소프트웨어 정의 네트워킹: 클라우드 DMZSoftware Defined Networking: Cloud DMZ

클라우드 DMZ 네트워크 아키텍처를 사용하면 온-프레미스 네트워크와 클라우드 기반 네트워크 간에 제한적으로 액세스하여 VPN(가상 사설망)을 통해 네트워크를 연결할 수 있습니다.The Cloud DMZ network architecture allows limited access between your on-premises and cloud-based networks, using a virtual private network (VPN) to connect the networks. 네트워크에 대 한 외부 액세스를 보호 하려는 경우 DMZ 모델이 일반적으로 사용 되지만 여기서 설명 하는 클라우드 DMZ 아키텍처는 클라우드 기반 리소스에서 온-프레미스 네트워크에 대 한 액세스를 안전 하 게 보호 하기 위한 것 이며 그 반대의 경우도 마찬가지입니다.Although a DMZ model is commonly used when you want to secure external access to a network, the Cloud DMZ architecture discussed here is intended specifically to secure access to the on-premises network from cloud-based resources and vice versa.

하이브리드 네트워크 아키텍처 보안

이 아키텍처는 조직에서 클라우드 기반 워크로드를 온-프레미스 워크로드와 통합하려고 하지만 클라우드 보안 정책이 완전히 완성되지 않았거나 두 환경 간의 보안 전용 WAN 연결이 확보되지 않았을 수 있는 시나리오를 지원하도록 설계되었습니다.This architecture is designed to support scenarios where your organization wants to start integrating cloud-based workloads with on-premises workloads but may not have fully matured cloud security policies or acquired a secure dedicated WAN connection between the two environments. 따라서 온-프레미스 서비스를 안전 하 게 보호 하기 위해 클라우드 네트워크를 DMZ와 같이 처리 해야 합니다.As a result, cloud networks should be treated like a DMZ to ensure on-premises services are secure.

DMZ는 방화벽 및 패킷 검사와 같은 보안 기능을 구현하는 NVA(네트워크 가상 어플라이언스)를 배포합니다.The DMZ deploys network virtual appliances (NVAs) to implement security functionality such as firewalls and packet inspection. 온-프레미스 애플리케이션과 클라우드 기반 애플리케이션 또는 서비스 간에 전달되는 트래픽은 감사할 수 있는 DMZ를 통과해야 합니다.Traffic passing between on-premises and cloud-based applications or services must pass through the DMZ where it can be audited. DMZ 네트워크를 통해 허용되는 트래픽을 결정하는 VPN 연결 및 규칙은 IT 보안 팀에서 엄격하게 제어합니다.VPN connections and the rules determining what traffic is allowed through the DMZ network are strictly controlled by IT security teams.

클라우드 DMZ 가정Cloud DMZ assumptions

클라우드 DMZ 배포에는 다음과 같은 가정이 포함 됩니다.Deploying a Cloud DMZ includes the following assumptions:

  • 보안 팀에서 온-프레미스 및 클라우드 기반 보안 요구 사항과 정책을 완전하게 조정하지 않았습니다.Your security teams have not fully aligned on-premises and cloud-based security requirements and policies.
  • 클라우드 기반 워크 로드를 사용 하려면 온-프레미스 또는 타사 네트워크에서 호스트 되는 서비스의 제한 된 하위 집합에 대 한 액세스 권한이 필요 합니다. 또는 온-프레미스 환경의 사용자 또는 응용 프로그램은 클라우드 호스팅 리소스에 대해 제한 된 액세스 권한이 필요 합니다.Your cloud-based workloads require access to limited subset of services hosted on your on-premises or third-party networks, or users or applications in your on-premises environment need limited access to cloud-hosted resources.
  • 온-프레미스 네트워크와 클라우드 공급자 간의 VPN 연결 구현이 회사 정책, 규정 요구 사항 또는 기술 호환성 문제로 인해 방지되지 않습니다.Implementing a VPN connection between your on-premises networks and cloud provider is not prevented by corporate policy, regulatory requirements, or technical compatibility issues.
  • 구독 리소스 제한을 무시하기 위해 워크로드에 여러 구독이 필요하지 않거나, 여러 구독이 필요하지만 여러 구독에 분산된 리소스에서 사용하는 연결 또는 공유 서비스를 중앙에서 관리할 필요가 없습니다.Your workloads either do not require multiple subscriptions to bypass subscription resource limits, or they involve multiple subscriptions but don't require central management of connectivity or shared services used by resources spread across multiple subscriptions.

클라우드 채택 팀은 클라우드 DMZ 가상 네트워킹 아키텍처를 구현할 때 다음 문제를 고려해 야 합니다.Your cloud adoption teams should consider the following issues when looking at implementing a Cloud DMZ virtual networking architecture:

  • 온-프레미스 네트워크를 클라우드 네트워크와 연결하면 보안 요구 사항이 복잡해집니다.Connecting on-premises networks with cloud networks increases the complexity of your security requirements. 클라우드 네트워크와 온-프레미스 환경 간의 연결이 보안 되더라도 여전히 클라우드 리소스의 보안을 유지 해야 합니다.Even though connections between cloud networks and the on-premises environment are secured, you still need to ensure cloud resources are secured. 클라우드 기반 작업에 액세스 하기 위해 만든 공용 Ip는 공용 DMZ 또는 Azure 방화벽을 사용 하 여 적절 하 게 보호 해야 합니다.Any public IPs created to access cloud-based workloads need to be properly secured using a public-facing DMZ or Azure Firewall.
  • 클라우드 DMZ 아키텍처는 일반적으로 디딤돌로 사용되는 한편 연결의 보안이 강화되고 보안 정책이 온-프레미스 네트워크와 클라우드 네트워크 간에 조정되어 전면적인 하이브리드 네트워킹 아키텍처를 광범위하게 채택할 수 있습니다.The Cloud DMZ architecture is commonly used as a stepping stone while connectivity is further secured and security policy aligned between on-premises and cloud networks, allowing a broader adoption of a full-scale hybrid networking architecture. 또한 클라우드 DMZ 방법이 충족 되어야 하는 특정 보안, id 및 연결을 사용 하 여 격리 된 배포에 적용할 수 있습니다.It may also apply to isolated deployments with specific security, identity, and connectivity needs that the Cloud DMZ approach satisfies.

자세히 알아보기Learn more

Azure에서 클라우드 DMZ를 구현 하는 방법에 대 한 자세한 내용은 다음을 참조 하세요.For more information about implementing a Cloud DMZ in Azure, see: