네트워크 수준 세분화를 통해 워크로드 보호 및 제어

방화벽
Monitor
SQL Database
Virtual Network

조각화는 Microsoft Azure에서 제공 하는 도구를 사용 하 여 네트워킹 공간을 차지 하 고 소프트웨어 정의 경계를 만드는 모델입니다. 그런 다음 이러한 경계 트래픽을 제어 하는 규칙을 설정 하 여 네트워크의 여러 부분에 대해 서로 다른 보안 postures을 사용할 수 있도록 합니다. 여러 응용 프로그램 또는 지정 된 응용 프로그램의 일부를 이러한 경계에 저장 하는 경우 이러한 분할 된 엔터티 간의 통신을 제어할 수 있습니다. 응용 프로그램 스택의 일부가 손상 되 면이 보안 위반의 영향을 더 잘 포함 하 고 나머지 네트워크를 통한 수평 확산 되지 않도록 할 수 있습니다. 이 기능은 조직에 대해 세계적인 수준의 보안을 고려 하는 Microsoft에서 게시 하는 제로 신뢰 모델과 관련 된 주요 원칙입니다.

조각화 패턴

Azure에서 작업 하는 경우 보호 하는 데 도움이 되는 다양 한 조각화 옵션 집합을 사용할 수 있습니다.

리소스 순서도

  1. 구독: 구독은 엔터티 사이에서 제공 되는 플랫폼의 분리를 제공 하는 상위 수준 구문입니다. 회사 내의 대기업 간에 경계를 일정 합니다. 서로 다른 구독의 리소스 간 통신은 명시적으로 프로 비전 해야 합니다.

  2. Virtual Network: 가상 네트워크는 구독 내의 개인 주소 공간에 생성 됩니다. 네트워크는 리소스의 네트워크 수준 포함을 제공 하며,이는 기본적으로 두 가상 네트워크 간에 트래픽을 허용 하지 않습니다. 구독과 마찬가지로 가상 네트워크 간의 모든 통신은 명시적으로 프로 비전 해야 합니다.

  3. NSG (네트워크 보안 그룹): nsg는 가상 네트워크 내의 리소스 간 트래픽을 제어 하기 위한 액세스 제어 메커니즘입니다. 또한 NSG는 인터넷, 다른 가상 네트워크 등의 외부 네트워크를 사용 하 여 트래픽을 제어 합니다. NSGs는 서브넷, Vm 그룹 또는 단일 가상 머신에 대 한 경계를 만들어 세분화 된 수준으로 조각화 전략을 수행할 수 있습니다.

  4. Asgs (응용 프로그램 보안 그룹): Asgs는 nsgs와 유사한 제어 메커니즘을 제공 하지만 응용 프로그램 컨텍스트를 사용 하 여 참조 됩니다. ASG를 사용 하면 응용 프로그램 태그에서 Vm 집합을 그룹화 할 수 있습니다. 그러면 각 기본 Vm에 적용 되는 트래픽 규칙을 정의할 수 있습니다.

  5. Azure 방화벽: azure 방화벽은 클라우드 기본 상태 저장 방화벽 as a service입니다. 이 방화벽은 클라우드 리소스, 인터넷 및 온-프레미스 간에 흐르는 트래픽을 필터링 하기 위해 가상 네트워크 또는 Azure 가상 WAN 허브 배포에 배포할 수 있습니다. 계층 3에서 계층 7 컨트롤에 대 한 허용/거부 트래픽을 지정 하 여 규칙 또는 정책 (Azure 방화벽 또는 Azure 방화벽 관리자사용)을 만듭니다. 또한 Azure 방화벽과 제 3 자를 모두 사용 하 여 인터넷으로 이동 하는 트래픽을 필터링 할 수 있습니다. 고급 필터링 및 사용자 보호를 위해 타사 보안 공급자를 통해 일부 또는 모든 트래픽을 보냅니다.

다음 세 가지 패턴은 네트워킹 관점에서 Azure로 워크 로드를 구성 하는 경우에 공통적으로 제공 됩니다. 이러한 각 패턴은 서로 다른 유형의 격리 및 연결을 제공 합니다. 조직에 가장 적합 한 모델을 선택 하는 것은 조직의 요구 사항에 따라 결정 하는 것입니다. 이러한 각 모델에서는 위의 Azure 네트워킹 서비스를 사용 하 여 조각화를 수행 하는 방법을 설명 합니다.

또한 조직에 적합 한 디자인이 여기에 나열 되는 것이 아닌 것이 될 수 있습니다. 그 결과는 모든 사용자에 게 맞는 하나 (또는 세) 크기가 없기 때문에 예상 됩니다. 이러한 패턴에 대 한 원칙을 사용 하 여 조직에 가장 적합 한 기능을 만들 수 있습니다. Azure 플랫폼은 필요한 유연성과 도구를 제공 합니다.

패턴 1: 단일 Virtual Network

이 패턴에서 워크 로드의 모든 구성 요소 또는 경우에 따라 전체 IT의 공간이 단일 가상 네트워크 내에 배치 됩니다. 이 패턴은 가상 네트워크가 여러 영역에 걸쳐 있을 수 없으므로 단일 지역 에서만 작동 하는 경우에 사용할 수 있습니다.

이 가상 네트워크 내에 세그먼트를 만들 때 가장 많이 사용 하는 엔터티는 NSGs 또는 ASGs입니다. 선택은 세그먼트를 네트워크 서브넷 또는 응용 프로그램 그룹으로 참조할 지 여부에 따라 달라 집니다. 다음 이미지는 분할 된 가상 네트워크가 어떻게 표시 되는지 보여 줍니다.

단일 Virtual Network

이 설정에는 데이터베이스 워크 로드를 배치한 Subnet1와 웹 워크 로드를 배치한 Subnet2이 있습니다. Subnet1는 Subnet2와만 통신할 수 있고 Subnet2는 인터넷과 통신할 수 있는 NSGs를 넣을 수 있습니다. 많은 작업을 수행 하는 경우에도이 개념을 추가로 수행할 수 있습니다. 예를 들어 일정 out 서브넷은 한 작업이 다른 워크 로드의 백 엔드와 통신 하는 것을 허용 하지 않습니다.

NSGs를 사용 하 여 서브넷 트래픽을 관리 하는 방법을 보여 주지만 Azure Marketplace 또는 Azure 방화벽에서 가상화 된 네트워크 어플라이언스를 사용 하 여 이러한 구분을 적용할 수도 있습니다.

패턴 2: 두 가상 네트워크 간에 피어 링을 사용 하는 여러 가상 네트워크

이 패턴은 잠재적 피어 링 연결을 사용 하는 여러 가상 네트워크가 있는 이전 패턴의 확장입니다. 응용 프로그램을 별도의 가상 네트워크로 그룹화 하는 데이 패턴을 옵트인 하거나 여러 Azure 지역에 있어야 할 수 있습니다. 가상 네트워크를 다른 가상 네트워크에 피어 링 하 여 통신할 수 있으므로 가상 네트워크를 통해 세그먼트화를 기본으로 사용할 수 있습니다. 가상 네트워크 피어 링 연결은 전이적이 지 않습니다. 패턴 1과 비슷한 방식으로 가상 네트워크 내에서 더 많은 세그먼트를 만들려면 가상 네트워크에서 NSGs/ASGs를 사용 합니다.

여러 가상 네트워크

패턴 3: 허브 & 스포크 모델의 여러 가상 네트워크

이 패턴은 해당 지역의 다른 모든 가상 네트워크에 대 한 허브로 지정 된 지역의 가상 네트워크를 선택 하는 고급 가상 네트워크 조직입니다. Azure 가상 네트워크 피어 링을 사용 하 여 허브 가상 네트워크와 해당 스포크 가상 네트워크 간의 연결을 구현 합니다. 모든 트래픽은 허브 가상 네트워크를 통해 전달 되며 다른 지역의 다른 허브에 대 한 게이트웨이로 작동할 수 있습니다. 허브에서 보안 상태를 설정 하 여 확장 가능한 방식으로 가상 네트워크 간의 트래픽을 분할 하 고 제어 합니다. 이 패턴의 장점 중 하나는입니다. 네트워크 토폴로지가 늘어남에 따라 보안 상태 오버 헤드가 증가 하지 않습니다 (새 지역으로 확장 하는 경우 제외).

허브 및 스포크 모델

권장 되는 Azure cloud native 조각화 제어는 Azure 방화벽입니다. Azure 방화벽은 계층 3에서 계층 7 컨트롤을 사용 하 여 트래픽 흐름을 제어 하기 위해 가상 네트워크와 구독 모두에서 작동 합니다. 예를 들어 가상 네트워크 X는 가상 네트워크와 통신할 수 없지만 가상 네트워크 Z와 통신할 수 있으며 가상 네트워크 X에 대 한 액세스를 제외 하 고 일관 되 게 적용 하는 등의 방법으로 통신 규칙의 모양을 정의할 수 있습니다 *.github.com . azure 방화벽 관리자 미리 보기를 사용 하면 여러 Azure 방화벽에서 정책을 중앙에서 관리 하 고 DevOps 팀이 로컬 정책을 추가로 사용자 지정 하도록 할 수 있습니다.

다음 표에서는 세 가지 패턴 토폴로지를 비교한 결과를 보여 줍니다.

패턴 1 패턴 2 패턴 3
연결/라우팅: 각 세그먼트가 서로 통신 하는 방법 시스템 라우팅은 모든 서브넷의 모든 워크 로드에 대 한 기본 연결을 제공 합니다. 패턴 1과 동일 스포크 가상 네트워크 간의 기본 연결은 없습니다. 연결을 사용 하려면 허브 가상 네트워크의 Azure 방화벽과 같은 계층 3 라우터가 필요 합니다.
네트워크 수준 트래픽 필터링 기본적으로 트래픽이 허용 됩니다. NSG/ASG를 사용 하 여이 패턴을 필터링 할 수 있습니다. 패턴 1과 동일 스포크 가상 네트워크 간의 트래픽은 기본적으로 거부 됩니다. Azure 방화벽 구성에서는와 같은 선택한 트래픽을 사용할 수 있습니다 windowsupdate.com .
중앙 집중식 로깅 가상 네트워크에 대 한 NSG/ASG 로그 모든 가상 네트워크에서 NSG/ASG 로그 집계 허브를 통해 전송 되는 모든 허용/거부 된 트래픽을 Azure Monitor 하기 위한 Azure 방화벽 로그
원치 않는 오픈 공개 끝점 잘못 된 nsg/asg 규칙을 통해 실수로 공용 끝점을 열 수 DevOps. 패턴 1과 동일 스포크 가상 네트워크에서 실수로 열린 공용 끝점은 액세스를 사용 하지 않습니다. 상태 저장 방화벽을 통해 반환 패킷이 삭제 됩니다 (비대칭 라우팅).
응용 프로그램 수준 보호 NSG/ASG는 네트워크 계층 지원도 제공 합니다. 패턴 1과 동일 Azure 방화벽은 HTTP/S에 대 한 FQDN 필터링 및 아웃 바운드 트래픽 및 가상 네트워크 간을 지원 합니다.

다음 단계

구성 요소 기술에 대해 자세히 알아보세요.

관련 아키텍처 살펴보기: