경계 네트워크Perimeter networks

경계 네트워크를 사용하면 클라우드 네트워크와 온-프레미스 또는 물리적 데이터 센터 네트워크 간의 보안 연결은 물론 인터넷과의 모든 연결도 가능합니다.Perimeter networks enable secure connectivity between your cloud networks and your on-premises or physical datacenter networks, along with any connectivity to and from the internet. 경계 네트워크를 완충 영역 또는 DMZ 라고도 합니다.A perimeter network is sometimes called a demilitarized zone or DMZ.

경계 네트워크를 효과적으로 적용하려면 들어오는 패킷이 백 엔드 서버에 도달하기 전에 보안 서브넷에 호스트된 보안 어플라이언스를 통해 이동해야 합니다.For perimeter networks to be effective, incoming packets must flow through security appliances hosted in secure subnets before reaching back-end servers. 예를 들어 방화벽, 침입 감지 시스템 및 침입 방지 시스템이 있습니다.Examples include the firewall, intrusion detection systems, and intrusion prevention systems. 워크로드의 인터넷 바인딩 패킷도 네트워크에 도착하기 전에 경계 네트워크의 보안 어플라이언스를 통과합니다.Before they leave the network, internet-bound packets from workloads should also flow through the security appliances in the perimeter network. 이 흐름의 목적은 정책 적용, 검사 및 감사입니다.The purposes of this flow are policy enforcement, inspection, and auditing.

경계 네트워크는 다음과 같은 Azure 기능 및 서비스를 활용합니다.Perimeter networks make use of the following Azure features and services:

참고

Azure 참조 아키텍처에서 사용자 고유의 경계 네트워크를 구현하는 데 사용할 수 있는 템플릿 예를 제공합니다.Azure reference architectures provide example templates that you can use to implement your own perimeter networks:

일반적으로 중앙 IT 팀 및 보안 팀은 경계 네트워크를 운영 하기 위한 요구 사항을 정의 해야 합니다.Usually, your central IT team and security teams are responsible for defining requirements for operating your perimeter networks.

허브 및 스포크 네트워크 토폴로지의 예 그림 1: 허브 및 스포크 네트워크 토폴로지의 예Example of a hub and spoke network topology Figure 1: Example of a hub and spoke network topology.

위의 다이어그램에서는 인터넷과 온-프레미스 네트워크에 대 한 액세스 권한이 있는 두 경계의 적용을 구현 하는 허브 및 스포크 네트워크 토폴로지 예제를 보여 줍니다.The diagram above shows an example hub and spoke network topology that implements enforcement of two perimeters with access to the internet and an on-premises network. 두 경계 네트워크 모두 DMZ 허브에 있습니다.Both perimeters reside in the DMZ hub. DMZ 허브에서 인터넷에 대 한 경계 네트워크를 확장 하 여 스포크 가상 네트워크를 보호 하는 데 도움이 되는 WAFs 및 Azure 방화벽 인스턴스의 여러 팜을 통해 여러 줄의 비즈니스를 지원할 수 있습니다.In the DMZ hub, the perimeter network to the internet can scale up to support many lines of business via multiple farms of WAFs and Azure Firewall instances that help protect the spoke virtual networks. 허브에서 필요에 따라 VPN 또는 Azure ExpressRoute를 통한 연결을 허용할 수도 있습니다.The hub also allows for connectivity via VPN or Azure ExpressRoute as needed.

가상 네트워크Virtual networks

경계 네트워크는 일반적으로 여러 서브넷이 있는 가상 네트워크를 사용하여 구축됩니다. 이를 통해 NVA, WAF 및 Azure Application Gateway 인스턴스를 통해 인터넷으로 들어오고 나가는 트래픽을 필터링하고 조사하는 여러 유형의 서비스를 호스트합니다.Perimeter networks are typically built using a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via NVAs, WAFs, and Azure Application Gateway instances.

사용자 정의 경로User-defined routes

고객은 사용자 정의 경로를 사용 하 여 방화벽, 침입 감지 시스템, 침입 방지 시스템 및 기타 가상 어플라이언스를 배포할 수 있습니다.By using user-defined routes, customers can deploy firewalls, intrusion detection systems, intrusion prevention systems, and other virtual appliances. 고객은 보안 경계 정책 적용, 감사 및 검사를 위해 이러한 보안 어플라이언스를 통해 네트워크 트래픽을 라우팅할 수 있습니다.Customers can then route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. 사용자 지정 VM, NVA 및 부하 분산 장치를 지정하여 트래픽이 전달되도록 사용자 정의 경로를 만들 수 있습니다.User-defined routes can be created to guarantee that traffic passes through the specified custom VMs, NVAs, and load balancers.

허브 및 스포크 네트워크 예제에서 스포크에 있는 가상 컴퓨터에서 생성 된 트래픽이 허브의 올바른 가상 어플라이언스를 통과 하도록 보장 하려면 스포크 서브넷에 정의 된 사용자 정의 경로가 필요 합니다.In a hub and spoke network example, guaranteeing that traffic generated by virtual machines that reside in the spoke passes through the correct virtual appliances in the hub requires a user-defined route defined in the subnets of the spoke. 이 경로는 내부 부하 분산 장치의 프런트 엔드 IP 주소를 다음 홉으로 설정합니다.This route sets the front-end IP address of the internal load balancer as the next hop. 내부 부하 분산 장치는 내부 트래픽을 가상 어플라이언스(부하 분산 장치 백 엔드 풀)에 배포합니다.The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure FirewallAzure Firewall

Azure 방화벽 은 azure Virtual Network 리소스를 보호 하는 데 도움이 되는 관리 되는 클라우드 기반 서비스입니다.Azure Firewall is a managed cloud-based service that helps protect your Azure Virtual Network resources. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다.It's a fully stateful managed firewall with built-in high availability and unrestricted cloud scalability. 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.

Azure Firewall은 가상 네트워크 리소스에 고정 공용 IP 주소를 사용합니다.Azure Firewall uses a static public IP address for your virtual network resources. 외부 방화벽이 사용자의 가상 네트워크에서 시작되는 트래픽을 식별할 수 있습니다.It allows outside firewalls to identify traffic that originates from your virtual network. 이 서비스는 로깅 및 분석을 위해 Azure Monitor와 상호 운용됩니다.The service interoperates with Azure Monitor for logging and analytics.

네트워크 가상 어플라이언스Network virtual appliances

인터넷에 액세스할 수 있는 경계 네트워크는 일반적으로 Azure Firewall 인스턴스 또는 방화벽이나 웹 애플리케이션 방화벽 팜을 통해 관리됩니다.Perimeter networks with access to the internet are typically managed through an Azure Firewall instance or a farm of firewalls or web application firewalls.

비즈니스의 여러 줄은 일반적으로 여러 웹 응용 프로그램을 사용 합니다.Different lines of business commonly use many web applications. 이러한 애플리케이션은 다양한 취약점 및 악용 가능성을 겪게 됩니다.These applications tend to suffer from various vulnerabilities and potential exploits. 웹 응용 프로그램 방화벽은 일반 방화벽 보다 더 깊이 있는 웹 응용 프로그램 (HTTP/S)에 대 한 공격을 감지 합니다.A Web Application Firewall detects attacks against web applications (HTTP/S) in more depth than a generic firewall. 전형적인 방화벽 기술에 비해 웹 애플리케이션 방화벽은 위협으로부터 내부 웹 서버를 보호할 수 있도록 하는 특정 기능 집합을 포함합니다.Compared with tradition firewall technology, web application firewalls have a set of specific features to help protect internal web servers from threats.

Azure 방화벽 인스턴스와 [네트워크 가상 어플라이언스] [nva] 방화벽은 일반 관리 평면을 보안 규칙 집합과 함께 사용 하 여 스포크에서 호스트 되는 워크 로드를 보호 하 고 온-프레미스 네트워크에 대 한 액세스를 제어 합니다.An Azure Firewall instance and a [network virtual appliance][nva] firewall use a common administration plane with a set of security rules to help protect the workloads hosted in the spokes and control access to on-premises networks. Azure Firewall은 확장성이 내장되어 있고, NVA 방화벽은 부하 분산 장치 뒤에서 수동으로 확장할 수 있습니다.Azure Firewall has built-in scalability, whereas NVA firewalls can be manually scaled behind a load balancer.

일반적으로 방화벽 팜은 WAF에 비해 덜 특수한 소프트웨어를 사용하지만, 송신 및 수신 중인 트래픽 유형을 필터링하고 검사하기 위한 광범위한 애플리케이션 범위를 유지합니다.A firewall farm typically has less specialized software compared with a WAF, but it has a broader application scope to filter and inspect any type of traffic in egress and ingress. NVA 접근 방식을 사용하면 Azure Marketplace에서 소프트웨어를 찾아 배포할 수 있습니다.If you use an NVA approach, you can find and deploy the software from the Azure Marketplace.

인터넷에서 시작하는 트래픽에 하나의 Azure Firewalls 방화벽 인스턴스 세트(또는 NVA)를 사용하고, 온-프레미스에서 시작하는 트래픽에 다른 세트를 사용하세요.Use one set of Azure Firewall instances (or NVAs) for traffic that originates on the internet and another set for traffic that originates on-premises. 방화벽 집합 하나를 두 트래픽에 모두 사용하면 두 네트워크 트래픽 집합 사이에 보안 경계가 없어지므로 보안 위험이 초래됩니다.Using only one set of firewalls for both is a security risk because it provides no security perimeter between the two sets of network traffic. 별도의 방화벽 레이어를 사용하면 보안 규칙을 검사하는 복잡성이 줄어들고 들어오는 네트워크 요청에 해당하는 규칙이 명확해집니다.Using separate firewall layers reduces the complexity of checking security rules and makes clear which rules correspond to which incoming network requests.

Azure Load BalancerAzure Load Balancer

Azure Load Balancer는 고가용성 계층 4(TCP/UDP) 서비스를 제공하여 들어오는 트래픽을 부하 분산 집합에 정의된 서비스 인스턴스 간에 분산할 수 있도록 합니다.Azure Load Balancer offers a high-availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. 프런트 엔드 엔드포인트(공용 IP 엔드포인트 또는 프라이빗 IP 엔드포인트)에서 부하 분산 장치로 전송된 트래픽은 주소 변환과 관계없이 백 엔드 IP 주소 풀(예: NVA 또는 VM)로 다시 배포될 수 있습니다.Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a pool of back-end IP addresses (such as NVAs or VMs).

Azure Load Balancer는 다양한 서버 인스턴스의 상태를 프로브할 수도 있습니다.Azure Load Balancer can also probe the health of the various server instances. 인스턴스가 프로브에 응답하지 않으면 부하 분산 장치는 더 이상 비정상 인스턴스로 트래픽을 전송하지 않습니다.When an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance.

허브 및 스포크 네트워크 토폴로지를 사용 하는 예로 허브 및 스포크 모두에 외부 부하 분산 장치를 배포할 수 있습니다.As an example of using a hub and spoke network topology, you can deploy an external load balancer to both the hub and the spokes. 허브에서 부하 분산 장치는 스포크의 서비스로 트래픽을 효율적으로 라우팅합니다.In the hub, the load balancer efficiently routes traffic to services in the spokes. 스포크에서 부하 분산 장치는 애플리케이션 트래픽을 관리합니다.In the spokes, load balancers manage application traffic.

Azure Front DoorAzure Front Door

Azure Front 도어가 Microsoft에서 항상 사용 가능 하 고 확장 가능한 웹 응용 프로그램 가속 플랫폼과 글로벌 HTTPS 부하 분산 장치입니다.Azure Front Door is Microsoft's highly available and scalable web application acceleration platform and global HTTPS load balancer. Azure Front 도어를 사용 하 여 동적 웹 응용 프로그램 및 정적 콘텐츠를 빌드, 운영 및 확장할 수 있습니다.You can use Azure Front Door to build, operate, and scale out your dynamic web application and static content. Microsoft 글로벌 네트워크의 에지에서 100개가 넘는 위치에서 실행됩니다.It runs in more than 100 locations at the edge of Microsoft's global network.

Azure 전면 도어는 응용 프로그램에 통합 된 지역/스탬프 유지 관리 자동화, BCDR automation, 통합 클라이언트/사용자 정보, 캐싱 및 서비스 정보를 제공 합니다.Azure Front Door provides your application with unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. 이 플랫폼은 성능, 안정성 및 지원 SLA를 제공합니다.The platform offers performance, reliability, and support SLAs. 또한 기본적으로 Azure에서 개발, 운영 및 지원되는 규정 준수 인증 및 감사 가능한 보안 사례도 제공합니다.It also offers compliance certifications and auditable security practices that are developed, operated, and supported natively by Azure.

Azure Application GatewayAzure Application Gateway

Azure 애플리케이션 게이트웨이 는 관리 되는 응용 프로그램 배달 컨트롤러를 제공 하는 전용 가상 어플라이언스입니다.Azure Application Gateway is a dedicated virtual appliance that provides a managed application delivery controller. 응용 프로그램에 대 한 다양 한 계층 7 부하 분산 기능을 제공 합니다.It offers various Layer 7 load-balancing capabilities for your application.

Azure 애플리케이션 게이트웨이를 사용 하면 CPU를 많이 사용 하는 SSL 종료를 Application Gateway에 오프 로드 하 여 웹 팜 생산성을 최적화할 수 있습니다.Azure Application Gateway allows you to optimize web farm productivity by offloading CPU-intensive SSL termination to the application gateway. 또한 들어오는 트래픽의 라운드 로빈 배포, 쿠키 기반 세션 선호도, URL 경로 기반 라우팅 및 단일 application gateway 뒤에 여러 웹 사이트를 호스트 하는 기능을 비롯 한 다른 계층 7 라우팅 기능도 제공 합니다.It also provides other Layer 7 routing capabilities, including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single application gateway.

Azure 애플리케이션 Gateway WAF SKU에는 웹 응용 프로그램 방화벽이 포함 되어 있습니다.The Azure Application Gateway WAF SKU includes a Web Application Firewall. 이 SKU 기능은 일반적인 웹 취약점 및 악용으로부터 웹 애플리케이션을 보호합니다.This SKU provides protection to web applications from common web vulnerabilities and exploits. Azure 애플리케이션 게이트웨이를 인터넷 연결 게이트웨이, 내부 전용 게이트웨이 또는 둘의 조합으로 구성할 수 있습니다.You can configure Azure Application Gateway as an internet-facing gateway, an internal-only gateway, or a combination of both.

공용 IPPublic IPs

일부 Azure 기능을 사용 하면 인터넷에서 리소스에 액세스할 수 있도록 서비스 끝점을 공용 IP 주소에 연결할 수 있습니다.With some Azure features, you can associate service endpoints to a public IP address so that your resource can be accessed from the internet. 엔드포인트에서는 NAT(Network Address Translation)를 사용하여 트래픽을 Azure Virtual Network상의 내부 주소와 포트로 라우팅합니다.This endpoint uses network address translation (NAT) to route traffic to the internal address and port on the Azure virtual network. 이 경로가 외부 트래픽을 가상 네트워크 내부로 전달하는 기본 방법입니다.This path is the primary way for external traffic to pass into the virtual network. 공용 IP 주소를 구성하여 어떤 트래픽을 안으로 들일 것인지, 가상 네트워크의 어느 부분에서 어떻게 전환할 것인지 결정할 수 있습니다.You can configure public IP addresses to determine what traffic is passed in, and how and where it's translated onto the virtual network.

Azure DDoS Protection 표준Azure DDoS Protection Standard

Azure DDoS Protection Standard 는 Azure Virtual Network 리소스로 특별히 조정 된 기본 서비스 계층에 대 한 추가 완화 기능을 제공 합니다.Azure DDoS Protection Standard provides additional mitigation capabilities over the basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS protection 표준은 응용 프로그램을 변경할 필요 없이 간단 하 게 사용할 수 있습니다.DDoS protection standard is simple to enable and requires no application changes.

전용 트래픽 모니터링 및 기계 학습 알고리즘을 통해 보호 정책을 조정할 수 있습니다.You can tune protection policies through dedicated traffic monitoring and machine-learning algorithms. 정책은 가상 네트워크에 배포된 리소스와 연결된 공용 IP 주소에 적용됩니다.Policies are applied to public IP addresses associated to resources deployed in virtual networks. 예를 들면 Azure Load Balancer, Application Gateway 및 Service Fabric 인스턴스가 있습니다.Examples include Azure Load Balancer, Application Gateway, and Service Fabric instances.

실시간 원격 분석은 Azure Monitor 뷰를 통해 공격을 받고 있을 때 사용하거나 기록 목적으로도 사용할 수 있습니다.Real-time telemetry is available through Azure Monitor views both during an attack and for historical purposes. Azure 애플리케이션 게이트웨이에서 웹 응용 프로그램 방화벽을 사용 하 여 응용 프로그램 계층 보호를 추가할 수 있습니다.You can add application-layer protection by using the Web Application Firewall in Azure Application Gateway. IPv4 Azure 공용 IP 주소에 대한 보호가 제공됩니다.Protection is provided for IPv4 Azure public IP addresses.