APISIX가 DMZ와 내부 네트워크 간의 간극을 어떻게 해소하는가?

January 28, 2024

Technology

DMZ(Demilitarized Zone)는 내부 네트워크와 외부 네트워크(일반적으로 인터넷) 사이에 전략적으로 위치한 보안 네트워크 영역입니다. 이는 완전히 신뢰할 수 없는 서비스나 리소스를 호스팅함으로써 전체 네트워크 보안을 강화하는 역할을 합니다. DMZ의 핵심 목표는 민감한 데이터와 리소스를 포함하는 내부 네트워크와 외부 네트워크 간의 통신을 분리하는 동시에, 외부 네트워크와의 상호작용이 필요한 서비스나 애플리케이션을 수용하는 것입니다.

DMZ 내에는 공개 서버(예: 웹 서버, 메일 서버, DNS 서버) 또는 프록시 서버를 배치할 수 있습니다. 이러한 서버는 외부 네트워크와 통신하지만 내부 네트워크 리소스에 직접 접근할 필요는 없습니다. 이러한 공개 서비스를 DMZ에 배치함으로써 내부 네트워크에 대한 위험을 효과적으로 줄일 수 있습니다. 공격자가 DMZ를 침투하더라도 민감한 내부 네트워크 데이터에 접근하기 위해서는 추가적인 장벽을 극복해야 합니다.

DMZ와 내부 네트워크 간의 안전한 접근을 용이하게 하기 위해 APISIX를 사용하여 API 호출을 편리하게 관리할 수 있습니다. 아래에서는 두 가지 애플리케이션 시나리오(제조 및 금융 분야)를 소개합니다.

시나리오 1: 휴대폰 제조업체

DMZ: 외부 네트워크에 개방됨;

일반 영역: 외부 네트워크와 완전히 격리되어 있으며, 외부 네트워크에 접근하거나 외부 네트워크로부터 접근될 수 없음.

기존 게이트웨이 시스템은 단순한 남북(North-South) 트래픽 게이트웨이가 아니라, 남북 및 동서(East-West) 트래픽을 통합한 시스템입니다.

트래픽 요청은 주로 다음과 같은 네 가지 시나리오로 나타납니다:

  • 클래식 남북: 외부 네트워크 트래픽이 DMZ 게이트웨이를 통과한 후, 로컬 도메인 내의 일반 영역 게이트웨이로 라우팅되어 최종적으로 백엔드 서비스에 도달함.

  • 도메인 간 전달: 외부 네트워크 트래픽이 DMZ 게이트웨이를 통과한 후, 백엔드 서비스가 로컬 도메인 외부에 위치함을 인지하고 내부 백본 네트워크를 통해 백엔드의 도메인 내 일반 영역 게이트웨이에 도달한 후 최종적으로 백엔드 서비스에 도달함.

  • 동서: 백엔드 애플리케이션(Region A)이 다른 애플리케이션(Region B)의 인터페이스를 호출함(여기서는 도메인 간 호출 시나리오로 설명). 애플리케이션(Region A)의 일반 영역 게이트웨이를 통과한 후, 애플리케이션(Region B)의 일반 영역 게이트웨이로 전달되어 해당 애플리케이션에 도달함.

  • 외부 네트워크 서비스 호출: 백엔드 서비스가 타사 서비스(타오바오, JD, SF Express 등)에 접근해야 함. 로컬 일반 영역 게이트웨이를 통과한 후, 요청이 DMZ 게이트웨이로 전달되어 타사 서비스로 전달됨.

DMZ_1_ENG

시나리오 2: 금융 회사

DMZ_2_ENG

생산 외부 네트워크 DMZ: 외부 네트워크에 개방됨;

생산 내부 네트워크: 외부 네트워크와 완전히 격리되어 있으며, 모든 트래픽은 게이트웨이를 통과해야 함.

고객의 APISIX 사용 주요 목표는 다음과 같은 핵심 사항을 해결하는 데 있습니다:

감독 요구 사항: 규제 기준을 준수하기 위해, 고객은 외부 네트워크를 통해 내부 서비스에 접근할 때 모든 마이크로서비스 호출을 철저히 기록하고 감사할 수 있는 능력을 원함.

강력한 서비스 관리: 각 마이크로서비스 모듈에 대해 엄격한 인증을 보장하고 트래픽 제한 조치를 구현하는 것은 고객의 서비스 관리 요구 사항의 중요한 측면임.

비즈니스 성장: 고객은 비즈니스 확장에서의 도전을 해결하고자 하며, 특히 다른 비즈니스 도메인이나 팀 간의 마이크로서비스 통신 필요성을 해결하고자 함.

전체적 관리: 마이크로서비스 수가 증가함에 따라, 고객은 증가하는 호출 체인 복잡성이 전체 비즈니스 안정성에 미치는 상당한 영향을 해결해야 할 필요성을 인지함.

미래 전망: 애플리케이션의 클라우드화 변환을 앞두고, 고객은 서비스 게이트웨이가 애플리케이션 클라우드화 과정을 주도하는 데 중요한 역할을 할 것임을 강조함.

요약

요약하자면, DMZ는 내부 및 외부 네트워크 사이의 장벽 역할을 하며 네트워크 보안에서 중요한 역할을 합니다. 그 기능은 민감한 데이터와 리소스를 보호하면서 필수적인 외부 상호작용을 용이하게 하는 것입니다. 현대적인 게이트웨이 시스템과 API 관리 도구를 활용하면 네트워크 트래�을 효율적으로 관리하고 보안을 강화할 수 있으며, 다양한 산업 분야의 보안 및 규제 요구 사항을 해결할 수 있습니다. 휴대폰 제조업체나 금융 기관 모두 이러한 기술을 사용함으로써 네트워크 보안과 운영 안정성을 보장할 수 있으며, 미래 발전의 요구 사항을 충족할 수 있습니다.

API 관리 솔루션에 대해 더 알아보려면 API7.ai에 문의할 수 있습니다.

Tags:
APISIX Basics
DMZ