네트워크 (LAN,WAN)206 728x90 암호화 시대의 선택적 VPN 우회와 가시성 중심 보안 설계 fwmark 기반 fwmark + policy routing(newgate 테이블 → tun0) 방식을 “선택적 VPN 우회 + DNS 누수 방지 + 패킷/흐름(Flow) 기반 탐지·모니터링”까지 완전하게 운영 가능한 형태로 정리한 내용입니다.목표 아키텍처 요약우회(steering)특정 트래픽(DNS, 특정 목적지/포트/프로세스 등)만 fwmark=0x1 부여ip rule로 fwmark=0x1 → table newgate → default dev tun0나머지 트래픽은 기존 default(enp0s3) 유지탐지·모니터링(visibility)(가장 권장) tun0에서 “inner packet(복호화된 실제 트래픽)”를 센서가 직접 캡처/분석(보강) enp0s3에서 VPN “outer tunnel”도 관찰(가용성/장애/우회 .. 2026. 1. 20. 대량 보안 Syslog 수집 환경에서의 스트리밍 기반 중복 제거 아키텍처 설계 파일 I/O 중심 Syslog 구조를 벗어나기: Kafka 스트리밍 기반 Dedup 설계 보안 로그 대량 유입 대응을 위한 스트리밍 Dedup 파이프라인 Raw 로그 보존과 운영 효율을 동시에 만족하는 보안 로그 Dedup 구조 대량 방화벽 트래픽 로그를 위한 실전 Kafka Dedup 아키텍처 보안 로그는 지우지 않고 요약한다: Raw 보존 기반 Dedup 전략 배경과 상황 정리현재 운영 방식(문제의 출발점)여러 개의 rsyslog 서비스를 각각 띄워서,특정 송신지(IP) 또는 장비별로서로 다른 디렉터리에 파일을 저장하는 구조로 운영 중이었습니다.보안 솔루션(방화벽/EDR/DLP/AV 등)별로 로그가 분산 저장되어 관리가 복잡해지고,특히 방화벽(FortiGate류)의 트래픽 로그처럼 대량 로그(E.. 2026. 1. 16. API·AI·Kafka 경계에서 끝내는 보안 표준화 게이트웨이 보안 통제 플랫폼 Kong 3종 게이트웨이 완전 정복 API·AI·Kafka를 한 번에 통제 Kong Gateway(HTTP API) / Kong AI Gateway(LLM·에이전트) / Kong Event Gateway(Kafka 프록시)Kong 게이트웨이 3종 세트: API부터 에이전트·이벤트까지 ‘경계 통제’ 아키텍처AI 시대의 게이트웨이 보안: Kong으로 API·프롬프트·이벤트를 통제하는 방법프롬프트 유출·토큰 폭주·Kafka 난립, Kong으로 한 번에 잡는 거버넌스왜 “게이트웨이 3종 세트”가 필요한가?요즘 서비스는 트래픽이 3종류로 갈라져요.HTTP API: 웹/앱/외부 파트너가 호출하는 일반 API 트래픽LLM·에이전트: 프롬프트/응답, 툴 호출, MCP 같은 “AI 트래픽”Kafka 이벤트: 주문·결제·.. 2026. 1. 2. FortiGate 기반 접근 차단 및 프로토콜별 차단 사유 안내 설계 표준안 FortiGate에서 “서버까지 절대 연결되지 않도록(=FortiGate에서 세션 종단)” 차단하면서, 가능한 범위 내에서 사용자에게 차단 사유를 안내하고, SSH처럼 안내가 원천적으로 어려운 트래픽은 운영/UX로 보완하는 “완전한(종합적·체계적) 방안”입니다.HTTP/HTTPS: FortiGate가 Proxy(또는 Decrypt) 기반으로 서버로 보내기 전에 차단하고, Block Page(Replacement Message)로 사유 안내까지 가능SSH(및 일반 TCP): 서버 미연결 차단은 100% 가능, 다만 “차단 사유를 실시간으로 사용자에게 보여주는 것”은 구조적으로 불가 → 사전 고지(배너/가이드) + 차단코드 기반 Helpdesk/SIEM 조회 체계로 완성요구사항 설계 목표목표 1: 서버까지 .. 2025. 12. 30. 쿠버네티스 네트워크 대전환 재설계: Ingress의 끝, Gateway API의 시작 2026 “쿠버네티스 표준 아키텍처”핵심은 단순히 “툴을 바꾼다”가 아니라, 클러스터 네트워킹의 ‘구성 방식(모델)’이 바뀌는 것입니다.변화의 촉발점: Ingress NGINX 은퇴(EOL)쿠버네티스 SIG Network/SRC는 Ingress NGINX 프로젝트가 2026년 3월에 유지보수 중단/은퇴하며, 이후에는 릴리스/버그픽스/보안패치가 더 이상 제공되지 않는다고 공지했습니다. 즉, “지금은 동작해도” 2026-03 이후는 보안 취약점이 떠도 고칠 수 없는 상태가 됩니다.➡️ 그래서 2026의 네트워크 표준 이야기는 사실상“Ingress 단일 API 중심에서 → Gateway API 중심으로”의 전환 이야기입니다.Ingress 시대의 구조(구 방식)와 한계Ingress 모델(구 방식) 요약Ingre.. 2025. 12. 26. 이전 1 2 3 4 ··· 42 다음 728x90 728x90
