허브 스포크 네트워크 보호
Azure는 조직에서 클라우드 인프라를 보호하고 보안을 유지할 수 있도록 도와주는 다양한 서비스를 제공합니다. 조직에서는 새로운 네트워크의 보안을 유지하는 방법과 사용할 수 있는 다른 Azure 서비스를 이해해야 합니다.
이 단원에서는 Azure 플랫폼의 보안 네트워킹을 살펴보고 Azure Firewall에 대한 개요를 볼 수 있습니다. 네트워크 보안 그룹을 사용하여 가상 네트워크를 보호하는 방법도 알아봅니다.
Azure의 네트워크 디자인 보호
위의 다이어그램에서는 Azure 네트워크 인프라와 온-프레미스 환경, Azure 호스트된 리소스, 퍼블릭 인터넷을 보다 안전하게 연결할 수 있는 방법을 보여 줍니다.
네트워크 디자인을 보호하는 과정의 일환으로 고려해야 할 몇 가지 기능은 다음과 같습니다.
- Azure 가상 네트워크: 무단 또는 원치 않는 액세스를 방지하기 위해 Azure의 환경을 논리적으로 격리하여 기본 보안 계층을 제공합니다.
- Azure DNS: 도메인 이름에 대한 호스팅 서비스입니다. Azure DNS는 가상 네트워크에서 도메인 이름을 관리 및 확인하는 보안 서비스입니다.
- Azure Application Gateway: WAF(웹 애플리케이션 방화벽)를 포함하여 WAF(애플리케이션 배달 컨트롤러)를 서비스로 제공하는 전용 가상 어플라이언스입니다.
- Azure Traffic Manager: Azure에서 사용자 트래픽dml 배포를 제어하는 서비스입니다.
- Azure Load Balancer: Azure 애플리케이션에 고가용성 및 네트워크 성능을 제공합니다.
- 경계 네트워크: Azure 가상 네트워크와 인터넷 간의 자산을 분할합니다.
또한 네트워크 보안을 향상시키기 위해 다음 요소 중 일부를 네트워크 아키텍처에 통합하는 것이 좋습니다.
- 네트워크 액세스 제어입니다. 이 제어는 Azure 서비스를 원하는 사용자 및 디바이스에서만 액세스할 수 있도록 합니다.
- Virtual Network 트래픽을 제어하는 패킷 필터링 방화벽으로 사용할 수 있는 네트워크 보안 그룹.
- 인프라를 통해 사용자 지정 경로를 정의하고 서비스에서 인터넷 디바이스에 연결할 수 없도록 하는 라우팅 제어 및 강제 터널링.
- Azure Marketplace를 통해 가상 네트워크 보안 어플라이언스를 사용하도록 설정.
- 전용 WAN 링크에 Azure ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure로 안전하게 확장합니다.
- Azure 서비스에 대한 위협을 예방, 탐지 및 대응하기 위한 클라우드용 Microsoft Defender
- 네트워크 보안 서비스로 사용되는 Azure Firewall
조직을 위한 다양한 보안 솔루션이 있으며, 이 중 많은 솔루션이 서로를 보완하면서 더 많은 보안 계층을 제공합니다. 조직은 Microsoft의 권장 모범 사례에 부합해야 합니다. 그런 다음, 조직의 내부 보안 요구 사항을 충족하는 데 필요한 모든 기능을 구현합니다.
허브-스포크 토폴로지에 대한 Azure 보안의 기본 구성 요소
네트워크 트래픽을 제어하여 리소스를 무단 액세스 또는 공격으로부터 보호해야 합니다. 허브 스포크 모델에는 구현해야 하는 다음과 같은 몇 가지 구성 요소가 있습니다.
네트워크 보안 그룹
토폴로지 내의 각 서브넷에는 네트워크 보안 그룹이 구성되어 있습니다. 네트워크 보안 그룹은 토폴로지의 각 리소스에 대한 네트워크 트래픽을 허용하거나 거부하는 보안 규칙을 구현합니다.
경계 네트워크
외부 트래픽을 라우팅하기 위해 허브 가상 네트워크의 고유한 서브넷에 경계 네트워크를 구성합니다. 경계 네트워크는 방화벽 및 패킷 검사와 같은 보안 기능을 제공하기 위해 네트워크 가상 어플라이언스를 호스트하도록 설계되었습니다. 가상 어플라이언스를 통해 경계 네트워크의 아웃바운드 트래픽을 라우팅할 수 있습니다. 그러면 트래픽이 모니터링, 보안, 감사됩니다.
네트워크 가상 어플라이언스
NVA(네트워크 가상 어플라이언스)는 모든 인바운드 및 아웃바운드 네트워크 트래픽을 확인하여 보안 네트워크 경계를 제공합니다. 그런 다음, NVA는 네트워크 보안 규칙을 충족하는 트래픽만 통과시킴으로써 기본적으로 방화벽 역할을 수행합니다.
Azure Firewall은 이 문서에서 설명하는 일부 구성 요소를 대체하여 Azure 네트워크 리소스에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 Azure Firewall 섹션을 참조하세요.
Azure ExpressRoute
ExpressRoute는 허브 가상 네트워크에서 온-프레미스 리소스와 Azure 게이트웨이 서브넷 간에 전용 프라이빗 WAN 링크를 만듭니다. 온-프레미스 네트워크와 ExpressRoute 공급자 에지 라우터 간에 네트워크 보안 어플라이언스를 추가합니다. 이렇게 하면 가상 네트워크에서 무단 트래픽의 흐름이 제한됩니다.
Azure Firewall
Microsoft는 이 네트워크 보안 서비스를 관리합니다. 연결 정책을 중앙에서 관리하고 적용하여 Azure 가상 네트워크 및 해당 리소스를 보호합니다. Azure Firewall은 가상 네트워크 리소스에 정적 공용 IP 주소를 사용하고, 가상 네트워크 트래픽을 식별하여 외부 방화벽을 허용할 수 있습니다.
Azure Firewall은 작동 상태를 추적하는 완전한 상태 기반 네트워크 방화벽이며 이를 트래버스하는 네트워크 연결의 특성입니다. Azure Firewall을 사용하면 정책 적용을 통해 모든 네트워크 통신을 중앙에서 제어할 수 있습니다. 이러한 정책은 가상 네트워크, 지역 및 Azure 구독에서 적용할 수 있습니다. 허브 스포크 토폴로지에서는 네트워크를 통한 트래픽을 완벽하게 제어하기 위해 Azure Firewall이 일반적으로 허브에 프로비저닝됩니다.
Azure Firewall 모니터링은 방화벽 및 활동 로그 검토로 구성됩니다. Azure Firewall은 Azure Monitor 로그와 연결되므로 여기에서 전체 로그를 볼 수 있습니다. 일부 로그는 Azure Portal에서도 확인할 수 있습니다.
로그는 Azure Storage 계정에 저장되거나, Azure Event Hubs로 스트리밍되거나, Azure Monitor 로그로 전송될 수 있습니다.
네트워크 보안 그룹을 통한 네트워크 보안
NSG(네트워크 보안 그룹)은 네트워크 트래픽 규칙을 적용하고 제어합니다. 가상 네트워크의 워크로드 간 통신을 허용하거나 거부하여 액세스를 제어합니다. NSG는 규칙 기반이며 5 튜플 메서드를 사용하여 트래픽을 평가합니다. 트래픽이 허용 또는 거부되는지 확인하기 위해 NSG는 다음을 사용하여 트래픽을 평가합니다.
- 원본 IP
- 원본 포트
- 대상 IP
- 대상 포트
- 프로토콜
보안 규칙 정의
NSG의 보안 규칙은 트래픽 흐름의 제어를 정의하는 메커니즘을 제공합니다. NSG에는 기본적으로 규칙 세트가 있습니다. 이러한 규칙은 삭제할 수 없지만 사용자 지정 규칙을 사용하여 재정의할 수 있습니다. 기본 규칙은 다음과 같습니다.
- 가상 네트워크에서 시작되고 종료되는 트래픽은 허용됩니다.
- 인터넷으로의 아웃바운드 트래픽은 허용되지만 인바운드 트래픽은 차단됩니다.
- Azure Load Balancer를 사용하여 가상 머신 또는 역할 인스턴스의 상태를 확인할 수 있습니다.
기타 보안 고려 사항
리소스를 통한 트래픽 라우팅 방식을 제어하는 기능은 중요한 보안 조치입니다. Azure에서는 다음과 같은 다른 서비스를 제공하여 전체 인프라의 보안을 향상시키도록 지원합니다.
- 애플리케이션 보안 그룹: 애플리케이션에 대한 중앙 정책 및 보안 관리를 제공합니다. 애플리케이션 보안 그룹을 사용하여 모니커를 통해 자세한 네트워크 보안 정책을 정의합니다. 그런 다음, 지정된 흐름이 허용되는 제로 트러스트 방식을 사용할 수 있습니다.
- Azure Network Watcher: 네트워크 로깅 및 진단에 대한 인사이트를 얻을 수 있습니다. Network Watcher를 사용하여 Azure 네트워크의 상태와 성능을 이해할 수 있습니다.
- 가상 네트워크 서비스 엔드포인트: 가상 네트워크 프라이빗 주소 공간을 확장하여 Azure 서비스에서 사용할 수 있도록 합니다. 엔드포인트를 사용하여 Azure 리소스에 대한 액세스를 제한할 수 있습니다.
- Azure DDoS Protection: 볼륨, 프로토콜 및 리소스 계층 공격을 완화할 수 있습니다.