클라우드 시큐어 엣지(Cloud Secure Edge)에 대한 경험이 어떻습니까?

VPN
1

제목처럼 빠르고 안정적인가요? 그리고 7.1.2.x 펌웨어를 실행하는데 문제가 있나요?

2

60개의 안드로이드 클라이언트에 배포했습니다. SSL보다 훨씬 빠르고 배포도 매우 간단합니다. 추천합니다. 참고로 7.1.2로의 업그레이드는 어려웠습니다. 한 플래티넘 파트너가 설명하길, 업그레이드 시 방화벽 앞에 서서 수동으로 내보낸 구성을 재수입해야 하며, 업그레이드가 여러 주소 객체를 손상시킬 수 있다고 합니다. 일단 7.1.2에 올라가면 문제 없어요. 상황에 따라 달라질 수 있습니다. 상세 정보 필요하시면 메시지 주세요.

3

잠시 테스트했었어요 (작년 말에 우리 모회사에서 장비가 수명을 다한다고 해서 SonicWall을 벗어나기로 결정했기 때문에) 그리고 솔직히 CSE의 기능이 꽤 멋지다고 생각합니다. 성능에 대한 스트레스 테스트를 제대로 하기 전에 그만뒀지만, 전반적으로 꽤 좋은 것 같습니다. 다만, 테스트를 충분히 하지 못한 이유는 7.1.2 펌웨어가 장애가 많았기 때문입니다. 초기에 많은 설정이 재구성되었습니다. 목록으로 정리하면:

  • SSL VPN은 재설정되었고 다시 설정해야 했으며, 다른 사람들의 사이트 간 VPN 구성도 삭제된 것 같았어요. 다행히 SSL VPN 관련 방화벽 규칙은 유지되어 있어서 큰 문제는 아니었습니다.

  • 방화벽 규칙에 구성된 주소 객체들이 랜덤으로 다른 주소 객체로 교체되어 있어서 문제였어요. 문서 작업을 잘 해두었기 때문에 해결이 쉬웠습니다만, 그렇지 않으면 훨씬 큰 문제였겠죠.

  • 고가용성 설정이 있는데, 하루 종일 무작위로 장애 전환이 발생했고, 어떤 경우엔 수동으로 다시 시작하지 않고는 실패를 복구할 수 없었습니다.

  • 관리 포털은 성능 문제가 있었어요. 펌웨어 업그레이드 후 코어 프로세스가 더 많이 돌아서 관련 성능 이슈가 있었습니다.

  • 인증 네트워크가 임의로 기본 게이트웨이와 통신하지 않는 이상한 문제가 있었어요. 특히 VPN 사용자 인증에 사용하는 LDAP 서버와의 통신 문제가 문제였고, 해결책으로 트래픽을 라우팅하는 규칙을 추가했습니다.

  • 장애 전환 중 SSL VPN 구성이 삭제되었습니다.

  • 그리고, 너무 답답해서 이전 버전으로 롤백하려 했으나 여러 번 시도 후 실패했고, 결국 새 버전으로 고수하게 되었어요.

지원팀에 여러 차례 연락했지만 도움을 받지 못했고, 문제 해결이 어려운 경우도 많았습니다. 이후 핫픽스 버전이 나오면서 대부분 해결되었고, 지금은 별 문제없이 운영하고 있습니다. 7.1.2 펌웨어는 최소 유지보수 릴리즈를 기다렸다가 설치하는 게 좋습니다. 이 포스트를 저장해두시면 문제 해결에 도움이 될 수 있습니다.

4

약 50대 기기를 7.1.2로 업그레이드했고 전혀 문제 없었습니다. 모두 원격으로 API를 통해 업그레이드했어요 :slight_smile: 그런데 아직 클라우드 시큐어 엣지는 사용해보지 않았습니다.

5

CSE는 저렴하지만 많은 개선이 필요합니다. Entra 인증과의 통합 문제, 공용 주소(非 RFC-1918 주소)를 라우팅할 수 없음, 장치 상태 검사 문제 등 문제가 있네요. 현재는 Perimeter 81을 계속 사용하고 있습니다.

6

DPI-SSL을 사용하는 경우, 관리용 핫픽스를 반드시 요청하세요. 7.1.2에서 DPI-SSL 설정을 관리하려 하면 예고도 없이 방화벽이 재부팅될 수 있습니다.

7

CSE는 설정이 복잡하고 정책, 장치 등록이 까다롭습니다. 일부 고객은 원하지만, 설정 시간과 외부 인증 요구(우리의 경우 Entra ID, 2단계 인증)가 걸림돌이어서 SSL VPN으로 전환하는 경우도 있었어요. 대형 고객은 Entra ID와 10명 이상 사용자에 적합하며, 정책에 더 익숙해질 필요가 있습니다. 문서가 일관되지 않지만, VPN은 기본적으로 작동했고, SMA는 구성과 사용이 더 쉬웠지만, 지금은 CSE로 대체되고 있습니다. 문서 개선과 사용자 친화적 설계 기대합니다.

8

포스트 감사합니다. 핫픽스 적용 후 장애가 없으셨나요? 맞나요?

9

그 경험에 대해 더 알고 싶어요; 아직 해결되지 않은 문제가 있다면 도와드리고 싶어요. :slight_smile:

10

클라우드 시큐어 엣지의 신뢰성과 속도는 어떻습니까? SSL VPN보다 훨씬 빠른가요?

11

아니요, 장애 문제 대부분 해결됐어요. 지금은 안정적으로 운영 중입니다.

12

모든 고객은 독립된 장비이고, 구성이나 IPsec, SSL VPN에 문제는 없습니다.

13

우리도 역시 지원팀과 함께 작업했고, 문서와 지원에 일부 성장통이 있었습니다. 공용 주소 라우팅 문제는 설계상의 한계이고, 조만간 해결되지 않을 것이라고 합니다.

14

우리는 데이터 플레인 / 커넥터에 공용 주소 라우팅 기능을 넣기 위해 작업 중입니다.