VPN(가상 사설망) 살펴보기
VPN(가상 사설망)을 사용하여 인터넷을 통해 인스턴스를 외부 데이터 소스와 통합합니다.
LDAP(Lightweight Directory Access Protocol) 또는 HTTPS와 같은 암호화된 프로토콜을 사용하는 통합을 구성할 때는 인터넷을 전송 메커니즘으로 사용하는 것이 좋습니다.
그러나 데이터 센터와 비즈니스 네트워크 간에 사이트 간 IPSEC(인터넷 프로토콜 보안) VPN(가상 사설망) 연결을 사용해야 하는 보안 또는 네트워크 아키텍처 요구 사항이 있을 수 있습니다. VPN은 인스턴스와 네트워크 간에 필요한 암호화된 통신을 지원합니다.
VPN 연결
VPN 인프라는 ServiceNow VPN 종료 지점 역할을 하는 Cisco ASA(Adaptive Security Appliance) 디바이스 쌍을 사용합니다.
인스턴스와 네트워크 간의 VPN은 기존 네트워킹 하드웨어를 활용하여 통신을 지원합니다. 하드웨어를 설치할 필요는 없습니다. 각 고객마다 고유한 구성이 있기 때문에 인스턴스에는 유연한 VPN 솔루션이 있습니다. 인스턴스는 Checkpoint, Juniper, Nortel 및 기타 IPSEC VPN 지원 디바이스에 대한 터널을 구축했습니다.
인스턴스와 네트워크 간의 VPN 연결은 네트워크로의 암호화된 트래픽 흐름을 지원하기 위해 생성됩니다. VPN을 사용하는 통합에는 기본 프로토콜의 일부로 암호화가 없는 경우가 많습니다. 예를 들어, VPN을 통한 LDAP 와 인터넷을 통한 LDAPS, VPN을 통한 HTTP와 인터넷을 통한 HTTPS가 있습니다.
네트워크에서는 인바운드-ServiceNow 통합 또는 최종 사용자-ServiceNow 트래픽이 VPN 연결을 통과하는 것을 허용하지 않습니다. 이 제한된 통신에는 플랫폼에 대한 최종 사용자 액세스, 플랫폼 관리, 웹 서비스 통합 및 MID Server를 사용하도록 구성된 기타 통합이 포함됩니다. 인스턴스에 대한 이러한 모든 인바운드 통신은 HTTPS를 사용하여 인터넷을 통해 수행되어야 합니다. 이 구성은 암호화된 통신 채널을 제공합니다. 암호화 채널은 IP 액세스 제어와 함께 이 트래픽 흐름에 대한 보안 요구 사항을 충족합니다.
VPN 통신을 위한 주소
내부 ServiceNow 네트워크 또는 네트워크의 다른 내부 IP 주소 체계와의 충돌 또는 겹침을 방지하려면 암호화 도메인의 모든 터널링된 트래픽이 터널의 양쪽에서 비 RFC-1918 주소를 사용해야 합니다.
ServiceNow 는 네트워크에 대한 쿼리 소스에 대한 단일 IP 주소를 제공합니다. 인스턴스와 통합되는 각 호스트에 대해 NAT(Network Address Translation), 비 RFC-1918 주소를 제공해야 합니다. 이러한 공용 주소는 조직에서 소유해야 합니다. 타사 주소는 터널 내에서 사용할 수 없습니다. 또한 암호화 도메인에는 VPN 피어의 IP 주소가 포함되어서는 안 됩니다.
이중화 터널
- 두 피어 뒤에서 동일한 암호화 도메인을 사용합니다. 이 방법이 선호되는 방법입니다.
- 각 피어 뒤에서 다른 암호화 도메인을 사용합니다.
첫 번째 방법을 사용하면 각 피어 뒤에 동일한 NAT 주소를 제공하여 해당 주소를 사용하여 서버에 대한 연결 경로를 만들어야 합니다. 서버 경로는 동일한 물리적 시스템 또는 동일한 서비스를 제공하는 미러일 수 있습니다. 이 방법을 사용하면 인스턴스는 기본 터널 또는 보조 터널이 활성 상태인지 여부에 관계없이 동일한 IP 주소를 사용하여 서버에 연결합니다. 서버가 두 개 이상인 경우 추가 서버에 대해 동일한 구성표를 따릅니다. 이 방법은 사용자에게 가장 투명한 정보를 제공하므로 권장됩니다.
두 번째 방법은 중복성을 제공하기 위해 인스턴스에 구성이 필요합니다. 예를 들어 터널을 LDAP에 사용하는 경우 인스턴스에 중복 LDAP 서버를 제공할 수 있습니다. 이 방법을 사용하려면 인스턴스가 보조 서버에 연결을 시도하기 전에 첫 번째로 구성된 LDAP 서버에 대한 연결이 시간 초과되어야 합니다. 이러한 추가 시간 지연으로 인해 이 솔루션은 첫 번째 옵션을 달성할 수 없는 경우에만 구현해야 합니다. 또한 모든 서비스를 인스턴스에서 중복으로 구성할 수 있는 것은 아닙니다. LDAP가 아닌 다른 VPN 터널을 사용하고 이중화가 필요한 경우 구성이 여러 주소를 지원할 수 있는지 확인하거나 위의 첫 번째 옵션을 참조하십시오.
VPN 사용의 대안
이러한 대안은 인스턴스를 데이터 센터의 자원 ServiceNow 에 연결하고 더 나은 암호화를 제공하는 더 간단한 방법을 제공합니다. 또한 VPN 터널에 문제가 있는 경우 사용자가 인스턴스를 사용할 수 없게 만드는 등 VPN 다운타임으로 인해 발생할 수 있는 문제를 방지할 수 있습니다.
- SSO(Single Sign-On) 및 MID Server
VPN을 사용하여 LDAP 서버를 인스턴스에 연결하는 대신 인증에 SSO(Single Sign-On)를 사용하고 사용자 데이터 동기화에 MID Server를 조합하여 사용하는 것이 좋습니다. LDAP 이외의 통합의 경우 인증서 기반 암호화를 사용하는 것이 좋습니다.
MID Server의 LDAP 수신기를 사용하여 거의 실시간으로 사용자 테이블을 동기화할 수 있습니다.
이 방법의 장점은 구성 및 유지 관리할 방화벽 구멍, 경로, VPN 터널 또는 기타 특수 네트워크 설정이 없다는 것입니다. SSO/MID-Server 솔루션은 완전한 LDAP 통합을 달성하는 가장 유연하고 안전하며 비용 효율적인 방법입니다.
- SSL을 통한 LDAP
- VPN 터널을 사용하는 또 다른 방법은 인터넷을 통해 직접 LDAPS(LDAP Over SSL)를 구성하는 것입니다. 읽기 전용 도메인 컨트롤러를 구성하고 인스턴스의 소스 주소와 선택한 대상 포트만 사용하여 DMZ에서 인스턴스를 잠글 수 있습니다. LDAP에 대한 포트는 인스턴스에서 구성할 수 있으므로 원하는 경우 PAT(포트 주소 변환)를 수행할 수 있습니다. LDAPS를 사용하면 암호화된 채널을 통해 인스턴스에 업로드되는 인증서를 제어할 수 있습니다( 참조 인스턴스에 인증서 업로드). 인증서 없이는 패킷을 암호화하거나 해독할 수 없습니다.
이 방법의 장점은 더 강력한 암호화 및 암호 해독 메커니즘을 제공한다는 것입니다. VPN은 비밀번호와 유사하게 조정된 사전 공유 키를 사용하여 인터넷에 있는 두 피어 간의 트래픽만 암호화하고 해독할 수 있습니다. LDAPS는 IPSec 터널에서 사용하는 사전 공유 키보다 훨씬 더 복잡한 인증서와 함께 애플리케이션 계층에서 종단 간 더 긴 암호화 경로를 제공합니다.
VPN 설정
VPN 요청이 제출된 시점부터 VPN 빌드를 완료하는 데 일반적으로 1주일 미만이 걸립니다. 인스턴스와 조직의 중복성 요구 사항을 지원하기 위해 최소 2개에서 최대 4개의 VPN이 프로비저닝됩니다(활성 사이트에서 활성 사이트로 또는 활성 사이트에서 DR 사이트로 등).
암호화 도메인은 가능한 한 구체적으로 지정하는 것이 좋습니다. 이상적으로 암호화 도메인에는 통합에 필요한 특정 호스트만 포함됩니다. 대규모 암호화 도메인은 라우팅 불일치(VPN 대 인터넷)의 기회를 만들 수 있습니다.
- 각 데이터 센터에서 VPN 피어 및 호스트 주소를 제공합니다.
- 두 데이터 센터에서 네트워크로 필요한 VPN 연결을 구축합니다. 이중화 및 재해 복구(DR) 요구 사항을 지원하기 위해 VPN을 두 개의 데이터 센터에서 두 개의 네트워크로 프로비저닝할 수 있습니다.
이 인스턴스는 여러 지리적 리전 또는 자회사에 연결하기 위해 고객 네트워크에 여러 VPN 터널을 구축하는 것을 지원하지 않습니다. 여러 VPN 터널을 사용하는 대신 자체 내부 네트워크 내에서 사이트 간 라우팅, 트래픽 분산 또는 트래픽 셰이핑을 수행해야 합니다.