보안 그룹Security groups

Azure 가상 네트워크의 Azure 리소스와 네트워크 보안 그룹이 주고 받는 네트워크 트래픽을 필터링할 수 있습니다.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. 네트워크 보안 그룹에는 여러 종류의 Azure 리소스에서 오는 인바운드 트래픽 또는 이러한 리소스로 나가는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙이 포함됩니다.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. 가상 네트워크에 배포하고 네트워크 보안 그룹을 연결할 수 있는 Azure 리소스에 대한 자세한 내용은 Azure 서비스용 가상 네트워크 통합을 참조하세요.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. 규칙마다 원본 및 대상, 포트, 프로토콜을 지정할 수 있습니다.For each rule, you can specify source and destination, port, and protocol.

이 문서에서는 네트워크 보안 그룹을 효과적으로 사용할 수 있도록 그 개념에 대해 설명합니다.This article explains network security group concepts, to help you use them effectively. 네트워크 보안 그룹을 만들어 본 경험이 전혀 없는 경우 빠른 자습서를 완료하여 직접 경험해 볼 수 있습니다.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. 네트워크 보안 그룹에 익숙하고 네트워크 보안 그룹을 관리해야 하는 경우 네트워크 보안 그룹 관리를 참조하세요.If you're familiar with network security groups and need to manage them, see Manage a network security group. 통신에 문제가 있고 네트워크 보안 그룹 문제를 해결해야 하는 경우 가상 머신 네트워크 트래픽 필터 문제 진단을 참조하세요.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. 네트워크 보안 그룹 흐름 로그를 사용하도록 설정하면 네트워크 보안 그룹이 연결된 리소스의 네트워크 트래픽을 분석할 수 있습니다.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

보안 규칙Security rules

네트워크 보안 그룹은 Azure 구독 제한 내에서 필요한 만큼 0개 또는 많은 규칙을 포함합니다.A network security group contains zero, or as many rules as desired, within Azure subscription limits. 각 규칙은 다음 속성을 지정합니다.Each rule specifies the following properties:

속성Property 설명Explanation
이름Name 네트워크 보안 그룹 내에서 고유한 이름입니다.A unique name within the network security group.
PriorityPriority 100~4096 사이의 숫자입니다.A number between 100 and 4096. 낮은 번호의 우선 순위가 더 높기 때문에 규칙은 낮은 번호가 높은 번호보다 먼저 처리되는 우선 순위 순서로 처리됩니다.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. 트래픽이 규칙과 일치하면 처리가 중지됩니다.Once traffic matches a rule, processing stops. 따라서 우선 순위가 높은 규칙과 동일한 특성을 가진 우선 순위가 낮은 규칙(높은 번호)은 처리되지 않습니다.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
원본 또는 대상Source or destination 아무 또는 개별 IP 주소, CIDR(클래스 없는 도메인 간 라우팅) 블록(예: 10.0.0.0/24), 서비스 태그 또는 애플리케이션 보안 그룹입니다.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Azure 리소스의 주소를 지정하는 경우 리소스에 할당된 개인 IP 주소를 지정하세요.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. 네트워크 보안 그룹은 Azure가 공용 IP 주소를 인바운드 트래픽용 개인 IP 주소로 변환한 후에, 그리고 Azure가 개인 IP 주소를 아웃바운드 트래픽용 공용 IP 주소로 변환하기 전에 처리됩니다.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Azure IP 주소에 대해 자세히 알아보세요.Learn more about Azure IP addresses. 범위, 서비스 태그 또는 애플리케이션 보안 그룹을 지정하면 더 적은 보안 규칙을 만들어도 됩니다.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. 규칙에서 여러 개별 IP 주소와 범위를 지정하는 기능(여러 서비스 태그 또는 애플리케이션 그룹을 지정할 수 없음)은 보강된 보안 규칙이라고 합니다.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. 보강된 보안 규칙은 Resource Manager 배포 모델을 통해 만들어진 네트워크 보안 그룹에서만 만들 수 있습니다.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. 클래식 배포 모델을 통해 만든 네트워크 보안 그룹에서는 여러 개의 IP 주소 및 IP 주소 범위를 지정할 수 없습니다.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Azure 배포 모델에 대해 자세히 알아보세요.Learn more about Azure deployment models.
프로토콜Protocol TCP, UDP, ICMP 또는 Any입니다.TCP, UDP, ICMP or Any.
DirectionDirection 규칙이 인바운드 또는 아웃바운드 트래픽에 적용되는지 여부입니다.Whether the rule applies to inbound, or outbound traffic.
포트 범위Port range 개별 포트나 포트의 범위를 지정할 수 있습니다.You can specify an individual or range of ports. 예를 들어 80 또는 10000-10005과 같이 지정할 수 있습니다.For example, you could specify 80 or 10000-10005. 범위를 지정하면 더 적은 보안 규칙을 만들어도 됩니다.Specifying ranges enables you to create fewer security rules. 보강된 보안 규칙은 Resource Manager 배포 모델을 통해 만들어진 네트워크 보안 그룹에서만 만들 수 있습니다.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. 클래식 배포 모델을 통해 만든 네트워크 보안 그룹에서는 동일한 보안 규칙에 여러 개의 포트 또는 포트 범위를 지정할 수 없습니다.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
동작Action 허용 또는 거부Allow or deny

네트워크 보안 그룹 보안 규칙은 5 튜플 정보(원본, 원본 포트, 대상, 대상 포트 및 프로토콜)를 사용하는 우선 순위를 통해 평가되어 트래픽을 허용하거나 거부합니다.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. 기존 연결에 대한 흐름 레코드가 만들어집니다.A flow record is created for existing connections. 통신은 흐름 레코드의 연결 상태에 따라 허용 또는 거부됩니다.Communication is allowed or denied based on the connection state of the flow record. 흐름 레코드는 네트워크 보안 그룹의 상태 저장을 허용합니다.The flow record allows a network security group to be stateful. 예를 들어 포트 80을 통해 모든 주소에 대한 아웃바운드 보안 규칙을 지정하는 경우 아웃바운드 트래픽에 대한 응답에 인바운드 보안 규칙을 지정하지 않아도 됩니다.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. 통신이 외부에서 시작된 경우 인바운드 보안 규칙을 지정하기만 하면 됩니다.You only need to specify an inbound security rule if communication is initiated externally. 반대의 경우도 마찬가지입니다.The opposite is also true. 포트를 통해 인바운드 트래픽이 허용되는 경우 포트를 통해 트래픽에 응답하도록 아웃바운드 보안 규칙을 지정하지 않아도 됩니다.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. 흐름을 사용하는 보안 규칙을 제거해도 기존 연결이 중단되지 않을 수 있습니다.Existing connections may not be interrupted when you remove a security rule that enabled the flow. 연결이 중단되고 몇 분 이상 어느 방향으로도 트래픽이 흐르지 않으면 트래픽 흐름이 중단됩니다.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

한 네트워크 보안 그룹에 만들 수 있는 보안 규칙 수에는 제한이 있습니다.There are limits to the number of security rules you can create in a network security group. 자세한 내용은 Azure 제한을 참조하세요.For details, see Azure limits.

보강된 보안 규칙Augmented security rules

보강된 보안 규칙은 가상 네트워크에 대한 보안 정의를 간소화하여 더 적은 규칙으로 크고 복잡한 네트워크 보안 정책을 정의할 수 있도록 합니다.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. 여러 포트, 여러 명시적 IP 주소 및 범위를 이해하기 쉬운 단일 보안 규칙으로 결합할 수 있습니다.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. 규칙의 원본, 대상 및 포트 필드에서 보강된 규칙을 사용합니다.Use augmented rules in the source, destination, and port fields of a rule. 보안 규칙 정의를 간단히 유지 관리하려면 보강된 보안 규칙을 서비스 태그 또는 애플리케이션 보안 그룹과 결합합니다.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. 한 규칙에서 지정할 수 있는 주소, 범위 및 포트 수가 제한됩니다.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. 자세한 내용은 Azure 제한을 참조하세요.For details, see Azure limits.

서비스 태그Service tags

서비스 태그는 보안 규칙 생성에 대한 복잡성을 최소화할 수 있는 IP 주소 접두사의 그룹을 나타냅니다.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. 고유한 서비스 태그를 직접 만들거나 태그 내에 포함된 IP 주소를 지정할 수 없습니다.You cannot create your own service tag, nor specify which IP addresses are included within a tag. Microsoft에서는 서비스 태그에서 압축한 주소 접두사를 관리하고 주소를 변경하는 대로 서비스 태그를 자동으로 업데이트합니다.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다.You can use service tags in place of specific IP addresses when creating security rules.

다음 서비스 태그는 네트워크 보안 그룹 규칙에서 사용할 수 있습니다.The following service tags are available for use in network security groups rules. 끝에 별표가 있는 서비스 태그 (예: AzureCloud *)를 Azure 방화벽 네트워크 규칙에서 사용할 수도 있습니다.Service tags with asterisk at the end (i.e. AzureCloud*) can also be used in Azure Firewall network rules.

  • Microsoft.apimanagement* (리소스 관리자에만 해당): 이 태그는 APIM 전용 배포에 대 한 관리 트래픽의 주소 접두사를 나타냅니다.ApiManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for APIM dedicated deployments. 값으로 ApiManagement를 지정하는 경우 트래픽은 ApiManagement에 대해 허용되거나 거부됩니다.If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. 이 태그는 인바운드/아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for inbound/outbound security rule.
  • AppService* (리소스 관리자에만 해당): 이 태그는 Azure AppService 서비스의 주소 접두사를 나타냅니다.AppService* (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. 값으로 AppService를 지정하는 경우 트래픽은 AppService에 대해 허용되거나 거부됩니다.If you specify AppService for the value, traffic is allowed or denied to AppService. 특정 지역에서만 AppService 액세스를 허용하려면 다음과 같은 AppService.[지역 이름] 형식으로 지역을 지정할 수 있습니다.If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name]. 이 태그는 WebApps 프런트 엔드 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule to WebApps frontends.
  • AppServiceManagement* (리소스 관리자에만 해당): 이 태그는 전용 배포 App Service Environment에 대 한 관리 트래픽의 주소 접두사를 나타냅니다.AppServiceManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for App Service Environment dedicated deployments. 값으로 AppServiceManagement를 지정하는 경우 트래픽은 AppServiceManagement에 대해 허용되거나 거부됩니다.If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. 이 태그는 인바운드/아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for inbound/outbound security rule.
  • AzureActiveDirectory* (리소스 관리자에만 해당): 이 태그는 AzureActiveDirectory 서비스의 주소 접두사를 나타냅니다.AzureActiveDirectory* (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. 값으로 AzureActiveDirectory를 지정하는 경우 트래픽은 AzureActiveDirectory에 대해 허용되거나 거부됩니다.If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • AzureActiveDirectoryDomainServices* (리소스 관리자에만 해당): 이 태그는 전용 배포 Azure Active Directory Domain Services에 대 한 관리 트래픽의 주소 접두사를 나타냅니다.AzureActiveDirectoryDomainServices* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Active Directory Domain Services dedicated deployments. 값에 대해 AzureActiveDirectoryDomainServices 를 지정 하는 경우 AzureActiveDirectoryDomainServices에 대 한 트래픽이 허용 되거나 거부 됩니다.If you specify AzureActiveDirectoryDomainServices for the value, traffic is allowed or denied to AzureActiveDirectoryDomainServices. 이 태그는 인바운드/아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for inbound/outbound security rule.
  • Azurebackup* (리소스 관리자에만 해당): 이 태그는 AzureBackup 서비스의 주소 접두사를 나타냅니다.AzureBackup* (Resource Manager only): This tag denotes the address prefixes of the AzureBackup service. 값에 대해 Azurebackup 을 지정 하는 경우 트래픽은 azurebackup에 대해 허용 되거나 거부 됩니다.If you specify AzureBackup for the value, traffic is allowed or denied to AzureBackup. 이 태그는 StorageAzureActiveDirectory 태그에 종속 됩니다.This tag has a dependency on the Storage and AzureActiveDirectory tags. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • Azurecloud* (리소스 관리자에만 해당): 이 태그는 모든 데이터 센터 공용 IP 주소를 포함한 Azure에 대한 IP 주소 공간을 나타냅니다.AzureCloud* (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. 값으로 AzureCloud를 지정하는 경우 트래픽은 Azure 공용 IP 주소에 대해 허용되거나 거부됩니다.If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. 특정 지역에서만 azurecloud에 대 한 액세스를 허용 하려면 azurecloud 형식으로 지역을 지정할 수 있습니다. [지역 이름].If you only want to allow access to AzureCloud in a specific region, you can specify the region in the following format AzureCloud.[region name]. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • Azureconnectors* (리소스 관리자에만 해당): 이 태그는 프로브/백 엔드 연결에 대 한 Logic Apps 커넥터의 주소 접두사를 나타냅니다.AzureConnectors* (Resource Manager only): This tag denotes the address prefixes of the Logic Apps connectors for probe/backend connections. 값으로 AzureConnectors를 지정하는 경우 트래픽은 AzureConnectors에 대해 허용되거나 거부됩니다.If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. 특정 지역에서만 AzureConnectors 액세스를 허용하려면 AzureConnectors.[지역 이름] 형식으로 지역을 지정하면 됩니다.If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name]. 이 태그는 인바운드 보안 규칙에 권장 됩니다.This tag is recommended for inbound security rule.
  • AzureContainerRegistry* (리소스 관리자에만 해당): 이 태그는 Azure Container Registry 서비스의 주소 접두사를 나타냅니다.AzureContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. 값으로 AzureContainerRegistry를 지정하는 경우 트래픽은 AzureContainerRegistry에 대해 허용되거나 거부됩니다.If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. 특정 지역에서만 AzureContainerRegistry 액세스를 허용하려면 AzureContainerRegistry.[지역 이름] 형식으로 지역을 지정하면 됩니다.If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name]. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • Microsoft.azurecosmosdb* (리소스 관리자에만 해당): 이 태그는 Azure Cosmos Database 서비스의 주소 접두사를 나타냅니다.AzureCosmosDB* (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. 값으로 AzureCosmosDB를 지정하는 경우 트래픽은 AzureCosmosDB에 대해 허용되거나 거부됩니다.If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. 특정 지역에서만 AzureCosmosDB 액세스를 허용하려면 AzureCosmosDB.[region name] 형식으로 지역을 지정하면 됩니다.If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name]. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • AzureDataLake* (리소스 관리자에만 해당): 이 태그는 Azure Data Lake 서비스의 주소 접두사를 나타냅니다.AzureDataLake* (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. 값으로 AzureDataLake를 지정하는 경우 트래픽은 AzureDataLake에 대해 허용되거나 거부됩니다.If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • Azurekeyvault* (리소스 관리자에만 해당): 이 태그는 Azure KeyVault 서비스의 주소 접두사를 나타냅니다.AzureKeyVault* (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. 값으로 AzureKeyVault를 지정하는 경우 트래픽은 AzureKeyVault에 대해 허용되거나 거부됩니다.If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. 특정 지역에서만 AzureKeyVault 액세스를 허용하려면 AzureKeyVault.[region name] 형식으로 지역을 지정하면 됩니다.If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name]. 이 태그는 AzureActiveDirectory 태그에 종속 됩니다.This tag has dependency on the AzureActiveDirectory tag. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • AzureLoadBalancer(Resource Manager)(클래식의 경우 AZURE_LOADBALANCER): Azure의 인프라 부하 분산 디바이스를 나타내는 기본 태그입니다.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. 태그는 Azure의 상태 프로브가 시작되는 호스트의 가상 IP 주소(168.63.129.16)로 변환됩니다.The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Azure Load Balancer를 사용하지 않는 경우 이 규칙을 재정의할 수 있습니다.If you are not using the Azure load balancer, you can override this rule.
  • AzureMachineLearning* (리소스 관리자에만 해당): 이 태그는 AzureMachineLearning 서비스의 주소 접두사를 나타냅니다.AzureMachineLearning* (Resource Manager only): This tag denotes the address prefixes of the AzureMachineLearning service. 값으로 AzureMachineLearning를 지정하는 경우 AzureMachineLearning에 대한 트래픽이 허용 또는 거부됩니다.If you specify AzureMachineLearning for the value, traffic is allowed or denied to AzureMachineLearning. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • Azuremonitor* (리소스 관리자에만 해당): 이 태그는 Log Analytics, App Insights, AzMon 및 사용자 지정 메트릭 (4Gb 끝점)의 주소 접두사를 나타냅니다.AzureMonitor* (Resource Manager only): This tag denotes the address prefixes of the Log Analytics, App Insights, AzMon, and custom metrics (GiG endpoints). 값으로 AzureMonitor를 지정하는 경우 AzureMonitor에 대한 트래픽이 허용 또는 거부됩니다.If you specify AzureMonitor for the value, traffic is allowed or denied to AzureMonitor. Log Analytics의 경우이 태그는 저장소 태그에 종속 됩니다.For Log Analytics, this tag has dependency on the Storage tag. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • AzurePlatformDNS (리소스 관리자에만 해당): 이 태그는 기본 인프라 서비스인 DNS를 나타냅니다.AzurePlatformDNS (Resource Manager only): This tag denotes DNS which is a basic infrastructure service. 값에 대해 AzurePlatformDNS 를 지정 하는 경우 DNS에 대 한 기본 Azure platform 고려 사항을 사용 하지 않도록 설정할 수 있습니다.If you specify AzurePlatformDNS for the value, you can disable the default Azure platform consideration for DNS. 이 태그를 사용 하는 데 주의 하세요.Please take caution in using this tag. 이 태그를 사용 하기 전에 테스트를 수행 하는 것이 좋습니다.Testing is recommended before using this tag.
  • AzurePlatformIMDS (리소스 관리자에만 해당): 이 태그는 기본 인프라 서비스인 IMDS를 나타냅니다.AzurePlatformIMDS (Resource Manager only): This tag denotes IMDS which is a basic infrastructure service. 값에 대해 AzurePlatformIMDS 를 지정 하는 경우 imds에 대 한 기본 Azure platform 고려 사항을 사용 하지 않도록 설정할 수 있습니다.If you specify AzurePlatformIMDS for the value, you can disable the default Azure platform consideration for IMDS. 이 태그를 사용 하는 데 주의 하세요.Please take caution in using this tag. 이 태그를 사용 하기 전에 테스트를 수행 하는 것이 좋습니다.Testing is recommended before using this tag.
  • AzurePlatformLKM (리소스 관리자에만 해당): 이 태그는 Windows 라이선스 또는 키 관리 서비스를 나타냅니다.AzurePlatformLKM (Resource Manager only): This tag denotes Windows licensing or key management service. 값에 대해 AzurePlatformLKM 를 지정 하는 경우 라이선스에 대 한 기본 Azure platform 고려 사항을 사용 하지 않도록 설정할 수 있습니다.If you specify AzurePlatformLKM for the value, you can disable the default Azure platform consideration for licensing. 이 태그를 사용 하는 데 주의 하세요.Please take caution in using this tag. 이 태그를 사용 하기 전에 테스트를 수행 하는 것이 좋습니다.Testing is recommended before using this tag.
  • AzureTrafficManager* (리소스 관리자에만 해당): 이 태그는 Azure Traffic Manager 프로브 IP 주소에 대한 IP 주소 공간을 나타냅니다.AzureTrafficManager* (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. Traffic Manager 프로브 IP 주소에 대한 자세한 내용은 Azure Traffic Manager FAQ에서 찾을 수 있습니다.More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ. 이 태그는 인바운드 보안 규칙에 권장 됩니다.This tag is recommended for inbound security rule.
  • Batchnodemanagement* (리소스 관리자에만 해당): 이 태그는 전용 배포 Azure Batch에 대 한 관리 트래픽의 주소 접두사를 나타냅니다.BatchNodeManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Batch dedicated deployments. 값에 대해 Batchnodemanagement 를 지정 하면 일괄 처리 서비스에서 노드를 계산 하는 트래픽이 허용 되거나 거부 됩니다.If you specify BatchNodeManagement for the value, traffic is allowed or denied from the Batch service to compute nodes. 이 태그는 인바운드/아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for inbound/outbound security rule.
  • CognitiveServicesManagement (리소스 관리자에만 해당): 이 태그는 Cognitive Services에 대 한 트래픽의 주소 접두사를 나타냅니다.CognitiveServicesManagement (Resource Manager only): This tag denotes the address prefixes of traffic for Cognitive Services. 값에 대해 CognitiveServicesManagement 를 지정 하는 경우 CognitiveServicesManagement에 대 한 트래픽이 허용 되거나 거부 됩니다.If you specify CognitiveServicesManagement for the value, traffic is allowed or denied to CognitiveServicesManagement. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • Dynamics365ForMarketingEmail (리소스 관리자에만 해당): 이 태그는 Dynamics 365 마케팅 메일 서비스의 주소 접두사를 나타냅니다.Dynamics365ForMarketingEmail (Resource Manager only): This tag denotes the address prefixes of the marketing email service of Dynamics 365. 값에 대해 Dynamics365ForMarketingEmail 를 지정 하는 경우 Dynamics365ForMarketingEmail에 대 한 트래픽이 허용 되거나 거부 됩니다.If you specify Dynamics365ForMarketingEmail for the value, traffic is allowed or denied to Dynamics365ForMarketingEmail. 특정 지역에서만 Dynamics365ForMarketingEmail에 대 한 액세스를 허용 하려는 경우 Dynamics365ForMarketingEmail 형식으로 지역을 지정할 수 있습니다. [지역 이름].If you only want to allow access to Dynamics365ForMarketingEmail in a specific region, you can specify the region in the following format Dynamics365ForMarketingEmail.[region name].
  • EventHub* (리소스 관리자에만 해당): 이 태그는 Azure EventHub 서비스의 주소 접두사를 나타냅니다.EventHub* (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. 값으로 EventHub를 지정하는 경우 트래픽은 EventHub에 대해 허용되거나 거부됩니다.If you specify EventHub for the value, traffic is allowed or denied to EventHub. 특정 지역에서만 EventHub 액세스를 허용하려면 다음과 같은 EventHub.[지역 이름] 형식으로 지역을 지정할 수 있습니다.If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name]. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • GatewayManager(Resource Manager만 해당): 이 태그는 VPN/App gateway 전용 배포에 대 한 관리 트래픽의 주소 접두사를 나타냅니다.GatewayManager (Resource Manager only): This tag denotes the address prefixes of the management traffic for VPN/App Gateways dedicated deployments. 값으로 GatewayManager를 지정하는 경우 트래픽은 GatewayManager에 대해 허용되거나 거부됩니다.If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. 이 태그는 인바운드 보안 규칙에 권장 됩니다.This tag is recommended for inbound security rule.
  • Internet(Resource Manager)(클래식의 경우 INTERNET): 이 태그는 가상 네트워크 외부에 있으며 공용 인터넷으로 연결할 수 있는 IP 주소 공간을 나타냅니다.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. 주소 범위에는 Azure에서 소유하는 공용 IP 주소 공간이 포함됩니다.The address range includes the Azure owned public IP address space.
  • MicrosoftContainerRegistry* (리소스 관리자에만 해당): 이 태그는 Microsoft Container Registry 서비스의 주소 접두사를 나타냅니다.MicrosoftContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. 값으로 MicrosoftContainerRegistry를 지정하는 경우 트래픽은 MicrosoftContainerRegistry에 대해 허용되거나 거부됩니다.If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. 특정 지역에서만 MicrosoftContainerRegistry 액세스를 허용하려면 MicrosoftContainerRegistry.[지역 이름] 형식으로 지역을 지정하면 됩니다.If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name]. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • ServiceBus* (리소스 관리자에만 해당): 이 태그는 프리미엄 서비스 계층을 사용 하 여 Azure ServiceBus 서비스의 주소 접두사를 나타냅니다.ServiceBus* (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service using the Premium service tier. 값으로 ServiceBus를 지정하는 경우 트래픽은 ServiceBus에 대해 허용되거나 거부됩니다.If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. 특정 지역에서만 ServiceBus 액세스를 허용하려면 다음과 같은 ServiceBus.[지역 이름] 형식으로 지역을 지정할 수 있습니다.If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name]. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • ServiceFabric* (리소스 관리자에만 해당): 이 태그는 ServiceFabric 서비스의 주소 접두사를 나타냅니다.ServiceFabric* (Resource Manager only): This tag denotes the address prefixes of the ServiceFabric service. 값으로 ServiceFabric을 지정하는 경우 ServiceFabric에 대한 트래픽이 허용 또는 거부됩니다.If you specify ServiceFabric for the value, traffic is allowed or denied to ServiceFabric. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • Sql* (리소스 관리자에만 해당): 이 태그는 Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL 및 Azure SQL Data Warehouse 서비스의 주소 접두사를 나타냅니다.Sql* (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and Azure SQL Data Warehouse services. 값의 Sql을 지정하는 경우 트래픽은 Sql에 대해 허용되거나 거부됩니다.If you specify Sql for the value, traffic is allowed or denied to Sql. 특정 지역에서만 sql에 대 한 액세스를 허용 하려는 경우에는 다음 형식으로 지역을 지정할 수 있습니다. [region name].If you only want to allow access to Sql in a specific region, you can specify the region in the following format Sql.[region name]. 태그는 서비스의 특정 인스턴스가 아니라 서비스를 나타냅니다.The tag represents the service, but not specific instances of the service. 예를 들어 태그는 특정 SQL 데이터베이스 또는 서버가 아닌 Azure SQL Database 서비스를 나타냅니다.For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • Sqlmanagement* (리소스 관리자에만 해당): 이 태그는 SQL 전용 배포에 대 한 관리 트래픽의 주소 접두사를 나타냅니다.SqlManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for SQL dedicated deployments. 값으로 Sqlmanagement 를 지정 하는 경우에는 sqlmanagement에 대해 트래픽이 허용 되거나 거부 됩니다.If you specify SqlManagement for the value, traffic is allowed or denied to SqlManagement. 이 태그는 인바운드/아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for inbound/outbound security rule.
  • 저장소* (리소스 관리자에만 해당): 이 태그는 Azure Storage 서비스의 IP 주소 공간을 나타냅니다.Storage* (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. 값의 스토리지를 지정하는 경우 트래픽은 스토리지에 대해 허용되거나 거부됩니다.If you specify Storage for the value, traffic is allowed or denied to storage. 특정 지역의저장소에 대 한 액세스만 허용 하려는 경우 다음 형식 저장소에서 지역을 지정할 수 있습니다. [지역 이름].If you only want to allow access to storage in a specific region, you can specify the region in the following format Storage.[region name]. 태그는 서비스의 특정 인스턴스가 아니라 서비스를 나타냅니다.The tag represents the service, but not specific instances of the service. 예를 들어 태그는 특정 Azure Storage 계정이 아닌 Azure Storage 서비스를 나타냅니다.For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. 이 태그는 아웃 바운드 보안 규칙에 권장 됩니다.This tag is recommended for outbound security rule.
  • VirtualNetwork(Resource Manager)(클래식의 경우 VIRTUAL_NETWORK): 이 태그에는 가상 네트워크 주소 공간 (가상 네트워크에 대해 정의 된 모든 CIDR 범위), 연결 된 모든 온-프레미스 주소 공간, 피어 링 가상 네트워크 또는 가상 네트워크 (가상 네트워크 게이트웨이에 연결 된 가상 네트워크)가 포함 됩니다. 사용자 정의 경로에 사용 되는 호스트 및 주소 접두사의 가상 IP 주소입니다.VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, peered virtual networks or virtual network connected to a virtual network gateway, the virtual IP address of the host and address prefixes used on user defined routes. 이 태그에는 기본 경로가 포함 될 수 있습니다.Be aware that this tag may contain default route.

참고

Azure 서비스의 서비스 태그는 사용되는 특정 클라우드의 주소 접두사를 나타냅니다.Service tags of Azure services denotes the address prefixes from the specific cloud being used.

참고

Azure Storage 또는 Azure SQL Database와 같은 서비스에 가상 네트워크 서비스 엔드포인트를 구현하는 경우 Azure는 서비스의 가상 네트워크 서브넷에 경로를 추가합니다.If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. 경로의 주소 접두사는 해당하는 서비스 태그와 동일한 주소 접두사 또는 CIDR 범위입니다.The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

온-프레미스의 서비스 태그Service tags in on-premises

온-프레미스 방화벽을 다운로드 하 여 온-프레미스 방화벽과 통합할 수 있습니다. 여기서는 Azure 공용, 미국 정부, 중국독일 클라우드에 대 한 다음 주간 게시에서 접두사 세부 정보를 포함 하는 서비스 태그 목록을 볼 수 있습니다.You can download and integrate with an on-premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

서비스 태그 검색 API (공개 미리 보기)- REST, Azure PowerShellAzure CLI를 사용 하 여 프로그래밍 방식으로이 정보를 검색할 수도 있습니다.You can also programmatically retrieve this information using the Service Tag Discovery API (Public Preview) - REST, Azure PowerShell, and Azure CLI.

참고

Azure 공용, 중국독일 클라우드의 주간 게시 (이전 버전)는 2020 년 6 월 30 일에 사용 중지 됩니다.Following weekly publications (old version) for Azure Public, China, and Germany clouds will be deprecated by June 30, 2020. 위에서 설명한 대로 업데이트 된 게시를 사용 하 여 시작 하세요.Please start using the updated publications as described above.

기본 보안 규칙Default security rules

Azure는 사용자가 만드는 각 네트워크 보안 그룹에 다음과 같은 기본 규칙을 만듭니다.Azure creates the following default rules in each network security group that you create:

인바운드Inbound

AllowVNetInBoundAllowVNetInBound

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 임의의 값Any AllowAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 임의의 값Any AllowAllow

DenyAllInboundDenyAllInbound

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 임의의 값Any 거부Deny

아웃바운드Outbound

AllowVnetOutBoundAllowVnetOutBound

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 임의의 값Any AllowAllow

AllowInternetOutBoundAllowInternetOutBound

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 인터넷Internet 0-655350-65535 임의의 값Any AllowAllow

DenyAllOutBoundDenyAllOutBound

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 임의의 값Any 거부Deny

원본대상 열에서 VirtualNetwork, AzureLoadBalancer인터넷은 IP 주소가 아닌 서비스 태그입니다.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. 프로토콜 열에는 TCP, UDP 및 ICMP 가 포함 됩니다 .In the protocol column, Any encompasses TCP, UDP, and ICMP. 규칙을 만들 때 TCP, UDP, ICMP 또는 Any를 지정할 수 있습니다.When creating a rule, you can specify TCP, UDP, ICMP or Any. 소스대상 열에서 0.0.0.0/0은 모든 주소를 나타냅니다.0.0.0.0/0 in the Source and Destination columns represents all addresses. Azure Portal, Azure CLI 또는 Powershell과 같은 클라이언트는이 식에 * 또는 any를 사용할 수 있습니다.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

기본 규칙을 제거할 수 없지만 더 높은 우선 순위의 규칙을 만들어서 재정의할 수 있습니다.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

애플리케이션 보안 그룹Application security groups

애플리케이션 보안 그룹을 사용하면 네트워크 보안을 애플리케이션 구조의 자연 확장으로 구성하여 가상 머신을 그룹화하고 해당 그룹에 따라 네트워크 보안 정책을 정의할 수 있습니다.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. 명시적 IP 주소를 수동으로 유지 관리하지 않고 대규모 보안 정책을 재사용할 수 있습니다.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. 플랫폼은 명시적 IP 주소 및 여러 규칙 집합의 복잡성을 처리하여 비즈니스 논리에 집중할 수 있도록 합니다.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. 애플리케이션 보안 그룹에 대해 보다 정확하게 이해하려면 다음 예제를 잘 살펴보세요.To better understand application security groups, consider the following example:

애플리케이션 보안 그룹

이전 그림에서 NIC1NIC2AsgWeb 애플리케이션 보안 그룹의 멤버입니다.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3AsgLogic 애플리케이션 보안 그룹의 멤버입니다.NIC3 is a member of the AsgLogic application security group. NIC4AsgDb 애플리케이션 보안 그룹의 멤버입니다.NIC4 is a member of the AsgDb application security group. 이 예제의 각 네트워크 인터페이스는 한 애플리케이션 보안 그룹의 멤버이긴 하지만, 네트워크 인터페이스는 Azure 제한 내에서 여러 애플리케이션 보안 그룹의 멤버가 될 수 있습니다.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. 어떤 네트워크 인터페이스에도 네트워크 보안 그룹이 연결되지 않았습니다.None of the network interfaces have an associated network security group. NSG1은 두 서브넷에 연결되었으며 다음 규칙을 포함하고 있습니다.NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

이 규칙은 인터넷에서 웹 서버로 가는 트래픽을 허용하기 위해 필요합니다.This rule is needed to allow traffic from the internet to the web servers. 인터넷의 인바운드 트래픽을 DenyAllInbound 기본 보안 규칙에서 거부하기 때문에 AsgLogic 또는 AsgDb 애플리케이션 보안 그룹에 대한 규칙을 추가하지 않아도 됩니다.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
100100 인터넷Internet * AsgWebAsgWeb 8080 TCPTCP AllowAllow

Deny-Database-AllDeny-Database-All

AllowVNetInBound 기본 보안 규칙은 동일한 가상 네트워크의 리소스 간 통신을 모두 허용하므로, 모든 리소스에서 들어오는 트래픽을 거부하려면 이 규칙이 필요합니다.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
120120 * * AsgDbAsgDb 14331433 임의의 값Any 거부Deny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

이 규칙은 AsgLogic 애플리케이션 보안 그룹에서 AsgDb 애플리케이션 보안 그룹으로 가는 트래픽을 허용합니다.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. 이 규칙의 우선 순위는 Deny-Database-All 규칙의 우선 순위보다 높습니다.The priority for this rule is higher than the priority for the Deny-Database-All rule. 결과적으로 이 규칙이 Deny-Database-All 규칙보다 먼저 처리되므로 AsgLogic 애플리케이션 보안 그룹의 트래픽은 허용되는 반면, 그 외의 트래픽은 모두 차단됩니다.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PriorityPriority 원본Source 원본 포트Source ports DestinationDestination 대상 포트Destination ports 프로토콜Protocol 액세스Access
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AllowAllow

원본 또는 대상으로 애플리케이션 보안 그룹을 지정하는 규칙은 애플리케이션 보안 그룹의 멤버인 네트워크 인터페이스에만 적용됩니다.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. 네트워크 인터페이스가 애플리케이션 보안 그룹의 멤버가 아닌 경우에는 네트워크 보안 그룹이 서브넷과 연결되어도 규칙이 네트워크 인터페이스에 적용되지 않습니다.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

애플리케이션 보안 그룹에는 다음과 같은 제약 사항이 있습니다.Application security groups have the following constraints:

  • 한 구독에 허용되는 애플리케이션 보안 그룹의 개수 제한 및 애플리케이션 보안 그룹과 관련된 기타 제한이 있습니다.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. 자세한 내용은 Azure 제한을 참조하세요.For details, see Azure limits.
  • 하나의 애플리케이션 보안 그룹을 보안 규칙의 원본 및 대상으로 지정할 수 있습니다.You can specify one application security group as the source and destination in a security rule. 원본 또는 대상에는 여러 애플리케이션 보안 그룹을 지정할 수 없습니다.You cannot specify multiple application security groups in the source or destination.
  • 애플리케이션 보안 그룹에 할당된 모든 네트워크 인터페이스는 애플리케이션 보안 그룹에 할당된 첫 번째 네트워크 인터페이스가 있는 가상 네트워크와 동일한 가상 네트워크에 있어야 합니다.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. 예를 들어 AsgWeb라는 애플리케이션 보안 그룹에 할당된 첫 번째 네트워크 인터페이스가 VNet1이라는 가상 네트워크에 있는 경우 ASGWeb에 할당되는 모든 후속 네트워크 인터페이스는 VNet1에 있어야 합니다.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. 서로 다른 가상 네트워크의 네트워크 인터페이스를 동일한 애플리케이션 보안 그룹에 추가할 수 없습니다.You cannot add network interfaces from different virtual networks to the same application security group.
  • 애플리케이션 보안 그룹을 보안 규칙의 원본 및 대상으로 지정하는 경우, 두 애플리케이션 보안 그룹의 네트워크 인터페이스는 동일한 가상 네트워크에 있어야 합니다.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. 예를 들어 AsgLogicVNet1의 네트워크 인터페이스, AsgDbVNet2의 네트워크 인터페이스가 포함되어 있는 경우 규칙에서 AsgLogic을 원본으로, AsgDb를 대상으로 할당할 수 없습니다.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. 원본 및 대상 애플리케이션 보안 그룹에 대한 모든 네트워크 인터페이스는 동일한 가상 네트워크에 있어야 합니다.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

필요한 보안 규칙 수를 최소화하고 규칙 변경을 최소화하려면 되도록이면 개별 IP 주소 또는 IP 주소 범위 대신 서비스 태그 또는 애플리케이션 보안 그룹을 사용하여 필요한 애플리케이션 보안 그룹에 대한 계획을 세우고 규칙을 만드세요.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

트래픽 평가 방법How traffic is evaluated

여러 Azure 서비스의 리소스를 한 Azure 가상 네트워크에 배포할 수 있습니다.You can deploy resources from several Azure services into an Azure virtual network. 전체 목록은 가상 네트워크에 배포할 수 있는 서비스 목록을 참조하세요.For a complete list, see Services that can be deployed into a virtual network. 가상 머신의 각 가상 네트워크 서브넷네트워크 인터페이스에 네트워크 보안 그룹을 하나 연결하거나 연결하지 않을 수 있습니다.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. 동일한 네트워크 보안 그룹을 원하는 수의 서브넷 및 네트워크 인터페이스에 연결할 수 있습니다.The same network security group can be associated to as many subnets and network interfaces as you choose.

다음 그림은 TCP 포트 80을 통해 인터넷의 네트워크 트래픽을 허용하도록 네트워크 보안 그룹을 배포하는 다양한 시나리오를 보여줍니다.The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG 처리

다음 텍스트와 함께 앞의 그림을 참조하여 Azure가 네트워크 보안 그룹에 대한 인바운드 및 아웃바운드 규칙을 처리하는 방식을 이해하세요.Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

인바운드 트래픽Inbound traffic

인바운드 트래픽의 경우 Azure는 서브넷에 연결된 네트워크 보안 그룹이 있으면 이 그룹의 규칙을 먼저 처리한 후 네트워크 인터페이스에 연결된 네트워크 보안 그룹이 있으면 이 그룹의 규칙을 처리합니다.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: NSG1Subnet1에 연결되었고 VM1Subnet1에 있으므로 NSG1의 보안 규칙이 처리됩니다.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. 포트 80 인바운드를 허용하는 규칙을 만들지 않은 이상, DenyAllInbound 기본 보안 규칙이 트래픽을 거부하고 NSG2는 트래픽을 평가하지 않습니다. 왜냐하면 NSG2가 네트워크 인터페이스에 연결되었기 때문입니다.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. NSG1에 포트 80을 허용하는 보안 규칙이 있으면 트래픽이 NSG2에 의해 처리됩니다.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. 가상 머신에 포트 80을 허용하려면 NSG1NSG2 모두 인터넷에서 포트 80을 허용하는 규칙이 있어야 합니다.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: VM2 역시 Subnet1에 있기 때문에 NSG1의 규칙이 처리됩니다.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. VM2은 네트워크 인터페이스에 연결된 네트워크 보안 그룹이 없으므로 NSG1을 통해 허용된 트래픽 또는 NSG1에 의해 거부된 트래픽을 모두 수신합니다.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. 네트워크 보안 그룹이 서브넷에 연결된 경우 동일한 서브넷의 모든 리소스에 대한 트래픽이 허용되거나 거부됩니다.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: Subnet2에 연결된 네트워크 보안 그룹이 없으므로 서브넷으로 가는 트래픽이 허용되고 NSG2에 의해 처리됩니다. NSG2VM3에 연결된 네트워크 인터페이스에 연결되었기 때문입니다.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: 네트워크 보안 그룹이 Subnet3 또는 가상 머신의 네트워크 인터페이스에 연결되지 않았기 때문에 VM4로 가는 트래픽이 허용됩니다.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. 서브넷 및 네트워크 인터페이스에 네트워크 보안 그룹이 연결되지 않으면 서브넷 및 네트워크 인터페이스를 통과하는 모든 네트워크 트래픽이 허용됩니다.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

아웃바운드 트래픽Outbound traffic

인바운드 트래픽의 경우 Azure는 네트워크 인터페이스에 연결된 네트워크 보안 그룹이 있으면 이 그룹의 규칙을 먼저 처리한 후 서브넷에 연결된 네트워크 보안 그룹이 있으면 이 그룹의 규칙을 처리합니다.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: NSG2의 보안 규칙이 처리됩니다.VM1: The security rules in NSG2 are processed. 인터넷으로 나가는 포트 80을 거부하는 보안 규칙을 만들지 않는 이상, NSG1NSG2AllowInternetOutbound 기본 보안 규칙에 트래픽을 허용합니다.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. NSG2에 포트 80을 거부하는 보안 규칙이 있으면 트래픽은 거부되고 NSG1에 의해 평가되지 않습니다.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. 두 네트워크 보안 그룹 중 어느 하나 또는 둘 모두의 가상 머신에서 포트 80을 거부하려면 규칙이 네트워크 보안 그룹에 인터넷으로 나가는 포트 80을 거부하는 있어야 합니다.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: VM2에 연결된 네트워크 인터페이스에 네트워크 보안 그룹이 연결되지 않았기 때문에 모든 트래픽이 네트워크 인터페이스를 통해 서브넷으로 전송됩니다.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. NSG1의 규칙이 처리됩니다.The rules in NSG1 are processed.
  • VM3: NSG2에 포트 80을 거부하는 보안 규칙이 있으면 트래픽이 거부됩니다.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. NSG2에 포트 80을 허용하는 보안 규칙이 있으면 포트 80에서 인터넷 아웃바운드가 허용됩니다. 네트워크 보안 그룹이 Subnet2에 연결되지 않았기 때문입니다.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: 네트워크 보안 그룹이 가상 머신에 연결된 네트워크 인터페이스 또는 Subnet3에 연결되지 않았기 때문에 VM4에서 오는 모든 트래픽이 허용됩니다.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

네트워크 인터페이스의 유효 보안 규칙을 확인하여 네트워크 인터페이스에 적용되는 집계 규칙을 쉽게 볼 수 있습니다.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Azure Network Watcher에서 IP 흐름 확인 기능을 사용하여 통신이 네트워크 인터페이스 간에 허용되는지 여부를 결정할 수도 있습니다.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. IP 흐름은 통신이 허용 또는 거부되는지, 어떤 네트워크 보안 규칙이 트래픽을 허용 또는 거부하는지 알려줍니다.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

참고

네트워크 보안 그룹은 서브넷 또는 클래식 배포 모델에 배포 된 가상 머신 및 클라우드 서비스, 리소스 관리자 배포 모델의 서브넷 또는 네트워크 인터페이스에 연결 됩니다.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Azure 배포 모델에 대해 자세히 알아보려면 Azure 배포 모델 이해를 참조하세요.To learn more about Azure deployment models, see Understand Azure deployment models.

특별한 이유가 없다면 네트워크 보안 그룹을 서브넷 또는 네트워크 인터페이스 중 한 쪽에만 연결하는 것이 좋습니다.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. 서브넷에 연결된 네트워크 보안 그룹의 규칙이 네트워크 인터페이스에 연결된 네트워크 보안 그룹의 규칙과 충돌할 수 있으므로 예기치 않은 통신 문제가 발생할 수 있습니다.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Azure 플랫폼 고려 사항Azure platform considerations

  • 호스트 노드의 가상 IP: DHCP, DNS, IMDS 및 상태 모니터링과 같은 기본 인프라 서비스는 가상화된 호스트 IP 주소 168.63.129.16 및 169.254.169.254를 통해 제공됩니다.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. 이러한 IP 주소는 Microsoft에 속하며, 이 용도로 모든 지역에서 유일하게 사용되는 가상화된 IP 주소입니다.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • 라이선싱(Key Management Service) : 가상 머신에서 실행되는 Windows 이미지는 라이선스가 필요합니다.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. 사용 허가를 위해 라이선스 요청이 이러한 쿼리를 처리하는 키 관리 서비스 호스트 서버로 전송됩니다.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. 요청은 1688 포트를 통해 아웃바운드로 수행됩니다.The request is made outbound through port 1688. 기본 경로 0.0.0.0/0 구성을 사용한 배포에 대해 이 플랫폼 규칙은 사용하지 않도록 설정됩니다.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • 부하 분산된 풀의 가상 머신: 적용되는 원본 포트와 주소 범위는 부하 분산 디바이스가 아닌 원래 컴퓨터에서 가져옵니다.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. 대상 포트와 주소 범위는 부하 분산 장치가 아닌 대상 컴퓨터에서 가져옵니다.The destination port and address range are for the destination computer, not the load balancer.

  • Azure 서비스 인스턴스: HDInsight, 애플리케이션 서비스 환경 및 Virtual Machine Scale Sets와 같은 몇 가지 Azure 서비스의 인스턴스는 가상 네트워크 서브넷에 배포됩니다.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. 가상 네트워크에 배포할 수 있는 서비스의 전체 목록은 Azure 서비스에 대한 가상 네트워크를 참조하세요.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. 리소스를 배포한 서브넷에 네트워크 보안 그룹을 적용하기 전에 각 서비스에 대한 포트 요구 사항을 잘 이해하도록 합니다.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. 서비스에 필요한 포트를 거부하는 경우 서비스가 제대로 작동하지 않습니다.If you deny ports required by the service, the service doesn't function properly.

  • 아웃바운드 이메일 보내기: 인증된 SMTP 릴레이 서비스(일반적으로 587 TCP 포트를 통해 연결되지만 종종 다른 방법도 사용)를 활용하여 Azure Virtual Machines에서 이메일을 보내는 것이 좋습니다.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. SMTP 릴레이 서비스는 타사 전자 메일 공급자에서 메시지를 거부할 가능성을 최소화하기 위해 보낸 사람 신뢰도를 특수화합니다.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. 이러한 SMTP 릴레이 서비스는 Exchange Online Protection 및 SendGrid를 포함하지만 여기에 제한되지 않습니다.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. SMTP 릴레이 서비스는 구독 유형에 관계 없이 Azure에서 제한되지 않고 사용할 수 있습니다.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    2017년 11월 15일까지 Azure 구독을 만든 경우 SMTP 릴레이 서비스를 사용할 수 있을 뿐만 아니라 TCP 포트 25를 통해 직접 전자 메일을 보낼 수 있습니다.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. 2017년 11월 15일 이후에 구독을 만든 경우 포트 25를 통해 직접 전자 메일을 보낼 수 없습니다.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. 포트 25를 통한 아웃바운드 통신 동작은 다음과 같이 구독 형식에 따라 다릅니다.The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • 기업 계약: 아웃바운드 포트 25 통신이 허용됩니다.Enterprise Agreement: Outbound port 25 communication is allowed. Azure 플랫폼의 제한 없이 가상 머신에서 외부 전자 메일 공급자로 직접 아웃바운드 전자 메일을 보낼 수 있습니다.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • 종량제: 모든 리소스에서 아웃바운드 포트 25 통신이 차단됩니다.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. 가상 머신에서 전자 메일을 외부 전자 메일 공급자로 직접 보내야 하는 경우(인증된 SMTP 릴레이를 사용하지 않음) 제한을 제거하도록 요청할 수 있습니다.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. 요청은 Microsoft의 재량에 따라 검토되고 승인되어 부패 방지 검사를 수행한 후에 허가됩니다.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. 요청하려면 기술, Virtual Network 연결, 전자 메일을 보낼 수 없습니다(SMTP/포트 25). 라는 문제 형식의 지원 사례를 엽니다.To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). 지원 사례에는 인증된 SMTP 릴레이를 통하지 않고 구독에서 메일 공급자로 직접 전자 메일을 보내야 하는 이유에 대한 세부 정보가 포함됩니다.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. 구독이 제외되는 경우 예외 날짜 이후에 만든 가상 머신만이 포트 25를 통해 아웃바운드로 통신할 수 있습니다.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure in Open, Education, BizSpark 및 평가판: 모든 리소스에서 아웃바운드 포트 25 통신이 차단됩니다.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. 요청이 허가되지 않기 때문에 제한을 제거하도록 요청할 수 없습니다.No requests to remove the restriction can be made, because requests are not granted. 가상 머신에서 이메일을 보내야 하는 경우 SMTP 릴레이 서비스를 사용해야 합니다.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • 클라우드 서비스 공급 기업: 클라우드 서비스 공급 기업을 통해 Azure 리소스를 사용하는 고객은 해당 클라우드 서비스 공급 기업과 관련된 지원 사례를 만들고, 보안 SMTP 릴레이를 사용할 수 없는 경우 대신 공급자가 차단 해제 사례를 만들도록 요청할 수 있습니다.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Azure에서 25 포트를 통해 전자 메일을 보낼 수 있도록 허용하는 경우 Microsoft는 전자 메일 공급자에서 가상 머신의 인바운드 전자 메일을 수락하도록 보장할 수 없습니다.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. 특정 공급자가 가상 머신의 메일을 거부하는 경우 메시지 배달 또는 스팸 필터링 문제를 해결하기 위해 공급자와 직접 작업하거나 인증된 SMTP 릴레이 서비스를 사용해야 합니다.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

다음 단계Next steps