경계 네트워크

아티클
07/11/2023

DMZ(비무장지대)라고도 하는 경계 네트워크는 클라우드 네트워크, 온-프레미스 또는 물리적 데이터 센터 네트워크 및 인터넷 간의 보안 연결을 제공하는 데 도움이 됩니다.

유효 경계 네트워크에서 들어오는 패킷은 패킷이 백 엔드 서버에 도달하기 전에 보안 서브넷에 호스트되는 보안 어플라이언스를 통해 흐릅니다. 보안 어플라이언스에는 방화벽, NVA(네트워크 가상 어플라이언스) 및 기타 침입 탐지 및 방지 시스템이 포함됩니다. 워크로드의 인터넷 바인딩 패킷도 경계 네트워크의 보안 어플라이언스를 통해 전달되어야 네트워크를 떠날 수 있습니다.

일반적으로 중앙 IT 팀과 보안 팀은 경계 네트워크에 대한 운영 요구 사항을 정의해야 합니다. 경계 네트워크는 정책 적용, 검사 및 감사를 제공할 수 있습니다.

경계 네트워크는 다음 Azure 기능 및 서비스를 사용할 수 있습니다.

가상 네트워크, 사용자 정의 경로 및 NSG(네트워크 보안 그룹)
Azure Firewall
Azure Application Gateway Azure Web Application Firewall
Azure Front Door의 Azure Web Application Firewall
기타 NVA(네트워크 가상 어플라이언스)
Azure Load Balancer
공용 IP 주소

경계 네트워크에 대한 자세한 내용은 가상 데이터 센터: 네트워크 관점을 참조하세요.

고유한 경계 네트워크를 구현하는 데 사용할 수 있는 템플릿 예제는 참조 아키텍처 보안 하이브리드 네트워크 구현을 참조하세요.

경계 네트워크 토폴로지

다음 다이어그램은 인터넷 및 온-프레미스 네트워크에 대한 액세스를 적용하는 경계 네트워크가 있는 허브 및 스포크 네트워크 예제를 보여 줍니다.

두 경계 네트워크가 있는 허브 및 스포크 네트워크 토폴로지의 예를 보여 주는 다이어그램

경계 네트워크는 DMZ 허브에 연결됩니다. DMZ 허브에서 인터넷에 대한 경계 네트워크는 여러 비즈니스 라인을 지원하도록 확장할 수 있습니다. 이 지원은 스포크 가상 네트워크를 보호하는 데 도움이 되는 여러 WAF(웹 애플리케이션 방화벽) 및 Azure Firewall 인스턴스 팜을 사용합니다. 허브는 필요에 따라 VPN(가상 사설망) 또는 Azure ExpressRoute를 통해 온-프레미스 또는 파트너 네트워크에 연결할 수도 있습니다.

가상 네트워크

경계 네트워크는 일반적으로 가상 네트워크 내에서 빌드됩니다. 가상 네트워크는 여러 서브넷을 사용하여 다른 네트워크 또는 인터넷 간에 트래픽을 필터링하고 검사하는 다양한 유형의 서비스를 호스트합니다. 이러한 서비스에는 NVA, WAF 및 Application Gateway 인스턴스가 포함됩니다.

사용자 정의 경로

허브 및 스포크 네트워크 토폴로지에서 스포크에서 VM(가상 머신)에 의해 생성된 트래픽이 허브의 올바른 가상 어플라이언스를 통과한다는 것을 보장해야 합니다. 이 트래픽 라우팅에는 스포크 서브넷의 사용자 정의 경로 가 필요합니다.

사용자 정의 경로는 트래픽이 지정된 사용자 지정 VM, NVA 및 부하 분산 장치를 통과하게 할 수 있습니다. 이 경로는 내부 부하 분산 장치의 프런트 엔드 IP 주소를 다음 홉으로 설정합니다. 내부 부하 분산 장치는 부하 분산 장치 백 엔드 풀의 가상 어플라이언스에 내부 트래픽을 분산합니다.

사용자 정의 경로를 사용하여 방화벽, 침입 감지 시스템 및 기타 가상 어플라이언스를 통해 트래픽을 전송할 수 있습니다. 고객은 보안 경계 정책 적용, 감사 및 검사를 위해 이러한 보안 어플라이언스를 통해 네트워크 트래픽을 라우팅할 수 있습니다.

Azure Firewall

Azure Firewall 가상 네트워크에서 리소스를 보호하는 데 도움이 되는 관리형 클라우드 기반 방화벽 서비스입니다. Azure Firewall 기본 제공 고가용성 및 무제한 클라우드 확장성을 갖춘 완전 상태 저장 관리형 방화벽입니다. Azure Firewall 사용하여 구독 및 가상 네트워크에서 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고, 기록할 수 있습니다.

Azure Firewall 가상 네트워크 리소스에 대해 고정 공용 IP 주소를 사용합니다. 외부 방화벽은 고정 공용 IP를 사용하여 가상 네트워크에서 발생하는 트래픽을 식별할 수 있습니다. Azure Firewall 로깅 및 분석을 위해 Azure Monitor와 함께 작동합니다.

네트워크 가상 어플라이언스

Azure Firewall 또는 방화벽 또는 WAF 팜을 통해 인터넷에 액세스할 수 있는 경계 네트워크를 관리할 수 있습니다. Azure Firewall instance 및 NVA 방화벽은 보안 규칙 집합과 함께 공통 관리 평면을 사용할 수 있습니다. 이러한 규칙은 스포크에서 호스트되는 워크로드를 보호하고 온-프레미스 네트워크에 대한 액세스를 제어하는 데 도움이 됩니다. Azure Firewall 기본 제공 확장성이 있으며 NVA 방화벽을 부하 분산 장치 뒤에서 수동으로 확장할 수 있습니다.

다양한 비즈니스 라인은 다양한 취약성과 잠재적인 악용으로 인해 고통을 겪을 수 있는 다양한 웹 애플리케이션을 사용합니다. WAF는 일반 방화벽보다 더 심층적인 HTTP/S 웹 애플리케이션에 대한 공격을 검색합니다. 기존 방화벽 기술과 비교하여 WAF에는 위협으로부터 내부 웹 서버를 보호하는 데 도움이 되는 특정 기능 집합이 있습니다.

방화벽 팜에는 WAF보다 덜 특수화된 소프트웨어가 있지만 모든 유형의 송신 및 수신 트래픽을 필터링하고 검사하는 광범위한 애플리케이션 scope 있습니다. NVA 방법을 사용하는 경우 Azure Marketplace 소프트웨어를 찾아 배포할 수 있습니다.

인터넷에서 발생하는 트래픽에는 Azure Firewall 인스턴스 집합 또는 NVA 집합을 사용하고, 다른 하나는 온-프레미스에서 발생하는 트래픽에 대해 설정합니다. 두 네트워크 트래픽 집합 사이에 보안 경계가 없으므로 두 종류의 트래픽에 대해 하나의 방화벽 집합만 사용하는 것은 보안 위험입니다. 별도의 방화벽 계층을 사용하면 보안 규칙 확인의 복잡성을 줄이고 들어오는 네트워크 요청에 해당하는 규칙을 명확히 합니다.

Azure Load Balancer

Azure Load Balancer 고가용성 계층 4 전송 제어 프로토콜/사용자 데이터그램 프로토콜(TCP/UDP) 부하 분산 서비스를 제공합니다. 이 서비스는 부하 분산 집합에 의해 정의된 서비스 인스턴스 간에 들어오는 트래픽을 분산할 수 있습니다. Load Balancer 주소 변환 유무에 관계없이 프런트 엔드 공용 또는 개인 IP 엔드포인트에서 NVA 또는 VM과 같은 백 엔드 IP 주소 풀로 트래픽을 재배포할 수 있습니다.

Load Balancer 서버 인스턴스의 상태를 검색할 수도 있습니다. 인스턴스가 프로브에 응답하지 않으면 부하 분산 장치는 더 이상 비정상 인스턴스로 트래픽을 전송하지 않습니다.

허브 및 스포크 네트워크 토폴로지 예제에서는 허브와 스포크 모두에 외부 부하 분산 장치를 배포합니다. 허브에서 부하 분산 장치는 스포크의 서비스로 트래픽을 효율적으로 라우팅합니다. 스포크에서 부하 분산 장치는 애플리케이션 트래픽을 관리합니다.

Azure Front Door

Azure Front Door 는 고가용성 및 확장성 있는 웹 애플리케이션 가속 플랫폼 및 글로벌 HTTPS 부하 분산 장치입니다. Azure Front Door를 사용하여 동적 웹 애플리케이션 및 정적 콘텐츠를 빌드, 운영, 스케일 아웃할 수 있습니다. Azure Front Door는 Microsoft 글로벌 네트워크의 가장자리에 있는 100개 이상의 위치에서 실행됩니다.

Azure Front Door는 애플리케이션에 다음을 제공합니다.

통합 지역 및 스탬프 유지 관리 자동화.
BCDR(비즈니스 연속성 및 재해 복구) 자동화.
통합 클라이언트 및 사용자 정보입니다.
캐싱.
서비스 인사이트.

Azure Front Door는 지원을 위해 성능, 안정성 및 SLA(서비스 수준 계약)를 제공합니다. 또한 Azure Front Door는 Azure에서 개발, 운영 및 기본적으로 지원하는 규정 준수 인증 및 감사 가능한 보안 사례를 제공합니다.

Application Gateway

Application Gateway 관리형 애플리케이션 배달 컨트롤러를 제공하는 전용 가상 어플라이언스. Application Gateway 애플리케이션에 대한 다양한 계층 7 부하 분산 기능을 제공합니다.

Application Gateway CPU 집약적인 SSL(보안 소켓 계층) 종료를 오프로드하여 웹 팜 생산성을 최적화하는 데 도움이 됩니다. Application Gateway 다음과 같은 다른 계층 7 라우팅 기능도 제공합니다.

들어오는 트래픽의 라운드 로빈 배포.
쿠키 기반 세션 선호도.
URL 경로 기반 라우팅.
단일 애플리케이션 게이트웨이 뒤에 여러 웹 사이트 호스팅

WAF SKU를 사용하는 Application Gateway WAF를 포함하며 일반적인 웹 취약성 및 악용으로부터 웹 애플리케이션을 보호합니다. Application Gateway는 인터넷 연결 게이트웨이, 내부 전용 게이트웨이 또는 둘의 조합으로 구성할 수 있습니다.

공용 IP

일부 Azure 기능을 사용하면 서비스 엔드포인트를 공용 IP 주소에 연결할 수 있습니다. 이 옵션은 인터넷에서 리소스에 대한 액세스를 제공합니다. 엔드포인트는 NAT(네트워크 주소 변환)를 사용하여 트래픽을 Azure 가상 네트워크의 내부 주소 및 포트로 라우팅합니다. 이 경로는 외부 트래픽이 가상 네트워크로 전달되는 기본 방법입니다. 전달되는 트래픽과 가상 네트워크로 변환되는 방법 및 위치를 제어하도록 공용 IP 주소를 구성할 수 있습니다.

Azure DDoS Protection

Azure DDoS Protection은 DDoS (분산 서비스 거부) 공격으로부터 가상 네트워크의 Azure 리소스를 보호하는 데 도움이 되는 추가 완화 기능을 제공합니다. DDoS Protection에는 DDoS IP Protection 및 DDoS 네트워크 보호의 두 가지 SKU가 있습니다. 자세한 내용은 Azure DDoS Protection SKU 비교 정보를 참조하세요.

DDoS Protection은 사용하기 쉽고 애플리케이션을 변경할 필요가 없습니다. 전용 트래픽 모니터링 및 기계 학습 알고리즘을 통해 보호 정책을 조정할 수 있습니다. DDoS Protection은 가상 네트워크에 배포된 리소스와 연결된 IPv4 Azure 공용 IP 주소에 보호를 적용합니다. 예제 리소스에는 Load Balancer, Application Gateway 및 Azure Service Fabric 인스턴스가 포함됩니다.

실시간 원격 분석은 공격 중 및 기록 목적으로 Azure Monitor 보기를 통해 사용할 수 있습니다. Application Gateway Web Application Firewall 사용하여 애플리케이션 계층 보호를 추가할 수 있습니다.

다음 단계

허브 및 스포크 네트워크 토폴로지 모델을 사용하여 일반적인 통신 또는 보안 요구 사항을 효율적으로 관리하는 방법을 알아봅니다.