Network Zone

Okta 공식문서

Network Zone

주요 사항

Network Zone은 IP Zone과 Dynamic Zone을 통해 설정할 수 있습니다.
Dynamic Zone을 생성하고 싶다면 Adaptive MFA License가 필요합니다.

1. Network Zone이란?

Network Zone은 IP 주소를 기반으로 접근을 제한하거나 허용할 수 있는 경계입니다.
Network Zone에는 IP Zone과 Dynamic Zone이 있습니다
IP Zone 은 개별 IP 주소, 주소 범위 지정(CIDR 가능)이 가능합니다.
Dynamic Zone 은 지리적 위치(국가), ASN, ISP 지정 가능하며 사용을 위해서는 Adaptive MFA 라이선스가 필요합니다.
설정된 네트워크 영역은 Global Session Policy, Authentication Policy, VPN 알림 및 라우팅 규칙에서 사용할 수 있습니다.

2. IP Zone과 Dynamic Zone을 생성할때 유의사항

하나의 조직에 100개의 Network Zone을 구성할 수 있습니다.
차단을 위해 만드는 Zone을 제외하고 생성되는 Zone(IP Zone, Dynamic Zone)마다 150개의 Gateway IP와 150개의 Proxy IP를 구성할 수 있습니다.
IP Block Zone에는 각 Zone마다 1000개 이상의 Gateway를 포함할 수 있으며 한 조직에 총 25,000개의 Gateway를 구성할 수 있습니다.

3. IP Zone 생성

IP Zone을 생성할 때 적어도 하나의 Gateway IP 또는 Proxy IP가 있어야합니다.
하나의 Blocked Zone에 1000개의 IP와 IP 범위, CIDR를 추가할 수 있습니다.
모든 IP Zone에 25,000개의 IP와 IP 범위, CIDR를 추가할 수 있습니다.
차단되지 않은 영역에 150개의 Gateway IP, Proxy IP, IP 범위, CIDR를 추가할 수 있습니다.

경로: Security ➡ Networks ➡ Add zone

3.1 Allow IP Zone 생성

Zone name: Zone의 이름을 설정합니다.
Gateway IPs: Okta가 내/외부 리소스에 접근하기 위해 사용하는 IP주소를 설정합니다. IP는 개별 IP, IP 범위, CIDR 표기법을 사용한 IP 범위를 입력할 수 있습니다.

IP 표기법

설명

개별 IP

127.0.0.0 과 같이 하나의 IP를 입력할 수 있습니다.

CIDR 표기법을 사용한 IP 범위

8.25.203.0/24 와 같이 CIDR 표기법을 이용하여 IP 범위를 입력할 수 있습니다.

IP 범위

168.0.0.0-168.255.255.255 와 같이 범위의 시작 IP와 끝 IP 사이에 -를 표시하여 IP 범위를 입력할 수 있습니다.

Trusted proxy IPs: Okta에 대한 인증을 전달하는 프록시 서버의 IP 주소를 의미합니다. 인터넷 트래픽을 보안하기 위해 프록시 서버를 사용하는 경우, 이 설정을 사용하여 Okta는 프록시 서버에서 온 요청을 확인하고 허용할 수 있습니다. IP 표기법은 Gateway IPs와 같습니다.

3.2 Block IP Zone 생성

'Block access from IPs matching condition listed in this zone'을 선택하면 Gateway IP에 작성된 IP는 Okta에 접속할 수 없으니 IP를 입력할 때 주의해야합니다.

Zone name: Network Zone 이름 설정입니다.
Gateway IPs: 설정된 IP가 Okta가 내/외부 리소스에 접근하면 해당 IP가 Okta에 접근하지 못하도록 차단합니다.

4. Dynamic Zones

해당 기능을 사용하기 위해서는 Adaptive MFA License가 필요합니다.

경로: Security ➡ Networks ➡ Add zone ➡ Dynamic Zone

Zone name: Network Zone 이름 설정입니다.
IP type: 어떤 IP type을 허용 및 차단할 것인지 설정할 수 있습니다.

IP Type

설명

Any

모든 IP 유형은 동적 영역 내에 있는 것으로 간주됩니다.

Any proxy

Tor 및 Not Tor를 포함한 모든 anonymizer proxy에서 오는 요청은 동적 영역 내에 있는 것으로 간주합니다.

Tor anonymizer proxy

Tor anonymizer proxy에서 오는 요청은 동적 영역 내에 있는 것으로 간주됩니다.

Not Tor anonymizer proxy

Not Tor anonymizer proxy로부터의 요청은 동적 영역 내에 있는 것으로 간주합니다.

Location: 어떤 지역에서 접근하는지 확인하여 허용 및 차단을 설정할 수 있습니다.
ISP ASNs: 특정 인터넷 서비스 제공자(ISP)의 자체 네트워크에 속한 IP 주소를 식별하여 접근을 제어할 수 있습니다.

5. 정책에 Network Zone 설정하는 법

Network Zone을 정책에 설정하는 방법을 예시로 설명해드리겠습니다.

먼저, 'IP Zone (Bespin Global IP)'와 'Dynamic Zone (In Korea)'라는 두 개의 Zone을 생성한 후, 이러한 Zone을 사용하여 정책을 설정할 것입니다.
정책을 설정할 때, Network Zone에서 생성한 모든 Zone을 사용할 수 있습니다.

Previous커스텀 관리자 역할 생성 NextNetwork Zone 수정/삭제/비활성화

Last updated 7 months ago

hashtag1. Network Zone이란?

hashtag2. IP Zone과 Dynamic Zone을 생성할때 유의사항

hashtag3. IP Zone 생성

hashtag3.1 Allow IP Zone 생성

hashtag3.2 Block IP Zone 생성

hashtag4. Dynamic Zones

hashtag경로: Security ➡ Networks ➡ Add zone ➡ Dynamic Zone

hashtag5. 정책에 Network Zone 설정하는 법