인바운드 및 아웃 바운드 인터넷 연결 계획Plan for inbound and outbound internet connectivity

이 섹션에서는 공용 인터넷에 대 한 인바운드 및 아웃 바운드 연결에 대 한 권장 연결 모델에 대해 설명 합니다.This section describes recommended connectivity models for inbound and outbound connectivity to and from the public internet.

디자인 고려 사항:Design considerations:

  • Azure Firewall, Azure Application Gateway의 Azure WAF(Web Application Firewall), Azure Front Door와 같은 Azure 기본 네트워크 보안 서비스는 완전 관리형 서비스입니다.Azure-native network security services such as Azure Firewall, Azure Web Application Firewall (WAF) on Azure Application Gateway, and Azure Front Door are fully managed services. 따라서 대규모에서는 복잡해질 수 있는 인프라 배포와 관련된 운영 및 관리 비용이 발생하지 않습니다.So you don't incur the operational and management costs associated with infrastructure deployments, which can become complex at scale.

  • 엔터프라이즈 규모 아키텍처는 조직이 Nva을 사용 하거나 기본 서비스가 조직의 특정 요구 사항을 충족 하지 않는 경우에 파트너 Nva 완전히 호환 됩니다.The enterprise-scale architecture is fully compatible with partner NVAs, if your organization prefers to use NVAs or for situations where native services don't satisfy your organization's specific requirements.

디자인 권장 사항:Design recommendations:

  • Azure 방화벽을 사용 하 여 다음을 제어 합니다.Use Azure Firewall to govern:

    • 인터넷에 대 한 Azure 아웃 바운드 트래픽Azure outbound traffic to the internet.

    • 비 HTTP/S 인바운드 연결입니다.Non-HTTP/S inbound connections.

    • 동/서 트래픽 필터링 (조직에서 요구 하는 경우)East/west traffic filtering (if your organization requires it).

  • 가상 wan과 함께 방화벽 관리자를 사용 하 여 가상 WAN 허브 또는 허브 가상 네트워크에서 Azure 방화벽을 배포 하 고 관리 합니다.Use Firewall Manager with Virtual WAN to deploy and manage Azure firewalls across Virtual WAN hubs or in hub virtual networks. 이제 방화벽 관리자는 가상 WAN 및 일반 가상 네트워크 모두에 대해 일반 공급으로 제공 됩니다.Firewall Manager is now in general availability for both Virtual WAN and regular virtual networks.

  • 글로벌 네트워크 환경에서 보안 상태를 관리 하 고 모든 Azure 방화벽 인스턴스에 할당 하는 글로벌 Azure 방화벽 정책을 만듭니다.Create a global Azure Firewall policy to govern security posture across the global network environment and assign it to all Azure Firewall instances. Azure 역할 기반 액세스 제어를 통해 로컬 보안 팀에 증분 방화벽 정책을 위임 하 여 세부적인 정책이 특정 지역의 요구 사항을 충족할 수 있도록 허용 합니다.Allow for granular policies to meet requirements of specific regions by delegating incremental firewall policies to local security teams via Azure role-based access control.

  • 조직에서 아웃 바운드 연결을 보호 하는 데 도움이 되는 이러한 솔루션을 사용 하려는 경우 방화벽 관리자 내에서 지원 되는 파트너 SaaS 보안 공급자를 구성 합니다.Configure supported partner SaaS security providers within Firewall Manager if your organization wants to use such solutions to help protect outbound connections.

  • 인터넷에서 인바운드 HTTP/S 트래픽을 보호 하기 위해 방문 영역 가상 네트워크 내에서 WAF를 사용 합니다.Use WAF within a landing-zone virtual network for protecting inbound HTTP/S traffic from the internet.

  • Azure Front 도어 및 WAF 정책을 사용 하 여 Azure 지역에서 방문 영역에 대 한 인바운드 HTTP/S 연결을 위한 글로벌 보호를 제공 합니다.Use Azure Front Door and WAF policies to provide global protection across Azure regions for inbound HTTP/S connections to a landing zone.

  • Azure Front 도어 및 Azure 애플리케이션 Gateway를 사용 하 여 HTTP/S 응용 프로그램을 보호 하는 경우 Azure Front 문에 WAF 정책을 사용 합니다.When you're using Azure Front Door and Azure Application Gateway to help protect HTTP/S applications, use WAF policies in Azure Front Door. Azure Front 도어의 트래픽만 받으려면 Azure 애플리케이션 Gateway를 잠급니다.Lock down Azure Application Gateway to receive traffic only from Azure Front Door.

  • 동/서 또는 남/북 트래픽 보호 및 필터링을 위해 파트너 Nva 필요한 경우:If partner NVAs are required for east/west or south/north traffic protection and filtering:

    • 가상 WAN 네트워크 토폴로지의 경우 Nva를 별도의 가상 네트워크 (예: NVA 가상 네트워크)에 배포 합니다.For Virtual WAN network topologies, deploy the NVAs to a separate virtual network (for example, NVA virtual network). 그런 다음 지역 가상 WAN 허브에 연결 하 고 Nva에 액세스 해야 하는 방문 영역에 연결 합니다.Then connect it to the regional Virtual WAN hub and to the landing zones that require access to NVAs. 이 문서에서는이 프로세스에 대해 설명 합니다.This article describes the process.
    • 가상이 아닌 WAN 네트워크 토폴로지의 경우 중앙 허브 가상 네트워크에 파트너 Nva를 배포 합니다.For non-Virtual WAN network topologies, deploy the partner NVAs in the central-hub virtual network.
  • 인바운드 HTTP/S 연결에 파트너 Nva가 필요한 경우 방문 영역 가상 네트워크 내에 배포 하 고 인터넷에 노출 되는 응용 프로그램과 함께 배포 합니다.If partner NVAs are required for inbound HTTP/S connections, deploy them within a landing-zone virtual network and together with the applications that they're protecting and exposing to the internet.

  • Azure DDoS Protection Standard Protection 요금제 를 사용 하 여 가상 네트워크 내에서 호스트 되는 모든 공용 끝점을 보호할 수 있습니다.Use Azure DDoS Protection Standard protection plans to help protect all public endpoints hosted within your virtual networks.

  • 온-프레미스 경계 네트워크 개념 및 아키텍처를 Azure로 복제하지 않습니다.Don't replicate on-premises perimeter network concepts and architectures into Azure. Azure에서 유사한 보안 기능을 사용할 수 있지만 구현 및 아키텍처를 클라우드에 맞게 조정해야 합니다.Similar security capabilities are available in Azure, but the implementation and architecture must be adapted to the cloud.