방문 영역 네트워크 조각화 계획Plan for landing zone network segmentation

이 섹션에서는 네트워크 제로 신뢰 구현을 구동 하기 위해 방문 영역 내에서 매우 안전한 내부 네트워크 세그먼트화를 제공 하는 주요 권장 사항을 설명 합니다.This section explores key recommendations to deliver highly secure internal network segmentation within a landing zone to drive a network zero-trust implementation.

디자인 고려 사항:Design considerations:

  • 0 신뢰 모델은 위반 된 상태를 간주 하 고 각 요청을 미제어 네트워크에서 가져온 것으로 확인 합니다.The zero-trust model assumes a breached state and verifies each request as though it originates from an uncontrolled network.

  • 고급 제로 신뢰 네트워크 구현은 완전히 분산 된 수신/송신 클라우드 마이크로 경계 및 더 깊은 마이크로 조각화를 활용 합니다.An advanced zero-trust network implementation employs fully distributed ingress/egress cloud micro-perimeters and deeper micro-segmentation.

  • 네트워크 보안 그룹은 azure 서비스 태그를 사용 하 여 Azure PaaS 서비스에 쉽게 연결할 수 있습니다.Network security groups can use Azure service tags to facilitate connectivity to Azure PaaS services.

  • 응용 프로그램 보안 그룹은 가상 네트워크에 걸쳐 있거나 보호를 제공 하지 않습니다.Application security groups don't span or provide protection across virtual networks.

  • 이제 NSG 흐름 로그가 Azure Resource Manager 템플릿을 통해 지원 됩니다.NSG flow logs are now supported through Azure Resource Manager templates.

디자인 권장 사항:Design recommendations:

  • 서브넷 만들기를 랜딩 존 소유자에게 위임합니다.Delegate subnet creation to the landing zone owner. 이렇게 하면 서브넷 간에 작업을 분할 하는 방법을 정의할 수 있습니다 (예: 단일 대량 서브넷, 다중 계층 응용 프로그램 또는 네트워크에 삽입 된 응용 프로그램).This will enable them to define how to segment workloads across subnets (for example, a single large subnet, multitier application, or network-injected application). 플랫폼 팀은 Azure Policy를 사용 하 여 특정 규칙을 포함 하는 NSG (예: 인터넷에서 인바운드 SSH 또는 RDP를 거부 하거나, 방문 영역 간 트래픽 허용/차단)가 항상 거부 전용 정책을 사용 하는 서브넷과 연결 되도록 할 수 있습니다.The platform team can use Azure Policy to ensure that an NSG with specific rules (such as deny inbound SSH or RDP from internet, or allow/block traffic across landing zones) is always associated with subnets that have deny-only policies.

  • NSGs를 사용 하 여 여러 서브넷에서 트래픽을 보호 하 고, 플랫폼 간 트래픽 (랜딩 영역 간 트래픽)을 보호 합니다.Use NSGs to help protect traffic across subnets, as well as east/west traffic across the platform (traffic between landing zones).

  • 응용 프로그램 팀은 서브넷 수준 NSGs에서 응용 프로그램 보안 그룹을 사용 하 여 방문 영역 내에서 다중 계층 Vm을 보호 해야 합니다.The application team should use application security groups at the subnet-level NSGs to help protect multitier VMs within the landing zone.

  • NSGs 및 응용 프로그램 보안 그룹을 사용 하 여 방문 영역 내의 트래픽을 마이크로 분할 하 고 중앙 NVA를 사용 하 여 트래픽 흐름을 필터링 하지 않도록 합니다.Use NSGs and application security groups to micro-segment traffic within the landing zone and avoid using a central NVA to filter traffic flows.

  • NSG 흐름 로그를 사용 하도록 설정 하 고 트래픽 분석에 피드 하 여 내부 및 외부 트래픽 흐름에 대 한 통찰력을 얻습니다.Enable NSG flow logs and feed them into Traffic Analytics to gain insights into internal and external traffic flows.

  • NSGs를 사용 하 여 방문 영역 간 연결을 선택적으로 허용 합니다.Use NSGs to selectively allow connectivity between landing zones.

  • 가상 WAN 토폴로지의 경우 Azure 방화벽을 통해 랜딩 영역 간에 트래픽을 라우팅합니다. 조직에는 랜딩 영역에서 흐르는 트래픽에 대 한 필터링 및 로깅 기능이 필요 합니다.For Virtual WAN topologies, route traffic across landing zones via Azure Firewall if your organization requires filtering and logging capabilities for traffic flowing across landing zones.