암호화 요구 사항 및 Azure VPN Gateway 정보About cryptographic requirements and Azure VPN gateways

이 문서에서는 Azure 내에서 크로스-프레미스 S2S VPN 터널 및 VNet 간 연결 모두에 대한 암호화 요구 사항을 충족하도록 Azure VPN Gateway를 구성하는 방법을 설명합니다.This article discusses how you can configure Azure VPN gateways to satisfy your cryptographic requirements for both cross-premises S2S VPN tunnels and VNet-to-VNet connections within Azure.

Azure VPN Gateway에 대한 IPsec 및 IKE 정책 매개 변수 정보About IPsec and IKE policy parameters for Azure VPN gateways

IPsec 및 IKE 프로토콜 표준은 다양하게 결합된 다양한 암호화 알고리즘을 지원합니다.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. 고객이 특정 조합의 암호화 알고리즘 및 매개 변수를 요청하지 않으면 Azure VPN Gateway에서 기본 제안 집합을 사용합니다.If customers do not request a specific combination of cryptographic algorithms and parameters, Azure VPN gateways use a set of default proposals. 기본 정책 집합은 기본 구성에서 광범위한 타사 VPN 디바이스와의 상호 운용성을 극대화하기 위해 선택되었습니다.The default policy sets were chosen to maximize interoperability with a wide range of third-party VPN devices in default configurations. 따라서 정책 및 제안 수에서 사용 가능한 암호화 알고리즘 및 키 길이의 가능한 모든 조합을 다룰 수는 없습니다.As a result, the policies and the number of proposals cannot cover all possible combinations of available cryptographic algorithms and key strengths.

Azure VPN 게이트웨이의 기본 정책 집합은 사이트 간 VPN Gateway 연결에 대한 VPN 디바이스 및 IPsec/IKE 매개 변수 정보 문서에 나와 있습니다.The default policy set for Azure VPN gateway is listed in the document: About VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections.

암호화 요구 사항Cryptographic requirements

특정 암호화 알고리즘 또는 매개 변수가 필요한 통신의 경우, 일반적으로 규정 준수 또는 보안 요구 사항으로 인해 고객은 이제 Azure 기본 정책 집합 대신 특정 암호화 알고리즘 및 키 강도와 함께 사용자 지정 IPsec/IKE 정책을 사용하도록 Azure VPN Gateway를 구성할 수 있습니다.For communications that require specific cryptographic algorithms or parameters, typically due to compliance or security requirements, customers can now configure their Azure VPN gateways to use a custom IPsec/IKE policy with specific cryptographic algorithms and key strengths, rather than the Azure default policy sets.

예를 들어 Azure VPN Gateway에 대한 IKEv2 기본 모드 정책은 Diffie-Hellman Group 2(1024비트)만 활용하는 반면, 고객은 Group 14(2048비트), Group 24(2048비트 MODP Group), ECP(elliptic curve groups) 256 또는 384비트(각각 Group 19 및 Group 20) 등 IKE에서 사용할 더 강력한 그룹을 지정해야 할 수 있습니다.For example, the IKEv2 main mode policies for Azure VPN gateways utilize only Diffie-Hellman Group 2 (1024 bits), whereas customers may need to specify stronger groups to be used in IKE, such as Group 14 (2048-bit), Group 24 (2048-bit MODP Group), or ECP (elliptic curve groups) 256 or 384 bit (Group 19 and Group 20, respectively). 유사한 요구 사항은 IPsec 빠른 모드 정책에도 적용됩니다.Similar requirements apply to IPsec quick mode policies as well.

Azure VPN Gateway의 사용자 지정 IPsec/IKE 정책Custom IPsec/IKE policy with Azure VPN gateways

이제 Azure VPN Gateway에서 연결별 사용자 지정 IPsec/IKE 정책을 지원합니다.Azure VPN gateways now support per-connection, custom IPsec/IKE policy. 아래 예제에 나와 있는 것처럼 사이트 간 또는 VNet 간 연결에 대해 원하는 키 강도를 가진 IPsec 및 IKE에 대한 특정 암호화 알고리즘 조합을 선택할 수 있습니다.For a Site-to-Site or VNet-to-VNet connection, you can choose a specific combination of cryptographic algorithms for IPsec and IKE with the desired key strength, as shown in the following example:

ipsec-ike-policy

IPsec/IKE 정책을 만들어 새 연결 또는 기존 연결에 적용할 수 있습니다.You can create an IPsec/IKE policy and apply to a new or existing connection.

워크플로Workflow

  1. 다른 방법 문서에 설명된 대로 연결 토폴로지에 대한 가상 네트워크, VPN Gateway 또는 로컬 네트워크 게이트웨이 만들기Create the virtual networks, VPN gateways, or local network gateways for your connectivity topology as described in other how-to documents
  2. IPsec/IKE 정책 만들기Create an IPsec/IKE policy
  3. S2S 또는 VNet 간 연결을 만들 때 정책을 적용할 수 있습니다.You can apply the policy when you create a S2S or VNet-to-VNet connection
  4. 연결이 이미 생성된 경우 기존 연결에 정책을 적용하거나 업데이트할 수 있음If the connection is already created, you can apply or update the policy to an existing connection

IPsec/IKE 정책 FAQIPsec/IKE policy FAQ

사용자 지정 IPsec/IKE 정책은 모든 Azure VPN Gateway SKU에서 지원되나요?Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

사용자 지정 IPsec/IKE 정책은 VpnGw1, VpnGw2, VpnGw3, 표준HighPerformance VPN Gateway에서 지원됩니다.Custom IPsec/IKE policy is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard, and HighPerformance VPN gateways. 기본 SKU는 지원되지 않습니다.The Basic SKU is not supported.

연결에서 얼마나 많은 정책을 지정할 수 있나요?How many policies can I specify on a connection?

지정된 연결에 대해 하나의 정책 조합만 지정할 수 있습니다.You can only specify one policy combination for a given connection.

연결에 대해 부분적 정책을 지정할 수 있나요?Can I specify a partial policy on a connection? (예: IPsec을 제외하고 IKE 알고리즘만 해당)(for example, only IKE algorithms, but not IPsec)

아니요, IKE(주 모드) 및 IPsec(빠른 모드) 모두에 대한 모든 알고리즘 및 매개 변수를 지정해야 합니다.No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). 부분 정책 지정은 허용되지 않습니다.Partial policy specification is not allowed.

사용자 지정 정책에서 지원되는 알고리즘과 키 강도는 어떻게 되나요?What are the algorithms and key strengths supported in the custom policy?

다음 표에는 고객이 구성 가능하도록 지원되는 암호화 알고리즘 및 키 강도가 나와 있습니다.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. 모든 필드에 대해 한 가지 옵션을 선택해야 합니다.You must select one option for every field.

IPsec/IKEv2IPsec/IKEv2 옵션Options
IKEv2 암호화IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2 무결성IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH 그룹DH Group DHGroup24, ECP384, ECP256, DHGroup14(DHGroup2048), DHGroup2, DHGroup1, 없음DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
IPsec 암호화IPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, 없음GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec 무결성IPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS 그룹PFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, 없음PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA 수명QM SA Lifetime 초(정수, 최소 300/기본값 27,000초)Seconds (integer; min. 300/default 27000 seconds)
KB(정수, 최소 1,024/기본값 102,400,000KB)KBytes (integer; min. 1024/default 102400000 KBytes)
트래픽 선택기Traffic Selector UsePolicyBasedTrafficSelectors($True/$False, 기본값: $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

중요

  1. DHGroup2048 및 PFS2048은 IKE 및 IPsec PFS의 Diffie-Hellman 그룹 14와 동일합니다.DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. 전체 매핑은 Diffie-Hellman 그룹을 참조하세요.See Diffie-Hellman Groups for the complete mappings.
  2. GCMAES 알고리즘의 경우 IPsec 암호화 및 무결성 모두에 대해 동일한 GCMAES 알고리즘 및 키 길이를 지정해야 합니다.For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. IKEv2 주 모드 SA 수명은 Azure VPN Gateway에서 28,800초로 고정됩니다.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways
  4. QM SA 수명은 선택적 매개 변수입니다.QM SA Lifetimes are optional parameters. 지정되지 않으면 기본값인 27,000초(7.5시간) 및 102,400,000KB(102GB)가 사용됩니다.If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector는 연결에 대한 옵션 매개 변수입니다.UsePolicyBasedTrafficSelector is an option parameter on the connection. "UsePolicyBasedTrafficSelectors"에 대한 다음 FAQ 항목을 참조하세요.See the next FAQ item for "UsePolicyBasedTrafficSelectors"

Azure VPN Gateway 정책과 온-프레미스 VPN 디바이스 구성 간에 모든 항목이 일치해야 하나요?Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

온-프레미스 VPN 디바이스 구성은 Azure IPsec/IKE 정책에서 지정한 다음 알고리즘 및 매개 변수가 일치하거나 포함해야 합니다.Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • IKE 암호화 알고리즘IKE encryption algorithm
  • IKE 무결성 알고리즘IKE integrity algorithm
  • DH 그룹DH Group
  • IPsec 암호화 알고리즘IPsec encryption algorithm
  • IPsec 무결성 알고리즘IPsec integrity algorithm
  • PFS 그룹PFS Group
  • 트래픽 선택기(*)Traffic Selector (*)

SA 수명은 로컬 사양일 뿐이며 일치하지 않아도 됩니다.The SA lifetimes are local specifications only, do not need to match.

UsePolicyBasedTrafficSelectors를 사용하도록 설정한 경우 VPN 디바이스에 온-프레미스 네트워크(로컬 네트워크 게이트웨이) 접두사 및 Azure Virtual Network 접두사 간의 모든 조합으로 정의된 일치하는 트래픽 선택기가 있는지 확인해야 합니다.If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. 예를 들어 온-프레미스 네트워크 접두사가 10.1.0.0/16 및 10.2.0.0/16이고 가상 네트워크 접두사가 192.168.0.0/16 및 172.16.0.0/16이면 다음 트래픽 선택기를 지정해야 합니다.For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

자세한 내용은 여러 온-프레미스 정책 기반 VPN 디바이스 연결을 참조하세요.For more information, see Connect multiple on-premises policy-based VPN devices.

어떤 Diffie-Hellman 그룹이 지원됩니까?Which Diffie-Hellman Groups are supported?

아래 표에는 IKE(DHGroup) 및 IPsec(PFSGroup)에 지원되는 Diffie-Hellman 그룹이 나열되어 있습니다.The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Diffie-Hellman 그룹Diffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup 키 길이Key length
11 DHGroup1DHGroup1 PFS1PFS1 768비트 MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024비트 MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048비트 MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256비트 ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384비트 ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048비트 MODP2048-bit MODP

자세한 내용은 RFC3526RFC5114를 참조하세요.For more information, see RFC3526 and RFC5114.

사용자 지정 정책이 Azure VPN Gateway에 대한 기본 IPsec/IKE 정책 집합을 대체하나요?Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

예, 연결에 사용자 지정 정책이 지정되면 Azure VPN Gateway는 IKE 개시 장치 및 IKE 응답기로의 연결에만 정책을 사용합니다.Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

사용자 지정 IPsec/IKE 정책을 제거하면 연결이 보호되지 않나요?If I remove a custom IPsec/IKE policy, does the connection become unprotected?

아니요, 연결은 IPsec/IKE로 계속 보호됩니다.No, the connection will still be protected by IPsec/IKE. 연결에서 사용자 지정 정책을 제거하면 Azure VPN Gateway는 IPsec/IKE 제안의 기본 목록으로 다시 되돌아와서 온-프레미스 VPN 디바이스에서 IKE 핸드셰이크를 다시 시작합니다.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

IPsec/IKE 정책을 추가 또는 업데이트하는 것이 VPN 연결에 방해가 될까요?Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

예, Azure VPN Gateway가 기존 연결을 삭제하고 IKE 핸드셰이크를 다시 시작하여 새로운 암호화 알고리즘 및 매개 변수로 IPsec 터널을 다시 설정하므로 약간의 서비스 중단(몇 초)이 발생할 수 있습니다.Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. 중단을 최소화하려면 온-프레미스 VPN 디바이스가 일치하는 알고리즘 및 키 강도로 구성되었는지도 확인하세요.Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

다른 연결에 다른 정책을 사용할 수 있나요?Can I use different policies on different connections?

예.Yes. 사용자 지정 정책은 각 연결 단위로 적용됩니다.Custom policy is applied on a per-connection basis. 다른 연결에 서로 다른 IPsec/IKE 정책을 만들어 적용할 수 있습니다.You can create and apply different IPsec/IKE policies on different connections. 또한 연결의 하위 집합에 대해 사용자 지정 정책을 적용하도록 선택할 수도 있습니다.You can also choose to apply custom policies on a subset of connections. 나머지는 Azure 기본 IPsec/IKE 정책 집합을 사용합니다.The remaining ones use the Azure default IPsec/IKE policy sets.

VNet 간 연결에서도 사용자 지정 정책을 사용할 수 있나요?Can I use the custom policy on VNet-to-VNet connection as well?

예, IPsec 프레미스 간 연결 또는 VNet 간 연결 모두에 사용자 지정 정책을 적용할 수 있습니다.Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

두 VNet 간 연결 리소스에 동일한 정책을 지정해야 하나요?Do I need to specify the same policy on both VNet-to-VNet connection resources?

예.Yes. Azure에서 VNet 간 터널은 두 개의 연결 리소스(각 방향당 하나씩)로 구성됩니다.A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. 두 연결 리소스에 동일한 정책이 있어야 합니다. 그렇지 않으면 VNet 간 연결이 설정되지 않습니다.Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

ExpressRoute 연결에서 사용자 지정 IPsec/IKE 정책이 작동하나요?Does custom IPsec/IKE policy work on ExpressRoute connection?

아니요.No. IPsec/IKE 정책은 Azure VPN Gateway를 통해 S2S VPN 및 VNet 간 연결에서만 작동합니다.IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

IPsec에 대한 추가 구성 정보는 어디에서 찾을 수 있나요?Where can I find more configuration information for IPsec?

S2S 또는 VNet 간 연결에 대한 IPsec/IKE 정책 구성을 참조하세요.See Configure IPsec/IKE policy for S2S or VNet-to-VNet connections

다음 단계Next steps

연결에 대한 사용자 지정 IPsec/IKE 정책을 구성하는 방법에 대한 단계별 지침은 IPsec/IKE 정책 구성을 참조하세요.See Configure IPsec/IKE policy for step-by-step instructions on configuring custom IPsec/IKE policy on a connection.

또한 UsePolicyBasedTrafficSelectors 옵션에 대한 자세한 내용은 여러 정책 기반 VPN 디바이스 연결을 참조하세요.See also Connect multiple policy-based VPN devices to learn more about the UsePolicyBasedTrafficSelectors option.