무엇보다도 보안 장치가 올바르게 구성되어 있으면 공개 IP 할당을 두려워 할 필요가 없습니다.
물리적으로 별도의 네트워크가없는 경우 NAT를 무엇으로 대체해야합니까?
우리가 1980 년대 이후 라우터와 방화벽을 물리적으로 분리 한 것과 똑같습니다. NAT를 통해 얻을 수있는 큰 보안 이점 중 하나는 기본 거부 구성으로 사용자를 강제한다는 것입니다. 얻기 위하여 어떤 그것을 통해 서비스를, 당신은 할 필요가 명시 적으로 구멍을 펀치. 더 멋진 장치를 사용하면 방화벽처럼 IP 기반 ACL을 이러한 구멍에 적용 할 수도 있습니다. 상자에 '방화벽'이 있기 때문일 수 있습니다.
올바르게 구성된 방화벽은 NAT 게이트웨이와 정확히 동일한 서비스를 제공합니다. NAT 게이트웨이는 대부분의 방화벽보다 안전한 구성에 쉽게 접근 할 수 있기 때문에 자주 사용됩니다 .
IPv6과 IPSEC는이 모든 것을 어떻게 든 안전하게 보호해야한다고 들었지만, 물리적으로 분리 된 네트워크가 없어서 이러한 장치를 인터넷에서 볼 수 없게 만들면 실제로 어떻게 볼 수 없습니다.
이것은 오해입니다. 나는 / 16 IPv4 할당이있는 대학에서 일하고 있으며, 대다수의 IP 주소 소비는 그 공개 할당에 있습니다. 확실히 우리의 모든 최종 사용자 워크 스테이션과 프린터. RFC1918 소비는 네트워크 장치 및 해당 주소가 필요한 특정 서버로 제한됩니다. 내가 방금 첫날에 나타 났을 때 내 IP 주소로 모니터의 포스트잇을 보았을 때 당신이 방금 떨었다면 놀라지 않을 것입니다.
그러나 우리는 살아남습니다. 왜? ICMP 처리량이 제한된 기본 거부 용으로 구성된 외부 방화벽이 있기 때문입니다. 140.160.123.45가 이론적으로 라우팅 가능하기 때문에 공용 인터넷 어디에서나 갈 수있는 것은 아닙니다. 이것이 방화벽을 위해 설계된 것입니다.
올바른 라우터 구성과 할당 된 다른 서브넷은 서로 완전히 연결할 수 없습니다. 라우터 테이블이나 방화벽에서이 작업을 수행 할 수 있습니다. 이것은 별도의 네트워크이며 과거 보안 감사를 만족 시켰습니다.
모든 사람들이 볼 수 있도록 인터넷에 결제 데이터베이스 (많은 신용 카드 정보 포함)를 넣을 방법은 없습니다.
Google 결제 데이터베이스는 공개 IPv4 주소에 있으며 전체 존재를위한 것이지만 여기에서 확인할 수 없다는 증거가 있습니다. 주소가 공개 v4 라우팅 가능 목록에 있다고해서 주소가 배달된다는 의미는 아닙니다. 인터넷의 악과 실제 데이터베이스 포트 사이의 두 방화벽은 악을 걸러냅니다. 심지어 내 책상에서도 첫 번째 방화벽 뒤에서 해당 데이터베이스에 접근 할 수 없습니다.
신용 카드 정보는 특별한 경우입니다. 이는 PCI-DSS 표준의 적용을받으며, 표준에 따르면 이러한 데이터를 포함하는 서버는 NAT 게이트웨이 뒤에 있어야합니다 1 . 우리는 있으며이 세 서버는 RFC1918 주소의 총 서버 사용량을 나타냅니다. 보안을 추가하는 것이 아니라 복잡한 계층이지만 감사를 위해 해당 확인란을 선택해야합니다.
인터넷 붐이 본격화되기 전에 원래의 "IPv6는 NAT를 과거의 일로 만듭니다"라는 아이디어가 제시되었습니다. 1995 년 NAT는 작은 IP 할당을 피하기위한 해결책이었습니다. 2005 년에는 많은 보안 모범 사례 문서와 하나 이상의 주요 표준 (PCI-DSS가 구체적으로 명시되어 있음)에 설명되어 있습니다. NAT가 제공하는 유일한 확실한 이점은 네트워크에서 정찰을 수행하는 외부 엔티티가 NAT 장치 뒤에서 IP 환경이 어떻게 보이는지 알지 못한다는 것입니다 (RFC1918 덕분에 추측 할 수는 있지만). 내 작품으로) 그렇지 않습니다. 심층 방어의 작은 단계이지만 큰 단계는 아닙니다.
RFC1918 주소를 대체하는 것이 고유 로컬 주소입니다. RFC1918과 마찬가지로 피어가 라우팅하도록 특별히 동의하지 않으면 라우팅하지 않습니다. RFC1918과 달리 이들은 전 세계적으로 독특합니다. ULA를 글로벌 IP로 변환하는 IPv6 주소 변환기는 아직 SOHO 장비가 아닌 더 높은 범위의 주변 장비에 존재합니다.
당신은 공개 IP 주소로 잘 살아남을 수 있습니다. '공개'는 '도달 가능'을 보장하지 않으며, 괜찮을 것입니다.
2017 년 업데이트
지난 몇 달 동안, 아마존 AWS는 IPv6 지원을 추가했습니다. Amazon-vpc 제품에 방금 추가되었으며 , 구현시 대규모 배포가 어떻게 이루어질 지에 대한 힌트를 얻을 수 있습니다.
- / 56 할당 (256 개의 서브넷)이 제공됩니다.
- 할당은 완전히 라우팅 가능한 서브넷입니다.
- 방화벽 규칙 ( 보안 그룹 )을 적절하게 제한적 으로 설정해야합니다 .
- NAT는 없으며 제공되지도 않으므로 모든 아웃 바운드 트래픽은 인스턴스의 실제 IP 주소에서 나옵니다.
NAT의 보안 이점 중 하나를 다시 추가하기 위해 이제 Egress 전용 인터넷 게이트웨이를 제공하고 있습니다. 이것은 NAT와 같은 이점을 제공합니다.
- 그 뒤에있는 서브넷은 인터넷에서 직접 액세스 할 수 없습니다.
잘못 구성된 방화벽 규칙이 실수로 인바운드 트래픽을 허용하는 경우 심층 방어 계층을 제공합니다.
이 오퍼링은 내부 주소를 NAT처럼 단일 주소로 변환하지 않습니다. 아웃 바운드 트래픽에는 여전히 연결을 연 인스턴스의 소스 IP가 있습니다. VPC에서 리소스를 허용 목록에 추가하려는 방화벽 운영자는 특정 IP 주소가 아닌 넷 블록을 허용 목록에 추가하는 것이 좋습니다.
라우팅 가능 이 항상 도달 가능함을 의미하지는 않습니다 .
1 : PCI-DSS 표준이 2010 년 10 월에 변경되었고 RFC1918 주소를 규정하는 설명이 제거되었으며 '네트워크 격리'가이를 대체했습니다.