암호화 요구 사항 및 Azure VPN Gateway 정보

이 문서에서는 Azure 내에서 크로스-프레미스 S2S VPN 터널 및 VNet 간 연결 모두에 대한 암호화 요구 사항을 충족하도록 Azure VPN Gateway를 구성하는 방법을 설명합니다.

Azure VPN 연결에 대한 IKEv1 및 IKEv2 정보

일반적으로 기본 SKU에 대해서만 IKEv1 연결을 허용하고, 기본 SKU 이외의 모든 VPN 게이트웨이 SKU에 대해 IKEv2 연결을 허용했습니다. 기본 SKU는 1개의 연결 및 성능 등의 기타 제한 사항을 허용하고, IKEv1 프로토콜만 지원하는 레거시 디바이스를 사용하는 고객 환경은 제한적이었습니다. 이제 IKEv1 프로토콜을 사용하는 고객 환경을 향상시키기 위해 기본 SKU를 제외한 모든 VPN 게이트웨이 SKU에 대한 IKEv1 연결을 허용합니다. 자세한 내용은 VPN Gateway SKU를 참조하세요.

Azure VPN Gateway IKEv1 및 IKEv2 연결

IKEv1 및 IKEv2 연결이 동일한 VPN 게이트웨이에 적용되는 경우 이러한 두 연결 간의 전송은 자동으로 설정됩니다.

Azure VPN Gateway에 대한 IPsec 및 IKE 정책 매개 변수 정보

IPsec 및 IKE 프로토콜 표준은 다양하게 결합된 다양한 암호화 알고리즘을 지원합니다. 특정 조합의 암호화 알고리즘 및 매개 변수를 요청하지 않으면 Azure VPN Gateway에서 기본 제안 집합을 사용합니다. 기본 정책 집합은 기본 구성에서 광범위한 타사 VPN 디바이스와의 상호 운용성을 극대화하기 위해 선택되었습니다. 따라서 정책 및 제안 수에서 사용 가능한 암호화 알고리즘 및 키 길이의 가능한 모든 조합을 다룰 수는 없습니다.

기본 정책

Azure VPN Gateway에 대한 기본 정책 집합은 사이트 간 VPN Gateway 연결에 대한 VPN 디바이스 및 IPsec/IKE 매개 변수 정보 문서에 나열되어 있습니다.

암호화 요구 사항

특정 암호화 알고리즘 또는 매개 변수가 필요한 통신의 경우, 일반적으로 규정 준수 또는 보안 요구 사항으로 인해 이제 Azure 기본 정책 집합 대신 특정 암호화 알고리즘 및 키 강도와 함께 사용자 지정 IPsec/IKE 정책을 사용하도록 Azure VPN Gateway를 구성할 수 있습니다.

예를 들어 Azure VPN Gateway에 대한 IKEv2 기본 모드 정책은 Diffie-Hellman Group 2(1024비트)만 활용하는 반면, Group 14(2048비트), Group 24(2048비트 MODP Group), ECP(elliptic curve groups) 256 또는 384비트(각각 Group 19 및 Group 20) 등 IKE에서 사용할 더 강력한 그룹을 지정해야 할 수 있습니다. 유사한 요구 사항은 IPsec 빠른 모드 정책에도 적용됩니다.

Azure VPN Gateway의 사용자 지정 IPsec/IKE 정책

이제 Azure VPN Gateway에서 연결별 사용자 지정 IPsec/IKE 정책을 지원합니다. 아래 예제에 나와 있는 것처럼 사이트 간 또는 VNet 간 연결에 대해 원하는 키 강도를 가진 IPsec 및 IKE에 대한 특정 암호화 알고리즘 조합을 선택할 수 있습니다.

ipsec-ike-policy

IPsec/IKE 정책을 만들어 새 연결 또는 기존 연결에 적용할 수 있습니다.

워크플로

  1. 다른 방법 문서에 설명된 대로 연결 토폴로지에 대한 가상 네트워크, VPN Gateway 또는 로컬 네트워크 게이트웨이 만들기
  2. IPsec/IKE 정책 만들기
  3. S2S 또는 VNet 간 연결을 만들 때 정책을 적용할 수 있습니다.
  4. 연결이 이미 생성된 경우 기존 연결에 정책을 적용하거나 업데이트할 수 있음

IPsec/IKE 정책 FAQ

사용자 지정 IPsec/IKE 정책은 모든 Azure VPN Gateway SKU에서 지원되나요?

사용자 지정 IPsec/IKE 정책은 기본 SKU를 제외한 모든 Azure SKU에서 지원됩니다.

연결에서 얼마나 많은 정책을 지정할 수 있나요?

지정된 연결에 대해 하나의 정책 조합만 지정할 수 있습니다.

연결에 대해 부분적 정책을 지정할 수 있나요? (예: IPsec을 제외하고 IKE 알고리즘만 해당)

아니요, IKE(주 모드) 및 IPsec(빠른 모드) 모두에 대한 모든 알고리즘 및 매개 변수를 지정해야 합니다. 부분 정책 지정은 허용되지 않습니다.

사용자 지정 정책에서 지원되는 알고리즘과 키 강도는 어떻게 되나요?

다음 표에는 고객이 구성 가능하도록 지원되는 암호화 알고리즘 및 키 강도가 나와 있습니다. 모든 필드에 대해 한 가지 옵션을 선택해야 합니다.

IPsec/IKEv2 옵션
IKEv2 암호화 AES256, AES192, AES128, DES3, DES
IKEv2 무결성 SHA384, SHA256, SHA1, MD5
DH 그룹 DHGroup24, ECP384, ECP256, DHGroup14(DHGroup2048), DHGroup2, DHGroup1, 없음
IPsec 암호화 GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, 없음
IPsec 무결성 GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS 그룹 PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, 없음
QM SA 수명 초(정수, 최소 300/기본값 27,000초)
KB(정수, 최소 1,024/기본값 102,400,000KB)
트래픽 선택기 UsePolicyBasedTrafficSelectors($True/$False, 기본값: $False)

중요

  • DHGroup2048 및 PFS2048은 IKE 및 IPsec PFS의 Diffie-Hellman 그룹 14 와 동일합니다. 전체 매핑은 Diffie-Hellman 그룹을 참조하세요.
  • GCMAES 알고리즘의 경우 IPsec 암호화 및 무결성 모두에 대해 동일한 GCMAES 알고리즘 및 키 길이를 지정해야 합니다.
  • IKEv2 주 모드 SA 수명은 Azure VPN Gateway에서 28,800초로 고정됩니다.
  • QM SA 수명은 선택적 매개 변수입니다. 지정되지 않으면 기본값인 27,000초(7.5시간) 및 102,400,000KB(102GB)가 사용됩니다.
  • UsePolicyBasedTrafficSelector는 연결에 대한 옵션 매개 변수입니다. "UsePolicyBasedTrafficSelectors"에 대한 다음 FAQ 항목을 참조하세요.

Azure VPN Gateway 정책과 온-프레미스 VPN 디바이스 구성 간에 모든 항목이 일치해야 하나요?

온-프레미스 VPN 디바이스 구성은 Azure IPsec/IKE 정책에서 지정한 다음 알고리즘 및 매개 변수가 일치하거나 포함해야 합니다.

  • IKE 암호화 알고리즘
  • IKE 무결성 알고리즘
  • DH 그룹
  • IPsec 암호화 알고리즘
  • IPsec 무결성 알고리즘
  • PFS 그룹
  • 트래픽 선택기(*)

SA 수명은 로컬 사양일 뿐이며 일치하지 않아도 됩니다.

UsePolicyBasedTrafficSelectors 를 사용하도록 설정한 경우 VPN 디바이스에 온-프레미스 네트워크(로컬 네트워크 게이트웨이) 접두사 및 Azure Virtual Network 접두사 간의 모든 조합으로 정의된 일치하는 트래픽 선택기가 있는지 확인해야 합니다. 예를 들어 온-프레미스 네트워크 접두사가 10.1.0.0/16 및 10.2.0.0/16이고 가상 네트워크 접두사가 192.168.0.0/16 및 172.16.0.0/16이면 다음 트래픽 선택기를 지정해야 합니다.

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

자세한 내용은 여러 온-프레미스 정책 기반 VPN 디바이스 연결을 참조하세요.

어떤 Diffie-Hellman 그룹이 지원됩니까?

아래 표에는 IKE(DHGroup) 및 IPsec(PFSGroup)에 지원되는 Diffie-Hellman 그룹이 나열되어 있습니다.

Diffie-Hellman 그룹 DHGroup PFSGroup 키 길이
1 DHGroup1 PFS1 768비트 MODP
2 DHGroup2 PFS2 1024비트 MODP
14 DHGroup14
DHGroup2048
PFS2048 2048비트 MODP
19 ECP256 ECP256 256비트 ECP
20 ECP384 ECP384 384비트 ECP
24 DHGroup24 PFS24 2048비트 MODP

자세한 내용은 RFC3526RFC5114를 참조하세요.

사용자 지정 정책이 Azure VPN Gateway에 대한 기본 IPsec/IKE 정책 집합을 대체하나요?

예, 연결에 사용자 지정 정책이 지정되면 Azure VPN Gateway는 IKE 개시 장치 및 IKE 응답기로의 연결에만 정책을 사용합니다.

사용자 지정 IPsec/IKE 정책을 제거하면 연결이 보호되지 않나요?

아니요, 연결은 IPsec/IKE로 계속 보호됩니다. 연결에서 사용자 지정 정책을 제거하면 Azure VPN Gateway는 IPsec/IKE 제안의 기본 목록으로 다시 되돌아와서 온-프레미스 VPN 디바이스에서 IKE 핸드셰이크를 다시 시작합니다.

IPsec/IKE 정책을 추가 또는 업데이트하는 것이 VPN 연결에 방해가 될까요?

예, Azure VPN Gateway가 기존 연결을 삭제하고 IKE 핸드셰이크를 다시 시작하여 새로운 암호화 알고리즘 및 매개 변수로 IPsec 터널을 다시 설정하므로 약간의 서비스 중단(몇 초)이 발생할 수 있습니다. 중단을 최소화하려면 온-프레미스 VPN 디바이스가 일치하는 알고리즘 및 키 강도로 구성되었는지도 확인하세요.

다른 연결에 다른 정책을 사용할 수 있나요?

예. 사용자 지정 정책은 각 연결 단위로 적용됩니다. 다른 연결에 서로 다른 IPsec/IKE 정책을 만들어 적용할 수 있습니다. 또한 연결의 하위 집합에 대해 사용자 지정 정책을 적용하도록 선택할 수도 있습니다. 나머지는 Azure 기본 IPsec/IKE 정책 집합을 사용합니다.

VNet 간 연결에서도 사용자 지정 정책을 사용할 수 있나요?

예, IPsec 프레미스 간 연결 또는 VNet 간 연결 모두에 사용자 지정 정책을 적용할 수 있습니다.

두 VNet 간 연결 리소스에 동일한 정책을 지정해야 하나요?

예. Azure에서 VNet 간 터널은 두 개의 연결 리소스(각 방향당 하나씩)로 구성됩니다. 두 연결 리소스에 동일한 정책이 있어야 합니다. 그렇지 않으면 VNet 간 연결이 설정되지 않습니다.

기본 DPD 시간 제한 값이란 무엇인가요? 다른 DPD 시간 제한을 지정할 수 있나요?

기본 DPD 시간 제한은 45초입니다. 각 IPsec 또는 VNet 간 연결에 9초에서 3600초 사이의 다른 DPD 시간 제한 값을 지정할 수 있습니다.

ExpressRoute 연결에서 사용자 지정 IPsec/IKE 정책이 작동하나요?

아니요. IPsec/IKE 정책은 Azure VPN Gateway를 통해 S2S VPN 및 VNet 간 연결에서만 작동합니다.

IKEv1 또는 IKEv2 프로토콜 유형과의 연결을 어떻게 만드나요?

IKEv1 연결은 Basic SKU, Standard SKU, 기타 레거시 SKU를 제외하고 모든 RouteBased VPN 유형 SKU에서 만들 수 있습니다. 연결을 만드는 동안 연결 프로토콜 유형(IKEv1 또는 IKEv2)을 지정할 수 있습니다. 연결 프로토콜 유형을 지정하지 않으면 해당하는 경우 기본 옵션으로 IKEv2가 사용됩니다. 자세한 내용은 PowerShell cmdlet 설명서를 참조하세요. SKU 유형 및 IKEv1/IKEv2 지원에 대한 내용은 게이트웨이를 정책 기반 VPN 디바이스에 연결을 참조하세요.

IKEv1와 IKEv2 연결 간에 전송이 허용됩니까?

예. IKEv1와 IKEv2 연결 간의 전송은 지원됩니다.

RouteBased VPN 유형의 기본 SKU에 대한 IKEv1 사이트 간 연결을 사용할 수 있나요?

아니요. 기본 SKU는 이 기능을 지원하지 않습니다.

연결을 만든 후 연결 프로토콜 유형을 변경할 수 있나요? (IKEv1에서 IKEv2로 또는 그 반대로)

아니요. 연결이 만들어지면 IKEv1/IKEv2 프로토콜을 변경할 수 없습니다. 원하는 프로토콜 유형을 사용하여 새 연결을 삭제하고 다시 만들어야 합니다.

IPsec에 대한 추가 구성 정보는 어디에서 찾을 수 있나요?

S2S 또는 VNet 간 연결에 대한 IPsec/IKE 정책 구성을 참조하세요.

다음 단계

연결에 대한 사용자 지정 IPsec/IKE 정책을 구성하는 방법에 대한 단계별 지침은 IPsec/IKE 정책 구성을 참조하세요.

또한 UsePolicyBasedTrafficSelectors 옵션에 대한 자세한 내용은 여러 정책 기반 VPN 디바이스 연결을 참조하세요.