10. VPN S2S 연결과 P2S 연결의 차이점
P2S
개요
- 개별 클라이언트 컴퓨터에서 가상 네트워크에 대한 안전한 연결을 만들 수 있다.
- 클라이언트 컴퓨터에서 시작하여 설정된다.
- 집 또는 회의실과 같은 원격 위치에서 Azure VNet에 연결하려는 재택 근무자에게 유용하다.
- VNet에 연결해야 하는 클라이언트가 몇 개만 있는 경우 S2S VPN 대신 사용할 수 있다.
- 경로 기반 VPN 형식이다.
프로토콜
1. OpenVPN
- SSL/TLS 기반 VPN 프로토콜이다.
- 대부분의 방화벽에서 TLS가 사용되는 TCP 포트 443 아웃바운드를 열기 때문에 TLS VPN 솔루션이 방화벽을 통과 가능하다.
- Android, iOS(버전 11.0 이상), Windows, Linux, Mac 디바이스에서 연결하는 데 사용 가능하다.
2. SSTP
- 독점적인 TLS 기반 VPN 프로토콜이다.
- 대부분의 방화벽에서 TLS가 사용되는 TCP 포트 443 아웃바운드를 열기 때문에 TLS VPN 솔루션이 방화벽을 통과 가능하다.
- Windows 디바이스에서만 지원된다.
3. IKEv2
- 표준 기반 IPsec VPN 솔루션이다.
- Mac 디바이스에서 연결하는 데 사용 가능하다.
인증 - (Azure 인증서, Entra ID, AD 서버)
1. Azure 인증서
- 신뢰할 수 있는 루트 인증서 공개 키를 Azure 게이트웨이에 업로드한다.
- 엔터프라이즈 솔루션을 사용하여 생성된 루트 인증서를 사용하거나 자체 서명된 인증서를 생성한다.
- 각 클라이언트(ex- PC, 스마트폰 등)가 서버에 안전하게 연결되기 위해서는 신뢰할 수 있는 루트 인증서에서 생성된 클라이언트 인증서를 설치해야 한다.
- 루트 인증서: 신뢰할 수 있는 기관에서 발급한 인증서로, 다른 인증서의 신뢰성을 보장한다.
- 클라이언트 인증서: 클라이언트가 서버에 안전하게 연결할 수 있도록 하는 인증서다.
- 클라이언트가 서버에 연결할 때 서버는 클라이언트의 인증서를 확인하여 신뢰 여부를 판단하는데, 이 때 루트 인증서가 중요한 역할을 한다.
- 루트 인증서를 기반으로 클라이언트 인증서를 발급한다.
- 인증은 VPN 게이트웨이에서 수행되며 P2S VPN 연결을 설정하는 동안 발생한다.
2. Entra ID
- OpenVPN 프로토콜에 대해서만 지원한다.
- 인증하고 연결하려면 클라이언트가 Azure VPN Client를 사용해야 한다.
- VPN에 Microsoft Entra 조건부 액세스 및 MFA 기능을 사용할 수 있다.
3. AD 도메인 서버
- 사용자가 자신의 조직 도메인 자격 증명을 사용하여 Azure에 연결 가능하다.
- AD 서버와 통합되는 RADIUS 서버가 필요하다.
- 조직에서 기존 RADIUS 배포를 사용할 수도 있다.
- RADIUS 서버를 온-프레미스 또는 Azure VNet에 배포할 수 있다.
- 인증하는 동안 Azure VPN Gateway에서 통과 역할을 수행하여, RADIUS 서버와 연결된 디바이스 간에 인증 메시지를 전달한다.
- 그렇기에, RADIUS 서버에 대한 게이트웨이 연결 가능성이 중요하다.
- RADIUS 서버가 온-프레미스에 있는 경우, 연결 가능성을 위해 Azure에서 온-프레미스 사이트로의 S2S VPN 연결이 필요하다.
3-1. RADIUS 서버란?
- Remote Authentication DIal-In User Service.
- 네트워크 접근을 위한 인증, 인가, 계정 관리 기능을 제공한다.
- 주요 기능: 인증, 인가, 계정 관리
- 중앙 집중화된 인증 시스템을 제공하여 네트워크 보안 강화 및 관리 효율성 증진한다.
- RADIUS 클라이언트와 인증 대상 간에 Azure MFA 서버를 삽입하여 2단계 인증을 추가할 수 있다.
- RADIUS 서버는 AD 인증서 서비스와 통합할 수 있다.
- Azure 인증서 인증 대신 P2S 인증서 인증용 RADIUS 서버 및 엔터프라이즈 인증서 배포를 사용할 수 있다.
- 장점: 루트 인증서와 해지된 인증서를 Azure에 업로드할 필요가 없다.
P2S vpn 과 S2S vpn 의 차이점 비교
S2S (Site-to-Site) VPN
- 목적: 온-프레미스 네트워크와 Azure 가상 네트워크를 연결한다. (네트워크 간 연결)
- 구성 요소: VNet, 게이트웨이 서브넷, VPN 게이트웨이, 로컬 네트워크 게이트웨이
- 보안: IPsec/IKE 프로토콜
- 연결 대상: 네트워크 간의 연결
- 대역폭: 온프레미스 네트워크와 Azure간의 연결이므로, 더 높은 대역폭을 제공하여 대규모 데이터 전송에 유리하다.
- 연결 수: 하나의 연결로 두 네트워크를 연결한다.
- 온프레미스 서버를 가지고 있는 기업의 네트워크와 Azure의 네트워크를 연결하여 온프레미스 서버를 가진 기업이 Azure의 리소스를 이용하고자 하는것이 주된 목적이다.
P2S (Point-to-Site) VPN
- 목적: 개별 클라이언트 컴퓨터(온프레미스)와 Azure 가상 네트워크를 연결한다.
- 구성 요소: VNet ,게이트웨이 서브넷, VPN 게이트웨이, 클라이언트 PC, 인증 방법이다.
- 보안: SSTP, IKEv2, OpenVPN 프로토콜. 단, 개별 클라이언트의 설정에 따라 보안 수준이 달라질 수 있다.
- 연결 대상: 개별 클라이언트와 네트워크 간의 연결이다.
- 대역폭: 개별 사용자의 인터넷 연결 속도에 따라 성능이 달라질 수 있으며, 대역폭이 상대적으로 낮다.
- 연결 수: 여러 개의 개별 클라이언트가 각각 연결할 수 있으며, 동시 연결 수에 따라 성능이 영향 받을 수 있다.
S2S, P2S 외에 온프레미스-Azure네트워크 간의 접근 방법은?
- ExpressRoute: 타사 연결 공급자를 통해 프라이빗 전용 연결을 사용하여 온프레미스 네트워크를 Azure로 확장한다.
- 확장: 마치 하나의 통합된 네트워크처럼 작동하게 된다. 연결 뿐 아니라 확장하여 더 큰 네트워크 환경을 구성한다.
- Azure VWAN: 여러 지점 간의 네트워크 연결을 중앙에서 관리할 수 있는 서비스다.
- Direct Routing: 온프레미스 네트워크 장비를 통해 Azure로 직접 트래픽을 라우팅한다.