방화벽 디바이스를 사용하여 Azure Stack Hub를 보호하는 것이 좋습니다. 방화벽은 DDOS(분산 서비스 거부) 공격, 침입 탐지 및 콘텐츠 검사와 같은 항목을 방어하는 데 도움이 될 수 있습니다. 그러나 Blob, 테이블 및 큐와 같은 Azure Storage 서비스에 대한 처리량 병목 상태가 될 수도 있습니다.
연결이 끊긴 배포 모드를 사용하는 경우 AD FS 엔드포인트를 게시해야 합니다. 자세한 내용은 데이터 센터 통합 ID 문서를 참조하세요.
Azure Resource Manager(관리자), 관리자 포털 및 Key Vault(관리자) 엔드포인트에 외부 게시가 반드시 필요한 것은 아닙니다. 예를 들어 서비스 공급자는 인터넷이 아닌 네트워크 내부에서만 Azure Stack Hub를 관리하여 공격 노출 영역을 제한할 수 있습니다.
엔터프라이즈 조직의 경우 외부 네트워크는 기존 회사 네트워크일 수 있습니다. 이 시나리오에서는 회사 네트워크에서 Azure Stack Hub를 작동하도록 엔드포인트를 게시해야 합니다.
네트워크 주소 변환
NAT(네트워크 주소 변환)는 배포 중에 DVM(배포 가상 머신)이 외부 리소스 및 인터넷에 액세스할 수 있도록 허용하는 권장 방법이며 등록 및 문제 해결 중에는 ERCS(응급 복구 콘솔) VM 또는 PEP(권한 있는 엔드포인트)를 사용할 수 있습니다.
NAT는 외부 네트워크 또는 공용 VIP의 공용 IP 주소 대신 사용할 수도 있습니다. 그러나 테넌트 사용자 환경을 제한하고 복잡성을 증가하기 때문에 그렇게 하지 않는 것이 좋습니다. 한 가지 옵션은 풀의 사용자 IP당 하나의 공용 IP가 여전히 필요한 1대 1 NAT입니다. 또 다른 옵션은 사용자가 사용할 수 있는 모든 포트에 대해 사용자 VIP당 NAT 규칙이 필요한 다대 1 NAT입니다.
공용 VIP에 NAT를 사용하는 경우의 몇 가지 단점은 다음과 같습니다.
- NAT는 사용자가 SDN(소프트웨어 정의 네트워킹) 스택에서 자체 엔드포인트 및 자체 게시 규칙을 제어하기 때문에 방화벽 규칙을 관리할 때 오버헤드를 추가합니다. 사용자는 AZURE Stack Hub 운영자에게 문의하여 VIP를 게시하고 포트 목록을 업데이트해야 합니다.
- NAT 사용은 사용자 환경을 제한하지만 게시 요청을 통해 운영자에게 모든 권한을 부여합니다.
- Azure를 사용하는 하이브리드 클라우드 시나리오의 경우 Azure가 NAT를 사용하여 엔드포인트에 대한 VPN 터널 설정을 지원하지 않는다는 점을 고려합니다.
SSL 중간 개입
현재 모든 Azure Stack Hub 트래픽에서 SSL 인터셉션(예: 암호 해독 오프로드)을 사용하지 않도록 설정하는 것이 좋습니다. 향후 업데이트에서 지원되는 경우 Azure Stack Hub에 대해 SSL 인터셉션을 사용하도록 설정하는 방법에 대한 지침이 제공됩니다.
Edge 방화벽 시나리오
에지 배포에서 Azure Stack Hub는 에지 라우터 또는 방화벽 바로 뒤에 배포됩니다. 이러한 시나리오에서는 방화벽이 경계(시나리오 1) 위에 위치하며, 활성-활성 및 활성-수동 방화벽 구성을 모두 지원합니다. 또는, 방화벽이 경계를 담당하는 디바이스로 작동하는 경우(시나리오 2)에는 BGP 또는 정적 라우팅을 사용하는 동일 비용 다중 경로(ECMP)에 의존하여 활성-활성 방화벽 구성만을 지원합니다.
공용 라우팅 가능한 IP 주소는 배포 시 외부 네트워크의 공용 VIP 풀에 대해 지정됩니다. 에지 시나리오에서는 보안을 위해 다른 네트워크에서 공용 라우팅 가능 IP를 사용하지 않는 것이 좋습니다. 이 시나리오를 통해 사용자는 Azure와 같은 퍼블릭 클라우드에서처럼 완전한 자체 제어 클라우드 환경을 경험할 수 있습니다.
Azure Stack Hub 에지 방화벽 예제
Azure Stack Hub edge firewall example
엔터프라이즈 인트라넷 또는 경계 네트워크 방화벽 시나리오
엔터프라이즈 인트라넷 또는 경계 배포에서 Azure Stack Hub는 다중 영역 방화벽 또는 에지 방화벽과 내부 회사 네트워크 방화벽 사이에 배포됩니다. 그런 다음, 아래 설명된 대로 보안, 경계 네트워크(또는 DMZ) 및 안전하지 않은 영역 간에 트래픽이 분산됩니다.
- 보안 영역: 내부 또는 회사 라우팅 가능한 IP 주소를 사용하는 내부 네트워크입니다. 보안 네트워크를 분할하고, 방화벽의 NAT를 통해 인터넷 아웃바운드 액세스를 가질 수 있으며, 일반적으로 내부 네트워크를 통해 데이터 센터 내의 어디에서나 액세스할 수 있습니다. 외부 네트워크의 공용 VIP 풀을 제외한 모든 Azure Stack Hub 네트워크는 보안 영역에 있어야 합니다.
- 경계 영역. 경계 네트워크는 웹 서버와 같은 외부 또는 인터넷 연결 앱이 일반적으로 배포되는 위치입니다. 일반적으로 인터넷에서 지정된 인바운드 트래픽을 허용하면서 DDoS 및 침입(해킹)과 같은 공격을 방지하기 위해 방화벽에서 모니터링합니다. Azure Stack Hub의 외부 네트워크 공용 VIP 풀만 DMZ 영역에 있어야 합니다.
- 보안되지 않은 영역 . 외부 네트워크인 인터넷입니다. 안전하지 않은 영역에 Azure Stack Hub를 배포하는 권장되지 않습니다.
Azure Stack Hub 경계 네트워크 예제
Azure Stack Hub perimeter network example
더 알아보세요
Azure Stack Hub 엔드포인트 사용하는포트 및 프로토콜에 대해 자세히 알아봅니다.