Azure Virtual Network Manager의 보안 관리 규칙으로 고위험 네트워크 포트 보호
이 문서에서는 Azure Virtual Network Manager 및 보안 관리 규칙을 사용하여 고위험 네트워크 포트를 차단하는 방법을 알아봅니다. Azure Virtual Network Manager 인스턴스 만들기 과정을 살펴보고, 네트워크 그룹으로 VNet(가상 네트워크)를 그룹화하고, 조직의 보안 관리자 구성을 만들고 배포합니다. 고위험 포트에 대한 일반 차단 규칙을 배포합니다. 그런 다음, 네트워크 보안 그룹을 사용하여 특정 애플리케이션의 VNet을 관리하는 예외 규칙을 만듭니다.
이 문서는 단일 포트인 SSH에 중점을 두지만 동일한 단계를 통해 환경에서 모든 고위험 포트를 보호할 수 있습니다. 자세히 알아보려면 이 고위험 포트 목록을 검토합니다.
Important
Azure Virtual Network Manager는 일반적으로 허브 및 스포크 연결 구성과 보안 관리 규칙을 사용한 보안 구성에 사용할 수 있습니다. 메시 연결 구성은 공개 미리 보기로 유지됩니다.
이 미리 보기 버전은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 사용하지 않는 것이 좋습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
필수 조건
- Azure Virtual Network Manager를 만드는 방법을 이해합니다.
- 보안 관리자 규칙의 각 요소를 이해합니다.
- 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
- 세분화된 보안 관리 규칙을 적용하기 위해 네트워크 그룹으로 분할할 수 있는 가상 네트워크 그룹입니다.
- 동적 네트워크 그룹을 수정하려면 Azure RBAC 역할 할당을 통해서만 액세스 권한을 부여해야 합니다. 클래식 관리자/레거시 권한 부여는 지원되지 않습니다.
가상 네트워크 환경 배포
특정 네트워크 트래픽을 허용하고 차단하기 위해 분리할 수 있는 가상 네트워크가 포함된 가상 네트워크 환경이 필요합니다. 다음 표 또는 자체 가상 네트워크 구성을 사용할 수 있습니다.
| 이름 | IPv4 주소 공간 | subnet |
|---|---|---|
| vnetA-gen | 10.0.0.0/16 | 기본값 - 10.0.0.0/24 |
| vnetB-gen | 10.1.0.0/16 | 기본값 - 10.1.0.0/24 |
| vnetC-gen | 10.2.0.0/16 | 기본값 - 10.2.0.0/24 |
| vnetD-app | 10.3.0.0/16 | 기본값 - 10.3.0.0/24 |
| vnetE-app | 10.4.0.0/16 | 기본값 - 10.4.0.0/24 |
- 동일한 구독, 지역 및 리소스 그룹에 모든 가상 네트워크 배치
가상 네트워크를 빌드하는 방법을 모르시나요? 빠른 시작: Azure Portal을 사용하여 가상 네트워크 만들기에서 자세히 알아봅니다.
가상 네트워크 관리자 인스턴스 만들기
이 섹션에서는 조직의 보안 관리 기능을 사용하여 Virtual Network Manager 인스턴스를 배포합니다.
+ 리소스 만들기를 선택하고 Network Manager를 검색합니다. 그런 다음, 만들기를 선택하여 Azure Virtual Network Manager 설정을 시작합니다.
기본 탭에서 조직에 대한 정보를 입력하거나 선택합니다.
설정 값 구독 Azure Virtual Network Manager를 배포하려는 구독을 선택합니다. Resource group Azure Virtual Network Manager를 저장할 리소스 그룹을 선택하거나 만듭니다. 이 예제에서는 이전에 만든 myAVNMResourceGroup을 사용합니다. 이름 이 Azure Virtual Network Manager 인스턴스의 이름을 입력합니다. 이 예제에서는 myAVNM이라는 이름을 사용합니다. 지역 이 배포의 지역을 선택합니다. Azure Virtual Network Manager는 모든 지역의 가상 네트워크를 관리할 수 있습니다. 선택한 지역은 Virtual Network Manager 인스턴스를 배포할 위치입니다. 설명 선택 사항 이 Virtual Network Manager 인스턴스 및 관리하는 작업에 대한 설명을 제공합니다. 범위 Azure Virtual Network Manager에서 관리할 수 있는 범위를 정의합니다. 이 예제에서는 구독 수준 범위를 사용합니다. 기능 Azure Virtual Network Manager에서 사용하도록 설정할 기능을 선택합니다. 사용 가능한 기능은 연결, SecurityAdmin 또는 모두 선택입니다.
연결 - 범위 내의 가상 네트워크 간에 전체 메시 또는 허브 및 스포크 네트워크 토폴로지 만들기 기능을 사용하도록 설정합니다.
SecurityAdmin - 글로벌 네트워크 보안 규칙을 만드는 기능을 사용하도록 설정합니다.검토 + 만들기를 선택하고 유효성 검사를 통과하면 만들기를 선택합니다.
배포가 완료되면 리소스로 이동을 선택하고 가상 네트워크 관리자 구성을 검토합니다.
모든 가상 네트워크에 대한 네트워크 그룹 만들기
가상 네트워크 관리자가 만들어지면 이제 조직의 모든 VNet이 포함된 네트워크 그룹을 만들고 모든 VNet을 수동으로 추가합니다.
- 설정에서 네트워크 그룹을 선택합니다.
- + 만들기를 선택하고 네트워크 그룹의 이름을 입력한 다음 추가를 선택합니다.
- 네트워크 그룹 페이지에서 만든 네트워크 그룹을 선택합니다.
- 모든 VNet을 수동으로 추가하려면 Static Membership 아래에서 추가를 선택합니다.
- 정적 멤버 추가 페이지에서 포함하려는 모든 가상 네트워크를 선택하고 추가를 선택합니다.
모든 가상 네트워크에 대한 보안 관리자 구성 만들기
이제 네트워크 그룹 내의 모든 VNet에 해당 규칙을 한 번에 적용하기 위해 구성 내에서 보안 관리 규칙을 구성합니다. 이 섹션에서는 보안 관리자 구성을 만듭니다. 그런 다음, 규칙 컬렉션을 만들고 SSH 또는 RDP와 같은 고위험 포트에 대한 규칙을 추가합니다. 이 구성은 네트워크 그룹의 모든 가상 네트워크에 대한 네트워크 트래픽을 거부합니다.
가상 네트워크 관리자 리소스로 돌아갑니다.
설정에서 구성을 선택한 다음 + 만들기를 선택합니다.
드롭다운 메뉴에서 보안 구성을 선택합니다.
기본 탭에서 이 보안 구성을 식별할 이름을 입력하고 다음: 규칙 컬렉션을 선택합니다.
보안 구성 페이지 추가에서 + 추가를 선택합니다.
이 규칙 컬렉션을 식별할 이름을 입력한 다음 규칙 집합을 적용할 대상 네트워크 그룹을 선택합니다. 대상 그룹은 모든 가상 네트워크를 포함하는 네트워크 그룹입니다.
고위험 네트워크 트래픽을 거부하는 보안 규칙 추가
이 섹션에서는 모든 가상 네트워크에 대한 고위험 네트워크 트래픽을 차단하는 보안 규칙을 정의합니다. 우선 순위를 할당할 때 향후 예외 규칙을 염두에 두세요. 예외 규칙이 이 규칙보다 우선 적용되도록 우선 순위를 설정합니다.
보안 관리자 규칙에서 + 추가를 선택합니다.
보안 규칙을 정의하는 데 필요한 정보를 입력한 다음 추가를 선택하여 규칙 컬렉션에 규칙을 추가합니다.
설정 값 속성 규칙 이름을 입력합니다. 설명 규칙에 대한 설명을 입력합니다. 우선 순위* 규칙의 우선 순위를 결정하려면 1~4096 사이의 값을 입력합니다. 값이 낮을수록 우선 순위가 높아집니다. 작업* 트래픽을 차단하려면 거부를 선택합니다. 자세한 내용은 작업을 참조하세요. 방향* 이 규칙으로 인바운드 트래픽을 거부하려면 인바운드를 선택합니다. 프로토콜* 포트에 대한 네트워크 프로토콜을 선택합니다. Source 소스 형식 IP 주소 또는 서비스 태그의 원본 형식을 선택합니다. 원본 IP 주소 이 필드는 IP 주소의 원본 형식을 선택할 때 나타납니다. CIDR 표기법을 사용하여 IPv4 또는 IPv6 주소 또는 범위를 입력합니다. 둘 이상의 주소 또는 주소 블록을 정의할 때 쉼표를 사용하여 구분합니다. 이 예제에서는 공백으로 둡니다. 원본 서비스 태그 이 필드는 서비스 태그의 원본 형식을 선택할 때 나타납니다. 원본으로 지정하려는 서비스에 대한 서비스 태그를 선택합니다. 지원되는 태그 목록은 사용 가능한 서비스 태그를 참조하세요. 원본 포트 단일 포트 번호 또는 (1024-65535)와 같은 포트 범위를 입력합니다. 둘 이상의 포트 또는 포트 범위를 정의할 때 쉼표를 사용하여 구분합니다. 포트를 지정하려면 *를 입력합니다. 이 예제에서는 공백으로 둡니다. 대상 대상 형식 IP 주소 또는 서비스 태그 중 대상 형식을 선택합니다. 대상 IP 주소 IP 주소의 대상 형식을 선택하면 이 필드가 나타납니다. CIDR 표기법을 사용하여 IPv4 또는 IPv6 주소 또는 범위를 입력합니다. 둘 이상의 주소 또는 주소 블록을 정의할 때 쉼표를 사용하여 구분합니다. 대상 서비스 태그 서비스 태그의 대상 형식을 선택하면 이 필드가 나타납니다. 대상으로 지정하려는 서비스에 대한 서비스 태그를 선택합니다. 지원되는 태그 목록은 사용 가능한 서비스 태그를 참조하세요. 대상 포트 단일 포트 번호 또는 (1024-65535)와 같은 포트 범위를 입력합니다. 둘 이상의 포트 또는 포트 범위를 정의할 때 쉼표를 사용하여 구분합니다. 포트를 지정하려면 *를 입력합니다. 이 예제에서는 3389를 입력합니다. 규칙 컬렉션에 더 많은 규칙을 추가하려면 1~3단계를 다시 반복합니다.
만들려는 모든 규칙에 만족하면 추가를 선택하여 보안 관리자 구성에 규칙 컬렉션을 추가합니다.
그런 다음, 검토 + 만들기 및 만들기를 선택하여 보안 구성을 완료합니다.
네트워크 트래픽을 차단하는 보안 관리자 구성 배포
이 섹션에서 만든 규칙은 보안 관리자 구성을 배포할 때 적용됩니다.
설정에서 배포를 선택한 다음, 구성 배포를 선택합니다.
목표 상태에 보안 관리자 포함 확인란을 선택하고 드롭다운 메뉴의 마지막 섹션에서 만든 보안 구성을 선택합니다. 그런 다음, 이 구성을 배포할 지역을 선택합니다.
다음 및 배포를 선택하여 보안 관리자 구성을 배포합니다.
트래픽 예외 규칙에 대한 네트워크 그룹 만들기
모든 VNet에서 트래픽이 차단된 경우 특정 가상 네트워크에 대한 트래픽을 허용하려면 예외가 필요합니다. 다른 보안 관리 규칙에서 제외해야 하는 VNet에 대해 특별히 네트워크 그룹을 만듭니다.
- 가상 네트워크 관리자에서 설정 아래의 네트워크 그룹을 선택합니다.
- + 만들기를 선택하고 애플리케이션 네트워크 그룹의 이름을 입력한 다음 추가를 선택합니다.
- 동적 멤버 자격 정의에서 정의를 선택합니다.
- 애플리케이션 가상 네트워크에 대한 트래픽을 허용하는 값을 입력하거나 선택합니다.
- 리소스 미리 보기를 선택하여 포함된 효과적인 Virtual Network를 검토하고 닫기를 선택합니다.
- 저장을 선택합니다.
트래픽 예외 보안 관리자 규칙 및 컬렉션 만들기
이 섹션에서는 예외로 정의한 가상 네트워크의 하위 집합에 대한 고위험 트래픽을 허용하는 새 규칙 컬렉션 및 보안 관리자 규칙을 만듭니다. 다음으로, 기존 보안 관리자 구성에 추가합니다.
Important
보안 관리자 규칙이 애플리케이션 가상 네트워크에 대한 트래픽을 허용하려면 트래픽을 차단하는 기존 규칙보다 우선 순위를 낮은 숫자로 설정해야 합니다.
예를 들어, SSH를 차단하는 모든 네트워크 규칙의 우선 순위는 10이므로 허용 규칙의 우선 순위는 1~9여야 합니다.
- 가상 네트워크 관리자에서 구성을 선택하고 보안 구성을 선택합니다.
- 설정에서 규칙 컬렉션을 선택한 다음 + 만들기를 선택하여 새 규칙 컬렉션을 만듭니다.
- 규칙 컬렉션 추가 페이지에서 애플리케이션 규칙 컬렉션의 이름을 입력하고 만든 애플리케이션 네트워크 그룹을 선택합니다.
- 보안 관리 규칙에서 + 추가를 선택합니다.
- 애플리케이션 네트워크 그룹에 대한 특정 네트워크 트래픽을 허용하는 값을 입력하거나 선택하고 완료되면 추가를 선택합니다.
- 예외가 필요한 모든 트래픽에 대해 규칙 추가 프로세스를 반복합니다.
- 완료되면 저장을 선택합니다.
예외 규칙을 사용하여 보안 관리자 구성 다시 배포
새 규칙 컬렉션을 적용하려면 규칙 컬렉션을 추가하여 수정된 보안 관리자 구성을 다시 배포합니다.
- 가상 네트워크 관리자에서 구성을 선택합니다.
- 보안 관리자 구성을 선택하고 배포를 선택합니다.
- 배포 구성 페이지에서 배포를 받는 모든 대상 지역을 선택하고
- 다음 및 배포를 선택합니다.