VPN(가상 사설망) 탐색
VPN(가상 사설망)을 사용하여 인스턴스를 인터넷을 통해 외부 데이터 소스와 통합합니다.
LDAP(Lightweight Directory Access Protocol) 또는 HTTPS와 같은 암호화된 프로토콜을 사용하는 통합을 구성할 때는 인터넷을 전송 메커니즘으로 사용하는 것이 좋습니다.
그러나 데이터 센터와 비즈니스 네트워크 간에 IPSEC(사이트 간 인터넷 프로토콜 보안) VPN(가상 사설망) 연결을 사용해야 하는 보안 또는 네트워크 아키텍처 요구 사항이 있을 수 있습니다. VPN은 인스턴스와 네트워크 간에 필요한 암호화된 통신을 지원합니다.
VPN 터널이 시작되면 사이트 간 연결로 작동합니다. 즉, 인프라의 엔드포인트에서 암호화 도메인이라고 하는 IP 주소를 받습니다. 이 공용 IP는 동일한 데이터 센터 내의 모든 인스턴스에서 액세스할 수 있습니다.
예를 들어 내부 웹 서비스가 있고 VPN 터널을 설정하는 경우 인스턴스는 내부 엔드포인트뿐만 아니라 동일한 데이터 센터의 다른 모든 인스턴스에도 연결할 수 있습니다.
VPN 연결
VPN 인프라는 ServiceNow VPN 터미네이션 포인트 역할을 하는 Cisco ASA(Adaptive Security Appliance) 디바이스 쌍을 사용합니다.
인스턴스와 네트워크 간의 VPN은 기존 네트워킹 하드웨어를 활용하여 통신을 지원합니다. 하드웨어를 설치할 필요는 없습니다. 각 고객은 고유한 구성을 가지고 있기 때문에 인스턴스에는 유연한 VPN 솔루션이 있습니다. 이 인스턴스는 Checkpoint, Juniper, Nortel 및 기타 IPSEC VPN 지원 디바이스에 대한 터널을 구축했습니다.
인스턴스와 네트워크 간의 VPN 연결은 네트워크로의 암호화된 트래픽 흐름을 지원하기 위해 생성됩니다. VPN을 사용하는 통합에는 기본 프로토콜의 일부로 암호화가 없는 경우가 많습니다. 예를 들어, VPN을 통한 LDAP 와 인터넷을 통한 LDAPS, VPN을 통한 HTTP와 인터넷을 통한 HTTPS를 비교할 수 있습니다.
네트워크는 인바운드-ServiceNow 통합 또는 최종 사용자-ServiceNow 트래픽이 VPN 연결을 통과하는 것을 허용하지 않습니다. 이 제한된 통신에는 플랫폼에 대한 최종 사용자 액세스, 플랫폼 관리, 웹 서비스 통합 및 MID 서버를 사용하도록 구성된 기타 통합이 포함됩니다. 인스턴스에 대한 이러한 모든 인바운드 통신은 HTTPS를 사용하여 인터넷을 통해 수행되어야 합니다. 이 구성은 암호화된 통신 채널을 제공합니다. 암호화 채널은 IP 액세스 제어와 함께 이 트래픽 플로우에 대한 보안 요구 사항을 충족합니다.
VPN 통신을 위한 주소
내부 ServiceNow 네트워크 또는 네트워크의 다른 내부 IP 주소 체계와의 충돌 또는 겹침을 방지하기 위해 암호화 도메인의 모든 터널링된 트래픽은 터널의 양쪽에서 비 RFC-1918 주소를 사용해야 합니다.
ServiceNow 는 네트워크에 대한 쿼리 소스에 대한 단일 IP 주소를 제공합니다. 인스턴스와 통합되는 각 호스트에 대해 NAT(Network Address Translation)가 아닌 RFC-1918 주소를 제공해야 합니다. 이러한 공용 주소는 조직에서 소유해야 합니다. 터널 내에서 타사 주소를 사용할 수 없습니다. 또한 암호화 도메인에는 VPN 피어의 IP 주소가 포함되어서는 안 됩니다.
중복 터널
- 두 피어 뒤에서 동일한 암호화 도메인을 사용합니다. 이 방법이 가장 선호됩니다.
- 각 피어 뒤에서 서로 다른 암호화 도메인을 사용합니다.
첫 번째 방법에서는 각 피어 뒤에 동일한 NAT 주소를 제공하여 해당 주소를 사용하여 서버에 대한 연결 경로를 만들어야 합니다. 서버 경로는 동일한 실제 시스템 또는 동일한 서비스를 제공하는 미러일 수 있습니다. 이 방법을 사용하면 기본 터널 또는 보조 터널이 활성 상태인지 여부에 관계없이 인스턴스가 동일한 IP 주소를 사용하여 서버에 연결합니다. 서버가 둘 이상인 경우 추가 서버에 대해 동일한 구성표를 따릅니다. 이 방법은 사용자에게 가장 투명성을 제공하며 권장됩니다.
두 번째 방법은 중복성을 제공하기 위해 인스턴스를 구성해야 합니다. 예를 들어, 터널이 LDAP에 사용되는 경우 인스턴스에 중복 LDAP 서버를 제공할 수 있습니다. 이 방법을 사용하려면 인스턴스가 보조 서버에 연결을 시도하기 전에 처음 구성된 LDAP 서버에 대한 연결 시간이 초과되어야 합니다. 이러한 추가 시간 지연으로 인해 이 솔루션은 첫 번째 옵션을 사용할 수 없는 경우에만 구현해야 합니다. 또한 인스턴스에서 모든 서비스를 중복으로 구성할 수 있는 것은 아닙니다. LDAP 이외의 용도로 VPN 터널을 사용 중이고 이중화가 필요한 경우, 구성이 여러 주소를 지원할 수 있는지 확인하거나 위의 첫 번째 옵션을 참조하십시오.
VPN 사용의 대안
이러한 대안은 인스턴스를 데이터 센터의 자원에 연결하고 더 나은 암호화를 제공하는 더 간단한 방법을 제공합니다.ServiceNow 또한 VPN 터널에 문제가 있는 경우 사용자가 인스턴스를 사용할 수 없게 만드는 등 VPN 다운타임으로 인해 발생할 수 있는 문제를 방지할 수 있습니다.
- 1회 사용자 인증(SSO) 및 MID Server
VPN을 사용하여 LDAP 서버를 인스턴스에 연결하는 대신 인증을 위해 1회 사용자 인증(SSO)과 사용자 데이터 동기화를 위해 MID 서버를 조합하여 사용하는 것이 좋습니다. LDAP 이외의 통합의 경우 인증서 기반 암호화 사용을 고려하십시오.
MID 서버에서 LDAP 수신기를 사용하여 거의 실시간으로 사용자 테이블을 동기화할 수 있습니다.
이 접근 방식의 장점은 구성하고 유지 관리할 방화벽 구멍, 경로, VPN 터널 또는 기타 특수 네트워크 설정이 없다는 것입니다. SSO/MID Server 솔루션은 완전한 LDAP 통합을 달성하는 가장 유연하고 안전하며 비용 효율적인 방법입니다.
- SSL을 통한 LDAP
- VPN 터널을 사용하는 또 다른 대안은 인터넷을 통해 직접 LDAP(LDAP Over SSL)를 구성하는 것입니다. 읽기 전용 도메인 컨트롤러를 구성하고 인스턴스의 소스 주소와 선택한 대상 포트만 사용하여 DMZ에서 인스턴스를 잠글 수 있습니다. LDAP에 대한 포트는 인스턴스에서 구성할 수 있으므로 원하는 경우 포트 주소 변환(PAT)을 수행할 수 있습니다. LDAPS를 사용하면 암호화된 채널을 통해 인스턴스에 업로드되는 인증서를 제어할 수 있습니다( 인스턴스에 인증서 업로드참조). 인증서 없이는 패킷을 암호화하거나 해독할 수 없습니다.
이 접근 방식의 장점은 더 강력한 암호화 및 암호 해독 메커니즘을 제공한다는 것입니다. VPN은 비밀번호와 유사한 조정된 사전 공유 키로만 인터넷에 있는 두 피어 간의 트래픽을 암호화하고 해독할 수 있습니다. LDAPS는 IPSec 터널이 사용하는 사전 공유 키보다 훨씬 복잡한 인증서와 함께 애플리케이션 계층에서 엔드 투 엔드로 더 긴 암호화 경로를 제공합니다.
VPN 설정
VPN 요청이 제출된 시점부터 일반적으로 VPN 빌드를 완료하는 데 일주일 이하가 걸립니다. 인스턴스 및 조직의 중복성 요구 사항을 지원하기 위해 최소 2개에서 최대 4개의 VPN이 프로비저닝됩니다(활성 사이트에서 활성 사이트로 또는 활성 사이트에서 DR 사이트로 등).
암호화 도메인은 가능한 한 구체적으로 지정하는 것이 좋습니다. 이상적으로 암호화 도메인에는 통합에 필요한 특정 호스트만 포함됩니다. 대규모 암호화 도메인은 라우팅 불일치(VPN 대 인터넷)의 기회를 만들 수 있습니다.
- 각 데이터센터의 VPN 피어 및 호스트 주소를 제공합니다.
- 두 데이터 센터에서 네트워크로 필요한 VPN 연결을 구축합니다. 중복성 및 DR(재해 복구) 요구 사항을 지원하기 위해 VPN을 두 개의 데이터 센터에서 두 개의 네트워크로 프로비저닝할 수 있습니다.
인스턴스는 여러 지리적 지역 또는 자회사에 연결하기 위해 고객 네트워크에 여러 VPN 터널을 구축하는 것을 지원하지 않습니다. 여러 VPN 터널을 사용하는 대신 자체 내부 네트워크 내에서 사이트 간 라우팅, 트래픽 분산 또는 트래픽 셰이핑을 수행해야 합니다.