Azure Stack HCI에서 데이터 센터 방화벽 구현

  • 8분

Azure Stack HCI의 SDN(소프트웨어 정의 네트워킹) 분산 방화벽 기능이 네트워크 인프라의 보안을 개선하는 데 도움이 될 수 있다고 확신합니다. 이 단원에서는 개념 증명 환경에서 구현하여 Azure Stack HCI에서 데이터 센터 방화벽의 기능과 유용성을 평가합니다.

데이터 센터 방화벽 구현

데이터 센터 방화벽 정책을 구현하기 위한 기본 절차는 다음 단계로 구성됩니다. PowerShell, Windows 관리 센터 또는 System Center VMM(Virtual Machine Manager)을 사용하여 이러한 단계를 수행할 수 있습니다.

  1. ACL(액세스 제어 목록) 개체를 만듭니다.

  2. ACL 내에서 다음 기준에 따라 East-West 및 North-South 네트워크 트래픽을 허용하거나 거부하는 하나 이상의 인바운드 및 아웃바운드 규칙을 정의합니다.

    • Protocol은 계층 4 프로토콜을 나타내며 TCP, UDP 또는 ALL로 설정됩니다. 모두에는 TCP 및 UDP 외에도 ICMP(Internet Control Message Protocol)가 포함됩니다.
    • 수신 또는 발신 네트워크 패킷 출처의 IP 주소 접두사를 나타내는 원본 주소 접두사. 별표 *는 모든 IP 주소를 나타내는 와일드 카드입니다.
    • 수신 또는 발신 네트워크 패킷이 시작되는 하나 이상의 포트 번호를 나타내는 원본 포트 범위. 별표 *은 모든 포트 번호를 나타내는 와일드카드입니다.
    • 수신 또는 발신 네트워크 패킷 대상의 IP 주소 접두어를 나타내는 대상 주소 접두어. 별표 *는 모든 IP 주소 접두사를 나타내는 와일드카드입니다.
    • 수신 또는 발신 네트워크 패킷이 대상으로 하는 하나 이상의 포트 번호를 나타내는 대상 포트 범위. 별표 *은 모든 포트 번호를 나타내는 와일드카드입니다.

  3. 각 규칙에 대해 다음 설정을 지정합니다.

    • 작업은 일치 항목이 발견된 경우 규칙의 결과를 나타내며 허용 또는 거부로 설정됩니다.
    • 동일한 ACL 내의 다른 규칙과 관련하여 규칙의 우선 순위를 나타내는 우선 순위. 동일한 ACL 내의 각 규칙에는 100에서 65000 사이의 값으로 설정할 수 있는 고유한 우선 순위가 있어야 합니다. 숫자 값이 낮을수록 우선 순위가 높습니다.

  4. 필요에 따라 개별 방화벽 규칙에 대한 로깅을 사용하도록 설정합니다.

  5. ACL 객체에 정의된 규칙을 다음 객체 중 하나일 수 있는 대상 범위에 적용합니다.

    • 가상 네트워크 서브넷.
    • 논리 네트워크 서브넷.
    • 가상 또는 논리적 네트워크 서브넷에 연결된 VM(가상 머신)의 네트워크 인터페이스입니다.

    참고 항목

    가상 또는 논리 네트워크 서브넷에 ACL을 적용하면 관리가 간소화되지만 제약 조건을 보다 세분화해야 하는 경우가 있습니다. 그렇다면 개별 VM 네트워크 인터페이스에 ACL을 할당할 수 있습니다.

    원본과 대상 사이에 여러 ACL이 있는 경우 결과 제약 조건은 네트워크 트래픽 방향에 따라 다릅니다. 인바운드 트래픽의 경우 서브넷 ACL이 네트워크 인터페이스 ACL에 할당된 것보다 먼저 적용됩니다. 아웃바운드 트래픽의 경우 해당 순서가 반대로 됩니다.

데이터 센터 방화벽 기능 평가

사용자 지정 ACL 규칙이 적용되지 않은 경우 네트워크 인터페이스의 기본 동작은 모든 아웃바운드 트래픽을 허용하고 모든 인바운드 트래픽을 차단하는 것입니다. 데이터 센터 방화벽 기능을 평가하려면 먼저 ACL이 적용되는 범위를 대상으로 하는 모든 인바운드 네트워크 트래픽을 허용하는 규칙으로 ACL을 생성합니다. 그런 다음 특정 수신 트래픽을 식별하고 제한합니다. 마지막으로 대상 가상 네트워크 서브넷에 ACL을 적용합니다.

  1. ACL을 만든 후 모든 인그레스 트래픽을 허용하는 다음 설정으로 allow-all 규칙을 추가합니다.

    원본 주소 접두사 대상 주소 접두사 프로토콜 원본 포트 대상 포트 형식 작업 우선 순위
    * * ALL * * 인바운드 허용 1000

    다음 스크린샷은 생성 중인 모두 허용 규칙이 있는 Windows 관리 센터 액세스 제어 규칙 항목 창을 보여줍니다.

    Screenshot of the Windows Admin Center ACL entry pane with an allow-all rule being created.

  2. 모든 인바운드 트래픽을 허용한 후 차단할 트래픽 유형을 식별합니다.

    예를 들어 WinRM(Windows 원격 관리)을 통해 서브넷 간 연결을 제한할 수 있습니다. 이러한 유형의 제한은 단일 VM이 손상된 후 측면으로 이동하는 익스플로잇의 영향을 제한할 수 있습니다. 동일한 서브넷 내에서 WinRM 연결을 계속 허용합니다.

    다음 설정을 적용하여 원래 서브넷의 IP 주소 범위가 192.168.0.0/24라는 가정 하에 새 규칙을 만듭니다.

    원본 주소 접두사 대상 주소 접두사 프로토콜 원본 포트 대상 포트 형식 작업 우선 순위
    192.168.0.0/24 * TCP * 5985,5986 인바운드 블록 500
    * * ALL * * 인바운드 허용 1000

    다음 스크린샷은 생성 중인 deny-winrm 규칙이 있는 Windows 관리 센터 액세스 제어 규칙 항목 창을 보여줍니다.

    Screenshot of the Windows Admin Center ACL entry pane with a deny-winrm rule being created.

  3. 이제 IP 주소 프리픽스가 192.168.100.0/24인 예시 대상 가상 네트워크 서브넷에 ACL을 할당합니다.

    Screenshot of the Windows Admin Center virtual networks pane with the virtual subnet ACL assignment being created.

  4. 평가를 완료한 후 대상 범위에서 ACL 할당을 제거하여 기본 필터링 동작으로 되돌립니다.