다음을 통해 공유

Azure의 허브 가상 네트워크에 제로 트러스트 원칙 적용

  • 아티클

요약: Azure의 허브 가상 네트워크에 제로 트러스트 원칙을 적용하려면 Azure Firewall Premium을 보호하고, Azure DDoS Protection 표준을 배포하고, 방화벽에 대한 네트워크 게이트웨이 라우팅을 구성하고, 위협 방지를 구성해야 합니다.

제로 트러스트 Azure 기반 허브 VNet(가상 네트워크)을 배포하는 가장 좋은 방법은 Azure 랜딩 존 자료를 사용하여 기능 완성 허브 VNet을 배포한 다음 특정 구성 기대에 맞게 조정하는 것입니다.

이 문서에서는 기존 허브 VNet을 사용하고 제로 트러스트 방법론에 대한 준비가 되었는지 확인하는 방법에 대한 단계를 제공합니다. ALZ-Bicep hubNetworking 모듈을 사용하여 허브 VNet을 신속하게 배포하거나 비슷한 리소스를 사용하여 다른 허브 VNet을 배포했다고 가정합니다. 격리된 작업 공간 스포크에 연결된 별도의 연결 허브를 사용하는 것은 Azure 보안 네트워킹의 앵커 패턴이며 제로 트러스트 원칙을 지원하는 데 도움이 됩니다.

이 문서에서는 다음과 같은 방법으로 제로 트러스트 원칙을 매핑하여 제로 트러스트 허브 VNet을 배포하는 방법을 설명합니다.

제로 트러스트 원칙 정의 Met by
명시적으로 확인 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. TLS(전송 계층 보안) 검사와 함께 Azure Firewall을 사용하여 사용 가능한 모든 데이터를 기반으로 위험 및 위협을 확인합니다.
최소 권한 액세스 사용 JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. 트래픽이 방화벽을 통해 라우팅되지 않는 한 각 스포크 VNet은 다른 스포크 VNet에 액세스할 수 없습니다. 방화벽은 기본적으로 거부하도록 설정되어 지정된 규칙에서 허용되는 트래픽만 허용합니다.
위반 가정 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다. 하나의 애플리케이션/워크로드가 손상되거나 위반되는 경우 Azure Firewall이 트래픽 검사를 수행하고 허용된 트래픽만 전달하기 때문에 확산되는 기능이 제한됩니다. 동일한 워크로드의 리소스만 동일한 애플리케이션의 위반에 노출됩니다.

이 문서는 Azure의 환경에서 제로 트러스트 원칙을 적용하는 방법을 보여 주는 일련의 문서의 일부입니다. 이 문서에서는 스포크 Vnet에서 IaaS 워크로드를 지원하도록 허브 VNet을 구성하는 방법에 대한 정보를 제공합니다. 자세한 내용은 Azure IaaS에 제로 트러스트 원칙 적용 개요를 참조하세요.

참조 아키텍처

다음 다이어그램은 참조 아키텍처를 보여줍니다. 허브 VNet이 빨간색으로 강조 표시됩니다. 이 아키텍처에 대한 자세한 내용은 Azure IaaS에 제로 트러스트 적용 원칙 개요를 참조하세요.

제로 트러스트 원칙이 적용된 허브 가상 네트워크의 구성 요소에 대한 참조 아키텍처의 다이어그램

이 참조 아키텍처의 경우 Azure 구독에서 리소스를 배포할 수 있는 여러 가지 방법이 있습니다. 참조 아키텍처는 전용 리소스 그룹 내에서 허브 VNet에 대한 모든 리소스를 격리하는 권장 사항을 보여 줍니다. 스포크 VNet에 대한 리소스도 비교를 위해 표시됩니다. 이 모델은 서로 다른 팀이 이러한 다양한 영역에 대한 책임을 지는 경우 잘 작동합니다.

다이어그램에서 허브 VNet에는 Azure 환경 내의 다른 앱 및 서비스에 대한 액세스를 지원하는 구성 요소가 포함되어 있습니다. 해당 리소스는 다음과 같습니다.

  • Azure Firewall 프리미엄
  • Azure Bastion
  • VPN Gateway
  • 또한 스포크 가상 네트워크에 배포해야 하는 DDOS Protection입니다.

허브 VNet은 이러한 구성 요소에서 스포크 VNet의 가상 머신에서 호스트되는 IaaS 기반 앱에 대한 액세스를 제공합니다.

클라우드 채택을 위한 구성에 대한 지침은 클라우드 채택 프레임워크 조직 조정 관리를 참조하세요.

허브 VNet에 대해 배포되는 리소스는 다음과 같습니다.

  • An Azure VNet
  • Azure Firewall 정책 및 공용 IP 주소를 사용하는 Azure Firewall
  • Bastion
  • 공용 IP 주소 및 경로 테이블이 있는 VPN Gateway

다음 다이어그램에서는 스포크 VNet에 대한 구독과 별도로 Azure 구독의 허브 VNet에 대한 리소스 그룹의 구성 요소를 보여 줍니다. 이는 구독 내에서 이러한 요소를 구성하는 한 가지 방법입니다. 조직에서 다른 방식으로 구성하도록 선택할 수 있습니다.

Microsoft Entra ID 테넌트 내의 구독, 리소스 그룹 및 Azure 구성 요소를 보여 주는 Azure 허브 VNet에 제로 트러스트 적용하기 위한 논리 아키텍처 다이어그램.

이 다이어그램에서

  • 허브 VNet에 대한 리소스는 전용 리소스 그룹 내에 포함됩니다. Azure DDoS 플랜을 리소스의 일부로 배포하는 경우 리소스 그룹에 포함해야 합니다.
  • 스포크 VNet 내의 리소스는 별도의 전용 리소스 그룹 내에 포함됩니다.

배포에 따라 Private Link DNS 확인에 사용되는 프라이빗 DNS 영역에 대한 배열을 배포할 수도 있습니다. 이러한 리소스는 프라이빗 엔드포인트를 사용하여 PaaS 리소스를 보호하는 데 사용되며, 이후 섹션에 자세히 설명되어 있습니다. VPN Gateway와 ExpressRoute 게이트웨이를 모두 배포합니다. 둘 다 필요하지 않을 수 있으므로 시나리오에 필요하지 않은 항목을 제거하거나 배포 중에 해제할 수 있습니다.

이 문서의 내용

이 문서에서는 제로 트러스트 원칙을 위해 허브 VNet의 구성 요소를 보호하기 위한 권장 사항을 제공합니다. 다음 표에서는 이 아키텍처를 보호하기 위한 권장 사항을 설명합니다.

단계 작업 적용된 제로 트러스트 원칙
1 Azure Firewall Premium을 보호합니다. 명시적으로 확인
최소 권한 액세스 사용
위반 가정
2 Azure DDoS Protection 표준을 배포합니다. 명시적으로 확인
최소 권한 액세스 사용
위반 가정
3 방화벽에 대한 네트워크 게이트웨이 라우팅을 구성합니다. 명시적으로 확인
최소 권한 액세스 사용
위반 가정
4 위협 방지를 구성합니다. 위반 가정

배포의 일부로 추가 비용으로 인해 자동화된 배포의 기본값이 아닌 특정 항목을 선택할 수 있습니다. 배포하기 전에 비용을 검토해야 합니다.

연결 허브를 배포된 대로 운영하면 격리 및 검사에 상당한 가치가 있습니다. 조직에서 이러한 고급 기능의 비용을 발생시킬 준비가 되지 않은 경우, 감소된 기능 허브를 배포하고 나중에 이러한 조정을 수행할 수 있습니다.

1단계: Azure Firewall Premium 보안

Azure Firewall Premium은 제로 트러스트 위해 Azure 인프라를 보호하는 데 중요한 역할을 합니다.

배포의 일부로 Azure Firewall Premium을 사용합니다. 이렇게 하려면 생성된 관리 정책을 프리미엄 정책으로 배포해야 합니다. Azure Firewall Premium으로 변경하려면 방화벽 및 정책도 다시 만들어야 합니다. 따라서 가능하면 Azure Firewall로 시작하거나 기존 방화벽을 대체하기 위한 재배포 작업을 준비해야 합니다.

Azure Firewall Premium을 사용하는 이유

Azure Firewall Premium은 트래픽을 검사하기 위한 고급 기능을 제공합니다. 가장 중요한 것은 다음 TLS 검사 옵션입니다.

  • 아웃바운드 TLS 검사는 내부 클라이언트에서 인터넷으로 전송되는 악의적인 트래픽으로부터 보호합니다. 이렇게 하면 클라이언트가 위반된 시기와 네트워크 외부로 데이터를 보내거나 원격 컴퓨터에 대한 연결을 설정하려는 경우를 식별할 수 있습니다.
  • 동서 TLS 검사는 Azure 내에서 Azure의 다른 부분 또는 비 Azure 네트워크로 전송되는 악의적인 트래픽으로부터 보호합니다. 이를 통해 폭발 반경을 확장하고 확산하려는 위반 시도를 식별할 수 있습니다.
  • 인바운드 TLS 검사는 Azure 네트워크 외부에서 도착하는 악의적인 요청으로부터 Azure의 리소스를 보호합니다. 웹 애플리케이션 방화벽이 있는 Azure 애플리케이션 게이트웨이는 이 보호를 제공합니다.

가능한 경우 리소스에 대해 인바운드 TLS 검사를 사용해야 합니다. Azure 애플리케이션 게이트웨이는 HTTP 및 HTTPS 트래픽에 대한 보호만 제공합니다. SQL 또는 RDP 트래픽을 사용하는 시나리오와 같은 일부 시나리오에는 사용할 수 없습니다. 다른 서비스에는 해당 서비스에 대한 명시적 확인 제어를 제공하는 데 사용할 수 있는 자체 위협 방지 옵션이 있는 경우가 많습니다. Azure 개요에 대한 보안 기준을 검토하여 이러한 서비스에 대한 위협 방지 옵션을 이해할 수 있습니다.

Azure 애플리케이션 게이트웨이는 허브 VNet에 권장되지 않습니다. 대신 스포크 VNet 또는 전용 VNet에 상주해야 합니다. 자세한 내용은 웹 애플리케이션에 대한 스포크 VNet 또는 제로 트러스트 네트워크에 대한 지침은 Azure의 스포크 가상 네트워크에 제로 트러스트 원칙 적용을 참조하세요.

이러한 시나리오에는 특정 디지털 인증서 고려 사항이 있습니다. 자세한 내용은 Azure Firewall 프리미엄 인증서를 참조하세요.

TLS 검사가 없으면 Azure Firewall은 암호화된 TLS 터널에서 흐르는 데이터를 볼 수 없으므로 보안이 떨어지게 됩니다.

예를 들어 Azure Virtual Desktop은 SSL 종료를 지원하지 않습니다. TLS 검사를 제공하는 방법을 이해하려면 특정 워크로드를 검토해야 합니다.

고객이 정의한 허용/거부 규칙 외에도 Azure Firewall은 위협 인텔리전스 기반 필터링을 적용 할 수 있습니다. 위협 인텔리전스 기반 필터링은 알려진 잘못된 IP 주소 및 도메인을 사용하여 위험을 초래하는 트래픽을 식별합니다. 이 필터링은 다른 규칙 이전에 발생합니다. 즉, 정의된 규칙에 의해 액세스가 허용된 경우에도 Azure Firewall에서 트래픽을 중지할 수 있습니다.

또한 Azure Firewall Premium에는 URL 필터링 및 웹 범주 필터링에 대한 향상된 옵션이 있어 역할에 대해 보다 세부적으로 조정할 수 있습니다.

이 트래픽이 발생할 때 경고로 알리도록 위협 인텔리전스를 설정할 수 있지만 이를 통과하도록 허용할 수 있습니다. 그러나 제로 트러스트 경우 Deny로 설정합니다.

제로 트러스트 대한 Azure Firewall Premium 구성

Azure Firewall Premium을 제로 트러스트 구성으로 구성하려면 다음을 변경합니다.

  1. 경고 및 거부 모드에서 위협 인텔리전스 사용:

    1. 방화벽 정책으로 이동하고 위협 인텔리전스를 선택합니다.
    2. 위협 인텔리전스 모드에서 경고를 선택하고 거부합니다.
    3. 저장을 선택합니다.

    위협 인텔리전스 및 경고 및 거부 모드를 사용하도록 설정하는 스크린샷.

  2. TLS 검사를 사용하도록 설정합니다.

    1. Key Vault에 저장할 인증서를 준비하거나 관리 ID를 사용하여 인증서를 자동으로 생성할 계획입니다. Azure Firewall Premium 인증서에 대한 이러한 옵션을 검토하여 시나리오에 대한 옵션을 선택할 수 있습니다.
    2. 방화벽 정책으로 이동하고 TLS 검사를 선택합니다.
    3. 사용을 선택합니다.
    4. 인증서를 생성할 관리 ID를 선택하거나 키 자격 증명 모음 및 인증서를 선택합니다.
    5. 그런 다음 저장을 선택합니다.

    TLS 검사를 사용하도록 설정하는 스크린샷.

  3. IDPS(침입 감지 및 방지 시스템)를 사용하도록 설정합니다.

    1. 방화벽 정책으로 이동하고 IDPS를 선택합니다.
    2. 경고를 선택하고 거부합니다.
    3. 그런 다음 적용을 선택합니다.

    IDPS를 사용하도록 설정하는 스크린샷

  4. 다음으로 트래픽에 대한 애플리케이션 규칙을 만들어야 합니다.

    1. 방화벽 정책에서 애플리케이션 규칙으로 이동합니다.
    2. 규칙 컬렉션 추가를 선택합니다.
    3. Application Gateway 서브넷의 원본과 보호 중인 웹앱의 도메인 이름의 대상을 사용하여 애플리케이션 규칙을 만듭니다.
    4. TLS 검사를 사용하도록 설정해야 합니다.

    애플리케이션 규칙을 만드는 단계를 보여 주는 스크린샷

추가 구성

이제 Azure Firewall Premium을 구성하여 다음 구성을 수행할 수 있습니다.

  • 적절한 경로 테이블을 할당하고 이 지침에 따라 Azure Firewall로 트래픽을 라우팅하도록 Application Gateway를 구성합니다.
  • 다음 지침에 따라 방화벽 이벤트 및 메트릭에 대한 경고를 만듭니다.
  • Azure Firewall 통합 문서를 배포하여 이벤트를 시각화합니다.
  • 필요한 경우 URL 및 웹 범주 필터링을 구성합니다. Azure Firewall은 기본적으로 거부하므로 Azure Firewall이 아웃바운드 인터넷 액세스를 광범위하게 부여해야 하는 경우에만 이 구성이 필요합니다. 이를 추가 확인으로 사용하여 연결을 허용해야 하는지 여부를 확인할 수 있습니다.

2단계: Azure DDoS Protection 표준 배포

배포의 일부로 Azure DDoS Protection 표준 정책을 배포하려고 합니다. 이렇게 하면 Azure 플랫폼에서 제공되는 제로 트러스트 보호가 증가합니다.

만든 정책을 기존 리소스에 배포할 수 있으므로 리소스를 다시 배포하지 않고도 초기 배포 후에 이 보호를 추가할 수 있습니다.

Azure DDoS Protection 표준을 사용하는 이유

Azure DDoS Protection 표준은 기본 DDoS Protection보다 이점이 증가했습니다. 제로 트러스트 경우 다음을 수행할 수 있습니다.

  • 완화 보고서, 흐름 로그 및 메트릭에 대한 액세스
  • 애플리케이션 기반 완화 정책입니다.
  • DDoS 공격이 발생하는 경우 DDoS 신속한 대응 지원에 액세스합니다.

자동 검색 및 자동 완화는 기본적으로 사용하도록 설정된 DDoS Protection 기본의 일부이지만 이러한 기능은 DDoS Standard에서만 사용할 수 있습니다.

Azure DDoS Protection 표준 구성

DDoS Protection 표준에 대한 제로 트러스트 특정 구성이 없으므로 이 솔루션에 대한 리소스 관련 가이드를 따를 수 있습니다.

현재 버전의 Azure DDoS Protection에서는 VNet당 Azure DDoS Protection을 적용해야 합니다. DDoS 빠른 시작의 추가 지침을 참조하세요.

또한 다음 공용 IP 주소를 보호합니다.

  • Azure Firewall 공용 IP 주소
  • Azure Bastion 공용 IP 주소
  • Azure Network Gateway 공용 IP 주소
  • Application Gateway 공용 IP 주소

3단계: 방화벽에 대한 네트워크 게이트웨이 라우팅 구성

배포 후에는 다양한 서브넷에서 경로 테이블을 구성하여 스포크 VNet과 온-프레미스 네트워크 간의 트래픽이 Azure Firewall에서 검사되도록 해야 합니다. 재배포 요구 사항 없이 기존 환경에서 이 작업을 수행할 수 있지만 액세스를 허용하는 데 필요한 방화벽 규칙을 작성해야 합니다.

스포크 서브넷 또는 게이트웨이 서브넷 중 하나만 한 쪽만 구성하는 경우 연결이 작동하지 않도록 하는 비동기 라우팅이 있습니다.

네트워크 게이트웨이 트래픽을 방화벽으로 라우팅하는 이유는 무엇인가요?

제로 트러스트 핵심 요소는 특정 요소가 사용자 환경에 있다고 가정하지 않고 사용자 환경의 다른 리소스에 액세스할 수 있어야 한다고 가정하지 않는 것입니다. 기본 구성을 사용하면 Azure의 리소스 간에 네트워크 보안 그룹에서만 제어되는 온-프레미스 네트워크로 라우팅할 수 있습니다.

트래픽을 방화벽으로 라우팅하여 검사 수준을 높이고 환경의 보안을 강화합니다. 또한 의심스러운 활동에 대한 경고를 받고 조치를 취할 수 있습니다.

게이트웨이 라우팅 구성

게이트웨이 트래픽이 Azure 방화벽으로 라우팅되는지 확인하는 두 가지 주요 방법이 있습니다.

  • 전용 VNet(종종 전송 또는 게이트웨이 VNet이라고 함)에서 Azure 네트워크 게이트웨이(VPN 또는 ExpressRoute 연결용)를 배포하고, 허브 VNet에 피어링한 다음, 계획된 Azure 네트워킹 주소 공간 라우팅을 방화벽에 포함하는 광범위한 라우팅 규칙을 만듭니다.
  • 허브 VNet에 Azure Network Gateway를 배포하고, 게이트웨이 서브넷에서 라우팅을 구성한 다음, 스포크 VNet 서브넷에서 라우팅을 구성합니다.

이 가이드에서는 참조 아키텍처와 더 호환되기 때문에 두 번째 옵션을 자세히 설명합니다.

참고 항목

Azure Virtual Network Manager 는 이 프로세스를 간소화하는 서비스입니다. 이 서비스가 일반 공급되면 라우팅을 관리하는 데 사용합니다.

게이트웨이 서브넷 라우팅 구성

내부 트래픽을 Azure Firewall로 전달하도록 게이트웨이 서브넷 경로 테이블을 구성하려면 새 경로 테이블을 만들고 구성합니다.

  1. Microsoft Azure Portal에서 경로 테이블 만들기로 이동합니다.

  2. 리소스 그룹에 경로 테이블을 배치하고, 지역을 선택하고, 이름을 지정합니다.

  3. 검토 + 만들기, 만들기를 차례로 선택합니다.

    경로 테이블을 만드는 스크린샷

  4. 새 경로 테이블로 이동하고 경로를 선택합니다.

    경로 테이블을 선택하는 스크린샷

  5. 추가를 선택한 다음 스포크 VNet 중 하나에 경로를 추가합니다.

    1. 경로 이름에서 경로 필드의 이름을 지정합니다.
    2. 주소 접두사 대상 드롭다운에서 IP 주소를 선택합니다.
    3. 대상 IP 주소/CIDR 범위 필드에 스포크 VNet의 주소 공간을 제공합니다.
    4. 다음 홉 유형 드롭다운 상자에서 가상 어플라이언스 선택
    5. 다음 홉 주소 필드에 Azure Firewall의 개인 IP 주소를 제공합니다.
    6. 추가를 선택합니다.

    예제 경로를 추가하는 스크린샷

게이트웨이 서브넷에 경로 테이블 연결

  1. 서브넷으로 이동하고 연결을 선택합니다.
  2. 가상 네트워크 드롭다운 목록에서 허브 VNet을 선택합니다.
  3. 서브넷 드롭다운에서 GatewaySubnet 을 선택합니다.
  4. 확인을 선택합니다.

예제는 다음과 같습니다.

서브넷 연결 스크린샷

이제 게이트웨이는 스포크 VNet용 트래픽을 Azure Firewall에 전달합니다.

스포크 서브넷 라우팅 구성

이 프로세스에서는 트래픽을 Azure Firewall로 전달하는 기본 경로와 함께 스포크 VNet 서브넷에 연결된 경로 테이블이 이미 있다고 가정합니다. 이는 CIDR 범위 0.0.0.0/0에 대한 트래픽을 전달하는 규칙(종종 쿼드 제로 경로라고 함)에 의해 가장 자주 수행됩니다.

예제는 다음과 같습니다.

기본 경로 트래픽에 대한 스포크 서브넷 라우팅을 구성하는 스크린샷.

이 프로세스는 게이트웨이에서 경로 전파를 사용하지 않도록 설정하여 기본 경로가 온-프레미스 네트워크로 의도한 트래픽을 가져올 수 있도록 합니다.

참고 항목

함수에 인터넷 액세스가 필요한 Application Gateway와 같은 리소스는 이 경로 테이블을 수신하면 안 됩니다. Azure Firewall 및 Application Gateway를 사용하는 웹 애플리케이션에 대한 제로 트러스트 네트워크 문서에 설명된 것과 같이 필요한 기능을 허용하는 고유한 경로 테이블이 있어야 합니다.

스포크 서브넷 라우팅을 구성하려면 다음을 수행합니다.

  1. 서브넷과 연결된 경로 테이블로 이동하고 구성을 선택합니다.
  2. 게이트웨이 경로 전파에 대해 아니요를 선택합니다.
  3. 저장을 선택합니다.

게이트웨이 경로를 아니요로 전파하도록 설정하는 스크린샷

이제 기본 경로가 게이트웨이용 트래픽을 Azure Firewall로 전달합니다.

4단계: 위협 방지 구성

클라우드용 Microsoft Defender Azure 또는 온-프레미스에서 실행되는 IT 비즈니스 환경의 다른 리소스와 마찬가지로 Azure에서 빌드된 허브 VNet을 보호할 수 있습니다.

클라우드용 Microsoft Defender CSPM(Cloud Security Posture Management) 및 CWP(Cloud Workload Protection)로, 회사가 더 나은 보안 태세로 IT 환경을 구축하는 데 도움이 되는 보안 점수 시스템을 제공합니다. 또한 위협으로부터 네트워크 환경을 보호하는 기능도 포함되어 있습니다.

이 문서에서는 클라우드용 Microsoft Defender 자세히 다루지 않습니다. 그러나 클라우드용 Microsoft Defender Log Analytics 작업 영역에서 수집하는 Azure 정책 및 로그를 기반으로 작동한다는 것을 이해하는 것이 중요합니다.

JSON(JavaScript Object Notation)에 Azure Policy를 작성하여 네트워크 서비스 및 리소스를 비롯한 Azure 리소스 속성에 대한 다양한 분석을 보유합니다. 즉, 클라우드용 Microsoft Defender 네트워크 리소스에서 속성을 확인하고 보호되거나 위협에 노출된 경우 구독에 권장 사항을 제공하는 것이 쉽습니다.

클라우드용 Microsoft Defender 통해 사용할 수 있는 모든 네트워크 권장 사항을 확인하는 방법

클라우드용 Microsoft Defender 사용하는 네트워크 권장 사항을 제공하는 모든 Azure 정책을 보려면 다음을 수행합니다.

클라우드용 Microsoft Defender 권장되는 Azure 정책의 예제 스크린샷

  1. 왼쪽 메뉴에서 클라우드용 Microsoft Defender 아이콘을 선택하여 클라우드용 Microsoft Defender 엽니다.

  2. 환경 설정을 선택합니다.

  3. 보안 정책을 선택합니다.

  4. ASC 기본값에서 선택하는 경우 네트워크 리소스를 평가하는 정책을 포함하여 사용 가능한 모든 정책을 검토할 수 있습니다.

  5. 또한 PCI, ISO 및 Microsoft 클라우드 보안 벤치마크를 비롯한 다른 규정 준수에 의해 평가되는 네트워크 리소스가 있습니다. 이 중 원하는 항목을 사용하도록 설정하고 네트워크 권장 사항을 추적할 수 있습니다.

네트워크 권장 사항

Microsoft 클라우드 보안 벤치마크를 기반으로 네트워크 권장 사항 중 일부를 보려면 다음 단계를 수행합니다.

클라우드용 Microsoft Defender 네트워크 권장 사항의 스크린샷 예제입니다.

  1. 클라우드용 Microsoft Defender 엽니다.

  2. 규정 준수를 선택합니다.

  3. Microsoft 클라우드 보안 벤치마크를 선택합니다.

  4. NS를 확장 합니다. 권장되는 네트워크 제어를 검토하기 위한 네트워크 보안 입니다.

클라우드용 Microsoft Defender 가상 머신 및 스토리지와 같은 다른 Azure 리소스에 대한 다른 네트워크 권장 사항을 제공한다는 것을 이해하는 것이 중요합니다. 권장 사항 아래의 왼쪽 메뉴에서 이러한 권장 사항을 검토할 수 있습니다.

클라우드용 Microsoft Defender 포털의 왼쪽 메뉴에서 보안 경고를 선택하여 네트워크 리소스를 기반으로 경고를 검토하여 일부 유형의 위협을 방지할 수 있습니다. 이러한 경고는 Log Analytics 작업 영역에서 수집되고 클라우드용 Microsoft Defender 모니터링되는 로그를 기반으로 클라우드용 Microsoft Defender 자동으로 생성됩니다.

클라우드용 Microsoft Defender 통해 Azure 네트워크 환경 매핑 및 강화

네트워크 토폴로지를 더 잘 이해하기 위해 네트워크 환경을 매핑하여 손쉽게 네트워크 환경을 강화하여 더 나은 보안 상태를 얻는 옵션을 확인할 수도 있습니다. 이러한 권장 사항은 여기에 표시된 것처럼 왼쪽 메뉴의 워크로드 보호 옵션을 통해 수행됩니다.

클라우드용 Microsoft Defender Azure 네트워킹의 예제 매핑 스크린샷

클라우드용 Microsoft Defender 통해 Azure Firewall 정책 관리

이 문서에 설명된 대로 허브 VNet에 Azure Firewall을 사용하는 것이 좋습니다. 클라우드용 Microsoft Defender 여러 Azure Firewall 정책을 중앙에서 관리할 수 있습니다. Azure Firewall 정책 외에도 여기에 표시된 대로 Azure Firewall과 관련된 다른 기능을 관리할 수 있습니다.

클라우드용 Microsoft Defender 통해 Azure 방화벽 정책을 관리하는 예제 스크린샷

클라우드용 Microsoft Defender 위협으로부터 네트워크 환경을 보호하는 방법에 대한 자세한 내용은 클라우드용 Microsoft Defender?

Azure의 보안에 대한 자세한 내용은 Microsoft 카탈로그에서 다음 리소스를 참조하세요.
Azure의 보안 | Microsoft Learn

다음 단계

Azure에 제로 트러스트 원칙을 적용하려면 다음 추가 문서를 참조하세요.

기술 일러스트레이션

이 포스터는 Azure IaaS의 구성 요소를 참조 및 논리 아키텍처로 한눈에 볼 수 있는 단일 페이지 보기와 이러한 구성 요소에 적용된 제로 트러스트 모델의 "신뢰할 수 없음, 항상 확인" 원칙을 갖도록 하는 단계를 제공합니다.

항목 설명
Azure IaaS 인프라 포스터에 제로 트러스트 적용에 대한 썸네일 그림입니다.
PDF | Visio
업데이트 날짜: 2024년 3월		 이 그림과 함께 다음 문서를 사용합니다. Azure IaaS 개요에 제로 트러스트 원칙 적용

관련 솔루션 가이드

이 포스터는 Azure IaaS용 제로 트러스트 별도의 구성 요소에 대한 참조 및 논리 아키텍처 및 자세한 구성을 제공합니다. 별도의 IT 부서 또는 전문 분야에 대해 이 포스터의 페이지를 사용하거나 Microsoft Visio 버전의 파일을 사용하여 인프라에 대한 다이어그램을 사용자 지정합니다.

항목 설명
Azure IaaS 인프라 포스터에 제로 트러스트 적용하기 위한 다이어그램의 썸네일 그림입니다.
PDF | Visio
업데이트 날짜: 2024년 3월		 Azure IaaS 개요에 제로 트러스트 원칙 적용: 여기에서 시작하는 문서와 함께 이러한 다이어그램 사용

관련 솔루션 가이드

추가 기술 일러스트레이션을 보려면 여기를 클릭하세요.

참조

이 문서에 언급된 다양한 서비스 및 기술에 대해 알아보려면 이러한 링크를 참조하세요.