엔터프라이즈 네트워크에서 SASE Orchestrator는 엔터프라이즈 SD-WAN Edge에서 시작된 SASE Orchestrator 바인딩 이벤트 및 방화벽 로그를 네이티브 Syslog 형식으로 중앙 집중식 원격 Syslog 수집기(서버)에 수집하도록 지원합니다. Syslog 수집기가 구성된 엔터프라이즈의 구성된 Edge에서 SASE Orchestrator 바인딩 이벤트 및 방화벽 로그를 수신하려면 이 절차의 단계를 수행하여 SASE Orchestrator를 통해 프로필 수준에서 세그먼트당 Syslog 수집기 세부 정보를 구성합니다.

사전 요구 사항

  • SD-WAN Edge와 Syslog 수집기 간의 경로를 설정하기 위해 클라우드 Virtual Private Network(분기 간 VPN 설정)가 SASE Orchestrator 바인딩 이벤트가 시작되는 SD-WAN Edge에 대해 구성되어 있는지 확인합니다. 자세한 내용은 프로필에 대한 클라우드 VPN 구성를 참조하십시오.

프로시저

  1. 엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > 프로필(Profiles)을 클릭합니다. 프로필(Profiles) 페이지에 기존 프로필이 표시됩니다.
  2. 프로필을 구성하려면 프로필에 대한 링크를 클릭하거나 디바이스(Device) 열에서 보기(View) 링크를 클릭합니다. 구성 옵션은 디바이스(Device) 탭에 표시됩니다.
  3. 세그먼트 구성(Configure Segment) 드롭다운 메뉴에서 Syslog 설정을 구성할 프로필 세그먼트를 선택합니다. 기본적으로 글로벌 세그먼트[일반](Global Segment [Regular])이 선택되어 있습니다.
  4. 원격 분석(Telemetry)에서 Syslog 영역으로 이동하고 다음 세부 정보를 구성합니다.
    1. 기능(Facility) 드롭다운 메뉴에서 Syslog 서버가 기능(facility) 필드를 사용하여 SD-WAN Edge의 모든 이벤트에 대한 메시지를 관리하는 방식에 해당하는 Syslog 표준 값을 선택합니다. 허용되는 값은 local0~local7입니다.
      참고: 기능(Facility) 필드는 프로필에 대한 Syslog 설정에 관계없이 글로벌 세그먼트(Global Segment)에 대해서만 구성할 수 있습니다. 다른 세그먼트는 글로벌 세그먼트의 기능 코드 값을 상속합니다.
    2. Syslog 입력(Enable Syslog) 확인란을 선택합니다.
    3. +추가(+Add) 버튼을 클릭하고 다음 세부 정보를 구성합니다.
      필드 설명
      IP Syslog 수집기의 대상 IP 주소를 입력합니다.
      프로토콜 드롭다운 메뉴에서 Syslog 프로토콜로 TCP 또는 UDP를 선택합니다.
      포트 Syslog 수집기의 포트 번호를 입력합니다. 기본값은 514입니다.
      소스 인터페이스(Source Interface) Edge 인터페이스를 프로필 수준에서 사용할 수 없으므로 소스 인터페이스(Source Interface) 필드가 자동(Auto)으로 설정됩니다. Edge에서는 ‘애드버타이즈(Advertise)’ 필드가 소스 인터페이스로 설정된 인터페이스를 자동으로 선택합니다.
      역할 다음 중 하나를 선택합니다.
      • EDGE 이벤트(EDGE EVENT)
      • 방화벽 이벤트(FIREWALL EVENT)
      • EDGE 및 방화벽 이벤트(EDGE AND FIREWALL EVENT)
      Syslog 수준 구성해야 하는 Syslog 심각도 수준을 선택합니다. 예를 들어 위험(CRITICAL)이 구성된 경우 SD-WAN Edge는 위험, 경고 또는 긴급으로 설정된 모든 이벤트를 전송합니다.
      참고: 기본적으로 방화벽 이벤트 로그는 Syslog 심각도 수준 정보(INFO)와 함께 전달됩니다.

      허용되는 Syslog 심각도 수준은 다음과 같습니다.

      • 긴급(EMERGENCY)
      • 경고(ALERT)
      • 위험(CRITICAL)
      • 오류(ERROR)
      • 주의(WARNING)
      • 알림(NOTICE)
      • 정보(INFO)
      • 디버그(DEBUG)
      태그 필요한 경우 Syslog에 대한 태그를 입력합니다. Syslog 태그는 Syslog 수집기에서 다양한 유형의 이벤트를 구분하는 데 사용할 수 있습니다. 허용되는 최대 문자 길이는 32이며 마침표로 구분됩니다.
      모든 세그먼트 방화벽 이벤트(FIREWALL EVENT) 또는 EDGE 및 방화벽 이벤트(EDGE AND FIREWALL EVENT) 역할을 사용하여 Syslog 수집기를 구성할 경우 Syslog 수집기가 모든 세그먼트에서 방화벽 로그를 수신하도록 하려면 모든 세그먼트(All Segments) 확인란을 선택합니다. 이 확인란이 선택되지 않으면 Syslog 수집기는 수집기가 구성된 특정 세그먼트에서만 방화벽 로그를 수신합니다.
      참고: 역할이 EDGE 이벤트(EDGE EVENT)이면 모든 세그먼트에 구성된 Syslog 수집기가 기본적으로 Edge 이벤트 로그를 수신합니다.
  5. + 추가(+ ADD) 버튼을 클릭하여 다른 Syslog 수집기를 추가하거나 변경 내용 저장(Save Changes)을 클릭합니다. 원격 syslog 수집기는 SASE Orchestrator에 구성되어 있습니다.
    참고: 세그먼트당 최대 2개의 Syslog 수집기 및 Edge당 10개의 Syslog 수집기를 구성할 수 있습니다. 구성된 수집기 수가 허용되는 최대 제한값에 도달하면 + 버튼이 비활성화됩니다.
    참고: 선택한 역할에 따라 Edge는 지정된 심각도 수준의 해당 로그를 원격 syslog 수집기로 내보냅니다. SASE Orchestrator 자동 생성 로컬 이벤트를 Syslog 수집기에 수신하려면 log.syslog.backendlog.syslog.upload 시스템 속성을 사용하여 SASE Orchestrator 수준에서 Syslog를 구성해야 합니다.
    방화벽 로그의 Syslog 메시지 형식을 이해하려면 방화벽 로그의 Syslog 메시지 형식을 참조하십시오.

다음에 수행할 작업

SASE Orchestrator에서는 프로필 및 Edge 수준에서 Syslog 전달 기능을 활성화할 수 있습니다. 프로필 구성의 방화벽(Firewall) 페이지에서 엔터프라이즈 구성된 Syslog 수집기로 SD-WAN Edge에서 시작된 방화벽 로그를 전달하려면 Syslog 전달(Syslog Forwarding) 버튼을 활성화합니다.
참고: 기본적으로 Syslog 전달(Syslog Forwarding) 버튼은 프로필 또는 Edge 구성의 방화벽(Firewall) 페이지에서 사용할 수 있으며, 비활성화되어 있습니다.

프로필 수준의 방화벽 설정에 대한 자세한 내용은 프로필 방화벽 구성을 참조하십시오.

보안 Syslog 전달 지원(Secure Syslog Forwarding Support)

5.0 릴리스는 보안 syslog 전달 기능을 지원합니다. Syslog 전달의 보안 보장은 연방 인증을 위해 필요하며 대기업의 Edge 강화 요구 사항을 충족하는 데도 필요합니다. 보안 syslog 전달 프로세스는 TLS 지원 syslog 서버를 유지하는 것으로 시작합니다. 현재 SASE Orchestrator는 TLS를 지원하는 syslog 서버로 로그를 전달할 수 있도록 합니다. 5.0 릴리스에서는 SASE Orchestrator에서 syslog 전달을 제어하고 기본 보안 검사(계층형 PKI 확인, CRL 유효성 검사 등)를 수행할 수 있습니다. 또한 지원되는 암호 그룹을 정의하고 자체 서명된 인증서를 허용하지 않음으로써 전달 보안을 사용자 지정할 수도 있습니다.

보안 syslog 전달의 또 다른 측면은 해지 정보가 수집되거나 통합되는 방법입니다. 이제 SASE Orchestrator는 수동으로 또는 외부 프로세스를 통해 가져올 수 있는 운영자의 해지 정보 입력을 허용하도록 설정할 수 있습니다. SASE Orchestrator는 해당 CRL 정보를 선택하고 이를 사용하여 모든 연결이 설정되기 전에 전달 보안을 확인합니다. 또한 SASE Orchestrator는 해당 CRL 정보를 정기적으로 가져오고 연결을 검증할 때 사용합니다.

시스템 속성

보안 syslog 전달은 SASE Orchestrator syslog 전달 매개 변수를 구성하여 syslog 서버와 연결을 허용하는 것부터 시작합니다. 이를 위해 SASE Orchestrator는 시스템 속성에 구성된 다음 구성 매개 변수를 사용하기 위해 JSON 형식 문자열을 수락합니다.

아래 목록 및 아래 이미지에 표시된 것처럼 다음 시스템 속성을 구성할 수 있습니다.
  • log.syslog.backend: 백엔드 서비스 syslog 통합 구성
  • log.syslog.portal: 포털 서비스 syslog 통합 구성
  • log.syslog.upload: 서비스 syslog 통합 구성 업로드

시스템 속성을 구성할 때 다음 Secure Syslog 구성 JSON 문자열을 사용할 수 있습니다.

  • config <Object>
    • enable: <true> <false> Syslog 전달을 활성화하거나 비활성화합니다. 보안 전달을 활성화한 경우에도 이 매개 변수는 전체 syslog 전달을 제어합니다.
    • options <Object>
      • host: <string> syslog를 실행하는 호스트로, 기본값은 localhost입니다.
      • port: <number> syslog가 실행 중인 호스트의 포트로, 기본값은 syslogd의 기본 포트입니다.
      • protocol: <string> tcp4, udp4, tls4. 참고: tls4는 기본 설정을 사용하여 보안 syslog 전달을 허용합니다. 구성하려면 다음 보안 Options 개체를 참조하십시오.
      • pid: <number> 로그 메시지가 들어오는 프로세스의 PID입니다(기본 process.pid).
      • localhost: <string> 로그 메시지가 들어오고 있음을 지정할 호스트입니다(기본값: localhost).
      • app_name: <string> 애플리케이션의 이름(node-portal, node-backend 등)(기본값: process.title)입니다.
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean> 검증하는 동안 선택적으로 SAN 검사를 건너뛰고, 서버의 인증에 자체 서명된 인증서에 대한 SAN이 없는 경우 사용할 수 있습니다. 기본값: false.
      • fetchCRLEnabled: <boolean> false가 아니면 SASE Orchestrator는 제공된 CA에 내장된 CRL 정보를 가져옵니다. 기본값: true.
      • rejectUnauthorized: <boolean> false가 아니면 SASE Orchestrator는 제공된 CA 목록을 기준으로 하는 계층형 PKI 유효성 검사를 적용합니다. 기본값: true. (주로 테스트 용도로 필요합니다. 운영 환경에서는 사용하지 마십시오.)
      • caCertificate: <string> SASE Orchestrator는 PEM 형식의 인증서가 포함된 문자열을 수락하여 신뢰할 수 있는 CA 인증서를 선택적으로 재정의할 수 있습니다(openssl 기반 연결 양식으로 여러 CRL을 포함할 수 있음). 기본값은 Mozilla에서 큐레이팅한 잘 알려진 CA를 신뢰하는 것입니다. 이 옵션은 엔티티가 관리하는 로컬 CA를 수락하도록 하는 데 사용할 수 있습니다. 자체 CA 및 PKI가 있는 온-프레미스 고객의 경우를 예로 들 수 있습니다.
      • crlPem:<string> SASE Orchestrator는 PEM 형식의 CRL이 포함된 문자열을 수락할 수 있습니다(openssl 기반 연결 양식으로 여러 CRL을 포함할 수 있음). 이 옵션은 로컬로 유지된 CRL을 수락하도록 하는 데 사용할 수 있습니다. fetchCRLEnabled가 true로 설정되면 SASE Orchestrator는 이 정보를 가져온 CRL과 결합합니다. 이 작업은 인증서에 CRL 배포 지점 정보가 없는 특정 시나리오에 주로 필요합니다.
      • crlDistributionPoints: <Array> SASE Orchestrator는 선택적으로 "http" 프로토콜에서 어레이 CRL 분포 지점 URI를 수락할 수 있습니다. SASE Orchestrator는 "https" URI를 수락하지 않습니다.
      • crlPollIntervalMinutes:: <number> fetchCRLEnabled가 false로 설정되지 않은 경우 SASE Orchestrator는 12시간마다 CRL을 폴링합니다. 따라서 이 매개 변수는 필요에 따라 이 기본 동작을 재정의하고 제공된 값에 따라 CRL을 업데이트할 수 있습니다.

보안 Syslog 전달 구성 예제

SASE Orchestrator에는 보안 Syslog 전달을 허용하기 위해 설명된 매개 변수를 배열하는 다음과 같은 시스템 속성 옵션이 있습니다.
참고: 아래 예는 신뢰 체인 구조에 수정해야 합니다.

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----MIID6TCCAtGgAwIBAgIUaauyk0AJ1ZK/U10OXl0GPGXxahQwDQYJKoZIhvcNAQELBQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDAgFw0yMTA5MjgxOTMzMjVaGA8yMDczMTAwNTE5MzMyNVowYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMwG+Xyp5wnoTDxpRRUmE63DUnaJcAIMVABm0xKoBEbOKoW0rnl3nFu3l0u6FZzfq+HBJwnOtrBO0lf/sges2/QeUduCeBC/bqs5VzIRQdNaFXVtundWU+7Tn0ZDKXv4aRC0vsvjejU0H7DCXLg4yGF4KbM6f0gVBgj4iFyIjcy4+aMsvYufDV518RRB3MIHuLdyQXIe253fVSBHA5NCn9NGEF1e6Nxt3hbzy3Xe4TwGDQfpXx7sRt9tNbnxemJ8A2ou8XzxHPc44G4O0eN/DGIwkP1GZpKcihFFMMxMlzAvotNqE25gxN/O04/JP7jfQDhqKrLKwmnAmgH9SqvV0F8CAwEAAaOBmDCBlTAdBgNVHQ4EFgQUSpavxf80w/I3bdLzubsFZnwzpcMwHwYDVR0jBBgwFoAUSpavxf80w/I3bdLzubsFZnwzpcMwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwMgYDVR0fBCswKTAnoCWgI4YhaHR0cDovL2xvY2FsaG9zdDo1NDgzL2NybFJvb3QucGVtMA0GCSqGSIb3DQEBCwUAA4IBAQBrYkmg+4x2FrC4W8eU0S62DVrsCtA26wKTVDtor8QAvi2sPGKNlv1nu3F2AOTBXIY+9QV/Zvg9oKunRy917BEVx8sBuwrHW9IvbThVk+NtT/5fxFQwCjO9l7/DiEkCRTsrY4WEy8AW1CcaBwEscFXXgliwWLYMpkFxsNBTrUIUfpIR0Wiogdtc+ccYWDSSPomWZHUmgumWIikLue9/sOvV9eWy56fZnQNBrOf5wUs0suJyLhi0hhFOAMdEJuL4WnYthX5d+ifNon8ylXGO6cOzXoA0DlvSmAS+NOEekFo6R1Arrws0/nk6otGH/Be5+/WXFmp0nzT5cwnspbpA1seO-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

syslog 전달을 구성하려면 다음 JSON 개체를 예로 참조하십시오(아래 이미지).

구성이 성공하면 SASE Orchestrator가 다음 로그를 생성하고 전달을 시작합니다.

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

FIPS 모드에서 Syslog 전달 보호

보안 syslog 전달을 위해 FIPS 모드를 활성화하면 syslog 서버가 “TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256” 암호 그룹을 제공하지 않으면 연결이 거부됩니다. 또한 FIPS 모드와 독립적으로 syslog 서버 인증서에 "ServerAuth" 특성을 설정하는 확장된 키 사용 필드가 없으면 연결이 거부됩니다.

상수 CRL 정보 가져오기

fetchCRLEnabled가 false로 설정되지 않으면 SASE Orchestrator는 백엔드 작업 메커니즘을 통해 12시간마다 CRL 정보를 정기적으로 업데이트합니다. 가져온 CRL 정보는 해당하는 시스템 속성 log.syslog.lastFetchedCRL에 저장됩니다.{serverName}. 이 CRL 정보는 syslog 서버에 대한 모든 연결 시도에서 확인할 수 있습니다. 가져오는 동안 오류가 발생하면 SASE Orchestrator가 운영자 이벤트를 생성합니다.

fetchCRLEnabled가 true로 설정된 경우 아래 이미지에 표시된 것처럼 CRL의 상태를 따라야 하는 세 가지 추가 시스템 속성 log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload가 있습니다. 이 정보에는 CRL 및 CRL 정보의 마지막 업데이트 시간이 표시됩니다.

로깅(Logging)

"fetchCRLEnabled" 옵션이 true로 설정되면 SASE Orchestrator는 CRL을 가져오려고 시도합니다. 오류가 발생하면 SASE Orchestrator는 이벤트를 발생시키고 [운영자 이벤트(Operator Events)] 페이지에 표시됩니다.