클라우드의 Virtual Gateway와 VPN
클라우드의 Virtual Private Cloud 안에 배포한 Virtual Gateway 와, 사내에 있는 on-premises Check Point Security Gateway(또는 VPN Cluster) 사이에 Site to Site VPN 터널을 세울 수 있습니다. 즉 사내망과 클라우드 자원을 하나의 암호화 터널로 잇는 구성입니다.
R82에서 이 기능은 다음 두 클라우드에서만 지원합니다.
- Amazon Web Services (AWS)
- Microsoft Azure
구성이 흘러가는 순서 (Configuration Flow)
이 VPN은 관리자가 손으로 VTI를 일일이 만드는 방식이 아니라, SmartConsole에서 설정하면 Management Server가 일회성 구성 지시를 자동으로 만들어 보내는 방식으로 움직입니다. 전체 흐름은 이렇습니다.
- 관리자가 SmartConsole에서 필요한 설정을 합니다 — 새 Site to Site VPN 터널을 구성하거나, 기존 터널을 삭제합니다.
- 관리자가 on-premises VPN Gateway / VPN Cluster에 보안 정책을 설치합니다(자동으로 진행).
- Management Server는 보안 정책에 더해, on-premises 게이트웨이/클러스터 멤버를 위한 일회성(one-time) 구성 지시(VTI, Dynamic Routing) 를 만듭니다.
- Management Server가 보안 정책과 이 일회성 구성 지시를 on-premises VPN Gateway / VPN Cluster 멤버에 보냅니다.
- on-premises VPN Gateway / VPN Cluster 멤버가 보안 정책을 설치합니다.
- on-premises VPN Gateway / VPN Cluster 멤버가 일회성 구성 지시(VTI, Dynamic Routing)를 실행합니다.
- Management Server는 자기 데이터베이스에서 이 일회성 구성 지시를 삭제 합니다.
사전 준비 (Prerequisites)
클라우드 VPN 터널을 만들기 전에 다음을 마쳐 둡니다.
- SmartConsole 세션을 Publish 합니다.
- 클라우드의 Virtual Gateway와 Site to Site VPN을 구성(또는 제거)하려는 on-premises VPN Gateway / VPN Cluster에 해당 보안 정책을 설치 합니다.
제약 사항 (Limitations)
- Multi-Domain Server의 Global Domain에서는 이 구성이 지원되지 않습니다.
- 새 터널을 구성하거나 기존 터널을 삭제할 때는, Management Server가 정책 설치를 끝낼 때까지 on-premises VPN Gateway / VPN Cluster의 VTI(VPN Tunnel Interface) 구성을 건드리지 마세요.
- 동적으로 IP를 할당받는(DAIP, Dynamically Assigned IP Address) on-premises Security Gateway는 이 구성을 지원하지 않습니다.
꼭 알아 둘 점 (Important Notes)
- 새 터널을 구성하거나 기존 터널을 삭제할 때는, 아래 절차가 명시적으로 언급하지 않은 다른 설정·객체는 함께 바꾸지 마세요. 다른 구성 변경이 꼭 필요하다면 아래 절차의 앞이나 뒤에서 따로 하세요.
- 새 터널 구성이 동작하지 않으면, 현재 구성을 삭제 → 보안 정책 설치 → 필요한 설정을 다시 구성 하세요.
- 기존 터널의 구성을 바꿔야 한다면(예: 클라우드에서 다른 Virtual Gateway를 선택) 마찬가지로 현재 구성을 삭제 → 보안 정책 설치 → 다시 구성 합니다.
- Management Server에서 Database Revision으로 되돌려야 한다면, 그 Revision에 담긴 Site to Site VPN 터널 구성이 on-premises VPN Gateway / VPN Cluster 멤버의 실제 터널 구성과 일치하는지 반드시 확인하세요. Database Revision에 대한 자세한 내용은 R82 Security Management Administration Guide의 "Preferences and Management Settings" 장, "Database Revisions" 절을 참고합니다.
Database Revision으로 되돌리는 두 가지 시나리오
되돌리기는 항상 Management Server에서만 일어납니다. on-premises VPN Gateway / VPN Cluster 멤버의 상태는 revert만으로 바뀌지 않으므로, 두 쪽을 손으로 맞춰 주어야 합니다. 상황에 맞는 시나리오를 따르세요.
Scenario 1 — Site to Site VPN 구성이 없던 초기 상태로 되돌리기
| 항목 | 상태 |
|---|---|
| 처음 한 일 | (1) 클라우드 VPN 구성이 없는 상태에서 Database Revision을 생성 → (2) SmartConsole에서 새 터널 설정을 구성 → (3) on-premises VPN Gateway / VPN Cluster에 정책 설치 → (4) Management Server에서 Database Revision으로 revert |
| Management Server | 클라우드 VPN 구성이 (마치 아무것도 안 한 것처럼) 아직 존재하지 않음 |
| VPN Gateway / Cluster 멤버 | revert는 Management Server에서만 일어나므로 클라우드 VPN 구성이 그대로 남아 있음 |
이때 다음 순서로 정리합니다.
- 터널 구성을 없애기 위해 다음 중 하나를 합니다.
- VPN 커뮤니티에서 on-premises VPN Gateway / VPN Cluster 객체를 제거 하거나,
- VPN 커뮤니티에서 Virtual Gateway 객체를 제거 합니다.
- on-premises VPN Gateway / VPN Cluster에 정책을 설치 합니다.
Scenario 2 — Site to Site VPN 구성이 있던 상태로 되돌리기
| 항목 | 상태 |
|---|---|
| 처음 한 일 | (1) 기존 터널 구성이 들어 있는 Database Revision을 생성 → (2) 기존 Site to Site VPN 터널 구성을 제거 → (3) on-premises VPN Gateway / VPN Cluster에 정책 설치 → (4) Management Server에서 Database Revision으로 revert |
| Management Server | 클라우드 VPN 구성이 다시 존재함 |
| VPN Gateway / Cluster 멤버 | 클라우드 VPN 구성이 더 이상 없음 |
이때 다음 순서로 정리합니다.
- 터널 구성을 복구하기 위해 다음 중 하나를 합니다.
- VPN 커뮤니티에 on-premises VPN Gateway / VPN Cluster 객체를 추가 하거나,
- VPN 커뮤니티에 Virtual Gateway 객체를 추가 합니다.
- VPN Gateway / VPN Cluster에 정책을 설치 합니다.
새 Site to Site VPN 터널 구성하기
Step 1 — Virtual Private Cloud 쪽 설정
먼저 클라우드 제공자(AWS·Azure)의 콘솔 에서 다음을 구성합니다.
- Data Center
- Virtual Gateways
- 해당하는 VPN 설정
Step 2 — on-premises Check Point Security Gateway 설정
- on-premises 게이트웨이를 관리하는 Check Point Management Server에 SmartConsole로 접속합니다.
- 왼쪽 탐색 창에서 Gateways & Servers를 클릭합니다.
- 아직 만들지 않았다면 Security Gateway 객체를 생성·구성합니다. (자세히는 R82 Security Management Administration Guide > "Managing Gateways" 장 > "Creating a New Security Gateway" 절.)
- 클라우드 제공자에 대한 Data Center 객체를 새로 만듭니다. 이미 있다면 열어서 클라우드 연결 테스트(test) 를 돌려 봅니다. (자세히는 R82 CloudGuard Controller Administration Guide > "Supported Data Centers" 장.)
- 해당하는 Virtual Gateways (VGW) 를 import 합니다.
- a. 오른쪽 위 모서리에서 Objects 창 > Data Centers를 클릭합니다.
- b. 해당 Data Center 객체를 우클릭합니다.
- c. Import를 클릭합니다.
- d. 해당 Virtual Gateway (VGW) 객체를 선택해 추가합니다.
- e. Data Center 창을 닫습니다.
- 다음 객체들을 해당 VPN 커뮤니티에 추가합니다(시작하기 참고).
- on-premises Check Point Security Gateway
- import한 Virtual Gateways (VGW)
- OK를 클릭합니다.
- 해당하는 Access Control 규칙을 구성합니다. (자세히는 R82 Security Management Administration Guide > "Creating an Access Control Policy" 장.)
- SmartConsole 세션을 Publish 합니다.
- Check Point Security Gateway에 Access Control Policy를 설치 합니다.
기존 클라우드 VPN 터널 제거하기
- SmartConsole에서 Virtual Gateway 또는 on-premises Check Point Security Gateway의 해당 구성을 삭제 합니다.
- SmartConsole 세션을 Publish 합니다.
- Check Point Security Gateway에 Access Control Policy를 설치 합니다.
클라우드 VPN 모니터링
R82부터는 클라우드와 on-premises 환경을 자동 동기화 하는 Check Point의 self-healing(자가 치유) 기능을 쓸 수 있습니다. 끊임없이 상태를 감시하다가 변경을 스스로 감지해 반영해 주므로, Site to Site VPN 터널이 늘 최적으로 동작하도록 돕습니다. 구체적으로는 다음과 같이 움직입니다.
- 클라우드 환경(AWS·Azure·Google Workspace 등)에서 암호화 설정이 바뀌면 on-premises 쪽 구성에 자동으로 동기화됩니다. 다만 실제로 적용되려면 on-premises 관리자가 해당 정책을 설치 해야 합니다. 이 필요성은 SmartConsole에 알림으로 표시되고, 시스템 로그에도 기록되어 감사에 활용됩니다.
- 클라우드에서 BGP(Border Gateway Protocol) 및 라우팅 구성을 바꾸면 on-premises 쪽에 자동으로 전파됩니다. 단, 이 역시 정책 설치가 있어야 실제 반영 되며, 관리자는 팝업 메시지로 즉시 안내받고 로그로 추적할 수 있습니다.
- 클라우드에서 Site to Site VPN 터널을 삭제하면 on-premises 쪽 터널도 자동으로 제거 됩니다(정책 설치 대기 조건). 관리자는 팝업으로 즉시 알림을 받고 로그가 남습니다. 반대로 클라우드에서 터널을 다시 세우면 on-premises 터널도 자동으로 복구되는데, 클라우드 VPN 피어와 on-premises Security Gateway가 같은 VPN 커뮤니티 안에 있어야 합니다.
외부 VPN 게이트웨이와 VPN
External VPN Gateway는 우리 Management Server가 관리하지 않는 게이트웨이 입니다. 두 가지로 나뉩니다 — 외부에서 관리되는 Check Point 게이트웨이(다른 조직의 관리 서버·ICA가 관리) 와 비-Check Point(서드파티) 게이트웨이 입니다. 신뢰를 어떻게 맺느냐에 따라 두 방식이 있습니다 — 인증서(Certificate) 또는 Pre-Shared Secret(사전 공유 비밀) 입니다.
인증서(Certificate)로 외부 VPN 게이트웨이와 구성하기
이 절은 피어가 인증서로 동작하는 일반적인 구성에 해당합니다. 그렇지 않다면 아래의 "Pre-Shared Secret으로 구성하기"를 보세요.
외부에서 관리되는 VPN 피어와 구성할 때는, 나와 피어 관리자가 두 피어 사이 통신에 쓸 동일한 인증 기관(CA) 을 함께 골라야 합니다. 두 피어가 각자 Check Point Internal CA (ICA) 를 쓰더라도, 서로 다른 Security Management Server가 관리한다면 그 ICA는 서로 다른 것이므로 그대로는 신뢰할 수 없습니다.
구성 절차
- 피어 VPN Security Gateway의 인증서를 발급한 CA의 인증서를 확보 합니다(피어 관리자에게 요청). 피어 게이트웨이가 Internal Certificate Authority를 쓴다면, CA 인증서 파일은 다음 포털에 웹 브라우저로 접속해 받습니다.
- R81.10 이상:
http://<피어 Security Gateway를 관리하는 Management Server의 IP>:18268
- R81 이하:
http://<피어 Security Gateway를 관리하는 Management Server의 IP>:18265
- SmartConsole에서, 피어의 인증서를 발급한 CA에 대한 Certificate Authority 객체를 구성합니다. (자세히는 PKI의 "Enrolling with a Certificate Authority" 참고.)
- ICA가 발급한 인증서를 이 VPN 터널에 쓸 수 없는 경우를 대비해, 내 쪽 인증서를 발급할 CA를 구성 합니다. 이때 CA 인증서를 내보내(export) 피어 관리자에게 전달해야 할 수도 있습니다.
- 내부에서 관리되는 Security Gateway의 네트워크 객체를 정의합니다.
- Security Gateway 객체의 General Properties 페이지에서 IPsec VPN을 선택합니다.
- Network Management 페이지에서 Topology를 정의합니다.
- VPN Domain 페이지에서 VPN Domain을 정의합니다. VPN Domain이 게이트웨이 뒤의 모든 IP를 포함하지 못하면, 머신 그룹/네트워크를 만들어 VPN Domain으로 지정하는 식으로 수동 정의합니다.
- ICA 인증서를 이 터널에 쓸 수 없다면, IPsec VPN 페이지에서 해당 CA로부터 인증서를 생성 합니다.
- 외부에서 관리되는 Security Gateway의 네트워크 객체를 정의합니다.
- Check Point 게이트웨이가 아니면 Interoperable Device로 정의합니다 — Object Explorer에서 New > Network Object > More > Interoperable Device.
- Check Point 게이트웨이이면 Externally Managed VPN Gateway로 정의합니다 — Object Explorer에서 New > Network Object > Gateways and Servers > More > Externally Managed VPN Gateway.
- 피어 Security Gateway의 속성을 설정합니다.
- 외부 관리 Check Point Security Gateway라면, 객체의 General Properties 페이지에서 IPsec VPN을 선택합니다.
- Topology를 정의합니다.
- 피어 관리자에게서 받은 정보로 VPN Domain을 정의합니다. 게이트웨이 뒤의 모든 IP를 포함하지 못하면 그룹/네트워크로 수동 정의합니다.
- Externally Managed Check Point Security Gateway라면, IPsec VPN 페이지에서 Matching Criteria를 정의합니다. 피어가 자신의 CA가 서명한 인증서를 제시하도록 지정하고, 가능하면 인증서에 나타나는 세부 항목까지 강제합니다.
- VPN 커뮤니티를 정의합니다. (Star가 아니라 Meshed 커뮤니티를 구성한다면 Center와 Satellite 게이트웨이의 구분은 무시합니다.)
- 피어 관리자와 여러 IKE 속성을 합의해, 커뮤니티 객체의 Encryption 페이지와 Advanced 페이지에 설정합니다.
- Center Security Gateways를 정의합니다 — 대개 내부 게이트웨이입니다. 이들에 다른 VPN 커뮤니티가 없다면 Center 게이트웨이끼리 mesh할지 결정 하고, 이미 커뮤니티에 속해 있다면 mesh하지 마세요.
- Satellite Security Gateways를 정의합니다 — 대개 외부 게이트웨이입니다.
- OK를 클릭합니다.
- SmartConsole 세션을 Publish 합니다.
- 해당하는 Access Control 규칙을 정의합니다.
- VPN 열에 VPN 커뮤니티를, Service & Applications 열에 서비스를, 그리고 Action과 적절한 Track 옵션을 추가합니다.
- VPN 커뮤니티에 참여하는 모든 Security Gateway 에 Access Control Policy를 설치합니다.
Pre-Shared Secret(사전 공유 비밀)로 외부 VPN 게이트웨이와 구성하기
이 방식에서는 피어 VPN Security Gateway의 관리자들끼리 모든 세부 사항을 직접 조율·합의 해야 합니다. IP 주소나 VPN Domain 토폴로지 같은 정보는 자동으로 감지되지 않으므로 수동으로 서로 알려 주어야 합니다. 외부 게이트웨이 VPN에는 다양한 시나리오가 있는데, 아래 절차는 피어가 사전 공유 비밀로 동작하는 일반적인 경우를 위한 것입니다(인증서를 쓴다면 위 절을 보세요).
다음은 외부 Security Gateway를 Star VPN 커뮤니티의 Satellite로 두고 사전 공유 비밀로 구성하는 절차입니다.
- 로컬에서 관리되는 Security Gateway의 네트워크 객체를 정의합니다.
- 객체의 General Properties 페이지 > Network Security 탭에서 IPsec VPN을 선택합니다.
- Network Management 페이지에서 Topology를 정의합니다.
- Network Management > VPN Domain 페이지에서 VPN Domain을 정의합니다. 모든 IP를 포함하지 못하면 그룹/네트워크로 수동 정의합니다.
- 외부에서 관리되는 Security Gateway의 네트워크 객체를 정의합니다.
- Check Point 게이트웨이가 아니면 Interoperable Device — Object Explorer에서 New > Network Object > More > Interoperable Device.
- Check Point 게이트웨이이면 Externally Managed VPN Gateway — Object Explorer에서 New > Network Object > Gateways and Servers > More > Externally Managed VPN Gateway.
- 피어 Security Gateway의 속성을 설정합니다.
- Topology 페이지에서, 피어 관리자에게서 받은 정보로 Topology와 VPN Domain을 정의합니다.
- 게이트웨이 뒤의 모든 IP를 포함하지 못하면 그룹/네트워크로 VPN Domain을 수동 정의합니다.
- VPN 커뮤니티를 정의합니다. (Star가 아니라 Mesh 커뮤니티라면 Center와 Satellite의 구분은 무시합니다.)
- 피어 관리자와 IKE 속성을 합의해, 커뮤니티 객체의 Encryption 페이지와 Advanced 페이지에 설정합니다.
- Center Security Gateways를 정의합니다 — 보통 로컬 관리 게이트웨이입니다. 다른 커뮤니티가 없다면 mesh할지 결정, 이미 속해 있다면 mesh하지 마세요.
- Satellite Security Gateways를 정의합니다 — 보통 외부 게이트웨이입니다.
- SmartConsole에서 변경을 Publish 합니다.
- 외부 VPN 커뮤니티 멤버의 관리자와 사전 공유 비밀(pre-shared secret) 을 합의합니다. 그런 다음 VPN 커뮤니티의 Shared Secret 페이지에서 Use only Shared Secret for all external members 를 선택하고, 각 외부 멤버마다 사전 공유 비밀을 입력 합니다.
- Access Control Policy에 해당하는 Access Control 규칙을 정의합니다. VPN 열에 VPN 커뮤니티를, Services & Applications 열에 서비스를, 그리고 원하는 Action과 적절한 Track 옵션을 추가합니다.
- 이 VPN 커뮤니티에 참여하는 모든 Security Gateway 에 Access Control Policy를 설치합니다.
정리하면, 클라우드 가상 게이트웨이는 SmartConsole 설정만으로 사내망↔클라우드를 자동 연결 하고, 외부 게이트웨이는 인증서(더 안전) 또는 사전 공유 비밀 로 신뢰를 맺습니다. 외부 게이트웨이 연동에서 흔한 연결 문제는 제어 연결·연결 문제 해결에서 다룹니다.