멀티 클라우드 방어 소개
멀티 클라우드 방어(MCD)는 두 가지 주요 구성 요소인 멀티 클라우드 방어 컨트롤러 및 멀티 클라우드 방어 게이트웨이로 이루어진 포괄적인 보안 솔루션입니다. 이러한 구성 요소는 서로 함께 작동하여 안전한 멀티 클라우드 환경을 설정합니다.
멀티 클라우드 방어에서는 현재 AWS(Amazon Web Services), Azure, GCP(Google Cloud Platform) 및 Oracle OCI 클라우드 어카운트를 지원합니다. 이러한 플랫폼에 대한 지원 범위는 다양합니다.
기본적으로 멀티 클라우드 방어에서는 강력하고 효율적인 멀티 클라우드 보호 메커니즘을 위해 컨트롤러 오케스트레이션, 게이트웨이 통신 및 최적화된 데이터 경로 처리가 조화를 이루는 정교하고 간소화된 보안 프레임워크를 제공합니다.
이 설명서는 공용 클라우드 네트워킹 및 보안 개념에 대한 기본적인 이해를 갖추고 있으며, 다음과 같은 다양한 기능의 팀에 참여하는 실무자를 위해 마련되었습니다.
-
개발 운영(DevOps 및 DevSecOps)
-
보안 운영 센터(SOC)
-
보안 아키텍트 정보
-
보안 아키텍트 클라우드 아키텍트
추가 멀티 클라우드 방어 문서
멀티 클라우드 방어에 대한 추가 정보는 다음 문서에서 확인할 수 있습니다.
멀티 클라우드 방어 명명 규칙
멀티 클라우드 방어에서는 다양한 클라우드 서비스 제공자와 상호 작용하며, 플랫폼 전반에 걸쳐 범용 환경을 제공하기 위해 사용자가 게이트웨이 및 개체를 생성할 때 문자 수를 제한합니다. 멀티 클라우드 방어 외부에 있는 게이트웨이 및 개체는 이름 앞에 ciscomcd
가 추가되며, 이는 원래 게이트웨이 또는 개체 이름이 너무 길면 문제가 발생할 수 있습니다.
멀티 클라우드 방어 내부 및 외부에서 게이트웨이나 개체의 이름을 지정할 때는 다음과 같은 문자 제한을 고려하십시오.
멀티 클라우드 방어 기능 |
최대 허용 문자 수 |
---|---|
게이트웨이 인스턴스 |
55 |
개체 이름 |
63 |
참고 |
위의 값은 앞에 추가되는 멀티 클라우드 방어 태그가 없는 이름의 문자 제한을 나타냅니다. 게이트웨이나 개체의 이름을 지정할 때 태그를 포함할 수 없습니다. |
지원 지역
멀티 클라우드 방어에서는 다음 지역을 지원합니다.
-
미국(US) - us-west-2
-
유럽(EU) - eu-central-1
-
도쿄(APJ) - ap-northeast-1
-
시드니(APJ) - ap-southeast-2
-
델리(APJ) - ap-south-1
멀티 클라우드 방어 구성 요소의 권장 버전
개선 사항, 새로운 기능, 버그 수정을 위해 최신 업그레이드 및 업데이트를 통해 구성 요소를 최신 상태로 유지하는 것이 좋습니다. 사용 가능한 업데이트 및 업그레이드, 각 패키지의 솔루션에 대한 자세한 내용은 Cisco 멀티 클라우드 방어 릴리스 노트를 참조하십시오.
서드파티 제품 지원 및 버전 관리
멀티 클라우드 방어는 추가 제품 및 기능을 사용합니다. 최적의 작업을 위해 나열된 적절한 버전을 사용하는 것이 좋습니다.
인터넷 브라우저
멀티 클라우드 방어 구성 요소에 대해 다음과 같은 인터넷 브라우저를 지원 및 권장합니다.
브라우저 |
지원 |
---|---|
Chrome |
예. 이 브라우저를 사용하는 것이 좋습니다. |
Firefox |
예. |
Edge |
예. |
Safari |
예. |
Internet Explorer |
예. |
AWS용 인스턴스 메타데이터 서비스
IMDS(Instance Metadata Service)는 Amazon EC2 인스턴스에서 인스턴스 메타데이터에 액세스하는 데 사용됩니다. 멀티 클라우드 방어 컨트롤러 버전 23.10은 해당 멀티 클라우드 방어 게이트웨이버전에 따라 IMDSv2를 필수 또는 옵션으로 설정합니다.
Amazon EC2 인스턴스의 최적의 보안을 위해 Required(필수) 모드에서는 IMDSv2를 특별히 지원하는 멀티 클라우드 방어 게이트웨이 버전으로 업그레이드하는 것이 좋습니다.
참고 |
멀티 클라우드 방어 컨트롤러 버전 23.10은 EC2 인스턴스의 경우 23.04 이후 멀티 클라우드 방어 게이트웨이 버전을 기본 IMDSv2로 설정합니다. |
아래 표를 사용하여 환경의 EC2 인스턴스 내부에 설정할 IMDS 버전을 확인하십시오.
멀티 클라우드 방어 게이트웨이 버전 |
필수 IMDS 버전 |
---|---|
23.08 |
IMDSv2(필수) |
23.06 |
IMDSv2(필수) |
23.04 |
IMDSv2(필수) |
23.02 |
IMDSv1 IMDSv2(옵션) |
22.12 |
IMDSv1 IMDSv2(옵션) |
IMDS 버전 및 선택한 버전으로 마이그레이션하는 방법에 대한 자세한 내용은 AWS 설명서를 참조하십시오.
지원되는 디스크 크기
적절한 게이트웨이 버전에 대한 다음과 같은 디스크 크기 지원을 고려하십시오.
게이트웨이 버전 |
지원되는 디스크 크기 |
---|---|
23.12 이상 |
128GB |
최대 23.10 |
256GB |
멀티 클라우드 방어 in Cisco Security Cloud 제어
Security Cloud Control은 Cisco Security Cloud 전체에서 Cisco Secure 제품 인스턴스, 사용자 ID 및 사용자 액세스 관리의 중앙 집중식 관리를 제공하는 웹 애플리케이션입니다. Security Cloud Control 관리자는 새로운 Security Cloud 엔터프라이즈를 생성하고, 엔터프라이즈의 사용자를 관리하고, 도메인을 클레임하고, 조직의 SSO ID 제공자를 통합하는 등의 작업을 수행할 수 있습니다.
멀티 클라우드 방어에 등록하면 보안 클라우드 제어는 기본적으로 테넌시에 대한 어카운트를 생성하여 엔터프라이즈 전반에 걸쳐 더 효율적으로 관리합니다. Security Cloud 엔터프라이즈는 다음 경우를 지원합니다. 라이선스는 구매하고 이미 멀티 클라우드 방어 어카운트가 있는 경우와 라이선스를 구매했지만 현재 멀티 클라우드 방어 어카운트가 없는 경우입니다.
다음 여러 번의 릴리스에 걸쳐
보안 클라우드 제어 대시보드에서 다음 단계를 완료해야 합니다. 다음 단계에 대한 자세한 내용은 Cisco Security Cloud 제어 사용자 설명서를 참조하십시오.
-
구독 라이선스를 구매합니다. 구매한 후 회원님 또는 지정된 시스템 관리자가 구독 클레임 코드가 포함된 이메일을 받게 됩니다. 이 이메일을 잃어버리지 마십시오.
-
구독을 클레임합니다. 위에서 언급한 이메일의 클레임 코드가 필요합니다. 자세한 내용은 "제품 및 구독 관리"를 참조하십시오.
-
인스턴스를 활성화합니다. 이 "인스턴스"는 Cisco Defense Orchestrator 테넌트에 연결된 멀티 클라우드 방어 어카운트를 나타냅니다. 자세한 내용은 "제품 인스턴스 활성화"를 참조하십시오.
경고
새 인스턴스 또는 기존 인스턴스를 활성화하라는 메시지가 표시됩니다. 엔터프라이즈에 아직 없는 멀티 클라우드 방어 어카운트에 라이선스를 적용하려면 새 인스턴스 활성화를 선택합니다. 기존 인스턴스에 라이선스 적용 옵션은 Security Cloud 엔터프라이즈에 이미 등록된 멀티 클라우드 방어 인스턴스에 라이선스를 적용합니다.
참고
Cisco Defense Orchestrator 테넌트와 아직 멀티 클라우드 방어 어카운트가 연결되어 있지 않은 경우, "
멀티 클라우드 방어 라이선스와 연결할 기존 Cisco Defense Orchestrator 어카운트가 있습니까?
"라는 메시지가 표시될 때 No(아니요)를 선택합니다. 이렇게 하면 Cisco Defense Orchestrator 테넌트에 대한 요청이 생성됩니다. 그런 다음 멀티 클라우드 방어를 요청하고 활성화할 수 있습니다. No(아니오)를 선택한 경우, 4단계를 무시합니다.
-
활성화를 확인합니다. 이 단계는 Cisco Defense Orchestrator에서 이루어집니다. 활성화 버튼을 클릭하여 활성화를 확인해야 합니다. 이 버튼은 아래 에 설명된 것처럼 대시보드 창 위쪽에 새 배너로 표시됩니다.
참고
활성화를 확인하면 멀티 클라우드 방어 어카운트의 성능 계층을 선택해야 합니다. 제품에 대한 평가판 라이선스와 전체 라이선스 중 어떤 라이선스가 있는지에 따라 표시되는 옵션은 이 스크린샷 과 다를 수 있습니다.