VPN(가상 사설망) 살펴보기
VPN(가상 사설망)을 사용하여 인터넷을 통해 인스턴스를 외부 데이터 소스와 통합합니다.
LDAP(Lightweight Directory Access Protocol) 또는 HTTPS와 같은 암호화된 프로토콜을 사용하는 통합을 구성할 때는 인터넷을 전송 메커니즘으로 사용하는 것이 좋습니다.
그러나 데이터 센터와 비즈니스 네트워크 간에 사이트 간 IPSEC(인터넷 프로토콜 보안) VPN(가상 사설망) 연결을 사용하도록 지시하는 보안 또는 네트워크 아키텍처 요구 사항이 있을 수 있습니다. VPN은 인스턴스와 네트워크 간에 필요한 암호화된 통신을 지원합니다.
VPN 터널이 시작되면 사이트 간 연결로 작동합니다. 즉, 인프라의 엔드포인트가 암호화 도메인이라고 하는 IP 주소를 받습니다. 이 공용 IP는 동일한 데이터 센터 내의 모든 인스턴스에서 액세스할 수 있습니다.
예를 들어 내부 웹 서비스가 있고 VPN 터널을 설정하는 경우 인스턴스는 내부 엔드포인트뿐만 아니라 동일한 데이터 센터의 다른 모든 인스턴스에도 연결할 수 있습니다.
VPN 연결
VPN 인프라는 ServiceNow VPN 종료 지점 역할을 하는 Cisco ASA(Adaptive Security Appliance) 디바이스 쌍을 사용합니다.
인스턴스와 네트워크 간의 VPN은 기존 네트워킹 하드웨어를 활용하여 통신을 지원합니다. 하드웨어를 설치할 필요는 없습니다. 각 고객은 고유한 구성을 가지고 있기 때문에 인스턴스에는 유연한 VPN 솔루션이 있습니다. 인스턴스는 Checkpoint, Juniper, Nortel 및 기타 IPSEC VPN 지원 장치에 대한 터널을 구축했습니다.
인스턴스와 네트워크 간의 VPN 연결은 네트워크로의 암호화된 트래픽 흐름을 지원하기 위해 생성됩니다. VPN을 사용하는 통합에는 기본 프로토콜의 일부로 암호화가 없는 경우가 많습니다. 예를 들어 VPN을 통한 LDAP , 인터넷을 통한 LDAP, VPN을 통한 HTTP, 인터넷을 통한 HTTPS가 있습니다.
네트워크는 VPN 연결을 통과하는 인바운드 - ServiceNow 통합 또는 최종 사용자와 ServiceNow 간 트래픽을 허용하지 않습니다. 이 제한된 통신에는 플랫폼에 대한 최종 사용자 액세스, 플랫폼 관리, 웹 서비스 통합 및 MID Server를 사용하도록 구성된 기타 통합이 포함됩니다. 인스턴스에 대한 모든 인바운드 통신은 HTTPS를 사용하여 인터넷을 통해 수행되어야 합니다. 이 구성은 암호화된 통신 채널을 제공합니다. IP 액세스 제어와 함께 암호화 채널은 이 트래픽 흐름에 대한 보안 요구 사항을 충족합니다.
VPN 통신을 위한 주소
내부 ServiceNow 네트워크 또는 네트워크의 다른 내부 IP 주소 체계와 충돌하거나 겹치지 않도록 하려면 암호화 도메인의 모든 터널링된 트래픽은 터널의 양쪽에서 RFC-1918이 아닌 주소를 사용해야 합니다.
ServiceNow 는 네트워크에 대한 쿼리 소스의 단일 IP 주소를 제공합니다. 인스턴스와 통합되는 각 호스트에 대해 RFC-1918이 아닌 NAT(네트워크 주소 변환) 주소를 제공해야 합니다. 이러한 공용 주소는 조직에서 소유해야 합니다. 터널 내에서 타사 주소를 사용할 수 없습니다. 또한 암호화 도메인에는 VPN 피어의 IP 주소가 포함되지 않아야 합니다.
중복 터널
- 두 피어 모두에서 동일한 암호화 도메인을 사용합니다. 이 방법이 선호됩니다.
- 각 피어 뒤에 다른 암호화 도메인을 사용합니다.
첫 번째 방법에서는 각 피어 뒤에 동일한 NAT 주소를 제공하여 해당 주소를 사용하여 서버에 대한 연결 경로를 만들어야 합니다. 서버에 대한 경로는 동일한 물리적 시스템이거나 동일한 서비스를 제공하는 미러일 수 있습니다. 이 방법을 사용하면 인스턴스가 기본 또는 보조 터널이 활성 상태인지 여부에 관계없이 동일한 IP 주소를 사용하여 서버에 연결합니다. 서버가 두 개 이상인 경우 추가 서버에 대해 동일한 구성표를 따릅니다. 이 방법은 사용자에게 가장 투명한 방법을 제공하므로 권장됩니다.
두 번째 방법은 인스턴스에 중복성을 제공하도록 구성해야 합니다. 예를 들어 터널이 LDAP에 사용되는 경우 인스턴스에 중복 LDAP 서버를 제공할 수 있습니다. 이 방법을 사용하려면 인스턴스가 보조 서버에 연결을 시도하기 전에 첫 번째로 구성된 LDAP 서버에 대한 연결이 시간 초과되어야 합니다. 이러한 추가 시간 지연으로 인해 이 솔루션은 첫 번째 옵션을 달성할 수 없는 경우에만 구현해야 합니다. 또한 인스턴스에서 모든 서비스를 중복으로 구성할 수 있는 것은 아닙니다. LDAP 이외의 용도로 VPN 터널을 사용 중이고 중복성이 필요한 경우, 구성이 여러 주소를 지원할 수 있는지 확인하거나 위의 첫 번째 옵션을 참조하십시오.
VPN 사용의 대안
이러한 대안은 인스턴스를 데이터 센터의 자원 ServiceNow 에 연결하는 더 간단한 방법을 제공하고 더 나은 암호화를 제공합니다. 또한 VPN 터널에 문제가 있는 경우 사용자가 인스턴스를 사용할 수 없도록 하는 등 VPN 가동 중단으로 인해 발생할 수 있는 문제를 방지할 수 있습니다.
- SSO(Single Sign-On) 및 MID Server
VPN을 사용하여 LDAP 서버를 인스턴스에 연결하는 대신 인증에 SSO(Single Sign-On)를 사용하고 사용자 데이터 동기화를 위해 MID Server를 사용하는 것이 좋습니다. LDAP 이외의 통합의 경우 인증서 기반 암호화 사용을 고려하십시오.
MID 서버에서 LDAP 수신기를 사용하여 거의 실시간으로 사용자 테이블을 동기화할 수 있습니다.
이 접근 방식의 장점은 구성 및 유지 관리할 방화벽 구멍, 경로, VPN 터널 또는 기타 특수 네트워크 설정이 없다는 것입니다. SSO/MID Server 솔루션은 완전한 LDAP 통합을 달성하기 위한 가장 유연하고 안전하며 비용 효율적인 방법입니다.
- SSL을 통한 LDAP
- VPN 터널을 사용하는 또 다른 방법은 인터넷을 통해 직접 LDAPS(LDAP Over SSL)를 구성하는 것입니다. 읽기 전용 도메인 컨트롤러를 구성하고 인스턴스의 소스 주소와 선택한 대상 포트만 사용하여 DMZ에서 인스턴스를 잠글 수 있습니다. LDAP에 대한 포트는 인스턴스에서 구성할 수 있으므로 원하는 경우 포트 주소 변환(PAT)을 수행할 수 있습니다. LDAPS를 사용하면 암호화된 채널을 통해 인스턴스에 업로드되는 인증서를 제어할 수 있습니다( 문서 참조 인스턴스에 인증서 업로드). 인증서 없이는 패킷을 암호화하거나 해독할 수 없습니다.
이 접근 방식의 장점은 더 강력한 암호화 및 암호 해독 메커니즘을 제공한다는 것입니다. VPN은 비밀번호와 유사한 조정된 사전 공유 키를 사용하여 인터넷에 있는 두 피어 간의 트래픽만 암호화하고 해독할 수 있습니다. LDAPS는 응용 프로그램 계층에서 종단 간 더 긴 암호화 경로와 IPSec 터널에서 사용하는 미리 공유된 키보다 훨씬 더 복잡한 인증서를 제공합니다.
VPN 설정
VPN 요청이 제출된 시점부터 VPN 빌드를 완료하는 데 일반적으로 1주일 미만이 소요됩니다. 인스턴스와 조직의 중복 요구 사항을 지원하기 위해 최소 2개 및 최대 4개의 VPN이 프로비저닝됩니다(활성 사이트에서 활성 사이트로 또는 활성 사이트에서 DR 사이트로 등).
암호화 도메인은 가능한 한 구체적으로 지정하는 것이 좋습니다. 암호화 도메인에는 통합에 필요한 특정 호스트만 포함하는 것이 가장 좋습니다. 암호화 도메인이 크면 라우팅 불일치(VPN과 인터넷)가 발생할 수 있습니다.
- 각 데이터 센터의 VPN 피어 및 호스트 주소를 제공합니다.
- 두 데이터 센터에서 네트워크로 필요한 VPN 연결을 구축합니다. 이중화 및 재해 복구(DR) 요구 사항을 지원하기 위해 VPN을 두 개의 데이터 센터에서 두 개의 네트워크로 프로비저닝할 수 있습니다.
이 인스턴스는 여러 지리적 리전 또는 자회사에 연결하기 위해 고객 네트워크에 여러 VPN 터널을 구축하는 것을 지원하지 않습니다. 여러 VPN 터널을 사용하는 대신 자체 내부 네트워크 내에서 사이트 간 라우팅, 트래픽 분산 또는 트래픽 셰이핑을 수행해야 합니다.