3.16 및 그 이후의 모든
- FortiOS 5.0 계열: 5.0.5 및 그 이후의 모든
- FortiOS 5.2 계열: 5.2.0 및 그 이후의 모든

잠정 대응: 497일 전에 재기동
영구 대응 : FortiOS 5.2.5 이후 버전 업그레이드

get system performance status에서 며칠 동안 시작했거나 get system status에서 버전을 확인할 수 있습니다. 주의를.