07Security Group 구성Configuring Security Groups in Maestro

1. 오케스트레이터에서 Security Group 구성 — 오케스트레이터는 한 대에서만 설정하면 나머지가 자동 동기화 됩니다. 각 Security Group에는 ① Security Appliance 한 대 이상(연결하면 Downlink 포트가 자동 배정), ② 관리 서버로 가는 전용 Management 포트(예: eth1-Mgmt1), ③ 외부·내부 트래픽망을 연결한 Uplink 포트 가 들어갑니다. 2. Security Group의 Gaia OS 설정 3. SmartConsole에서 설정 (정책 객체) 4. 라이선스 설치 5. 트래픽 확인 + 특수 시나리오 설정

Gaia Portal 또는 Gaia Clish로 진행하며, 순서는 이렇습니다. 새 Security Group 생성 → 네트워크 구성 추가 → First Time Wizard 설정(여기선 제한된 항목만 잡음) → 가용 Security Appliance 배정 → 오케스트레이터 포트(Uplink·Management) 배정.

어플라이언스 배정에 주의가 있습니다. 같은 Security Group에는 지원되는(서로 호환되는) 어플라이언스만 배정 할 수 있고(sk162373), 배정된 어플라이언스는 설정 적용 후 자동 재부팅 됩니다. Dual Site라면 각 Site에서 가능한 한 같은 수의 어플라이언스를 배정 해야 — 페일오버 시 새 Active Site가 전체 트래픽을 감당할 수 있습니다. 설정 후 오케스트레이터에 Gaia 백업을 떠 두는 것이 권장됩니다.

새로 만든 Security Group에서 Gaia OS 설정(네트워크·시스템 등)을 잡습니다. 여기서도 Gaia 백업을 떠 두면 좋습니다.

여기서 SMO 개념이 실제로 쓰입니다. 모드에 따라 만드는 객체가 다릅니다.

- Gateway 모드 — Security Gateway 객체 하나 를 만들고, 보안 정책을 설정해 그 객체에 설치합니다. - VSX 모드 — VSX Gateway 객체 하나 를 만들고 그 안에 Virtual System들을 만든 뒤, 각 VS에 정책을 설치합니다.

어느 쪽이든 Security Group 전체를 객체 하나(SMO)로 다룬다 는 원리는 같습니다.

Security Group에 적용할 라이선스를 설치합니다.

마지막으로 이 Security Group을 지나야 하는 연결을 실제로 일으켜 트래픽이 정상 통과하는지 확인 합니다. 필요하면 특수 구성을 더하는데, 고가용성(HA)·Security Group 관리·시스템 최적화 외에 Monitor 모드 배포 나 Bridge 모드 배포 같은 시나리오가 있습니다(이들 상세 절차는 분량이 커서 원문 해당 절을 참고).

정리하면 오케스트레이터에서 그룹·포트·어플라이언스를 잡고(Step 1~2) → SmartConsole에서 SMO 객체로 정책을 입히고(Step 3) → 라이선스를 넣고(Step 4) → 트래픽을 확인(Step 5) 하는 흐름입니다. 이 한 줄기만 잡으면 세부 화면 절차는 그 위에 얹히는 디테일입니다.