다음을 통해 공유

Azure Managed HSM에 대한 네트워크 보안

이 문서에서는 Azure Key Vault 관리형 HSM 방화벽에 대한 다양한 구성에 대해 설명합니다. 이러한 설정을 구성하는 방법에 대한 단계별 지침은 Azure Managed HSM 네트워킹 설정을 구성하는 방법을 참조하세요.

방화벽 설정

이 섹션에서는 Azure Key Vault 관리형 HSM 방화벽을 구성하는 다양한 방법을 설명합니다.

관리형 HSM 방화벽 사용 안 함(모든 네트워크에서 공용 액세스 사용)

기본적으로 새 관리형 HSM을 만들면 Azure Key Vault 관리형 HSM 방화벽이 비활성화됩니다. 모든 애플리케이션 및 Azure 서비스는 관리형 HSM에 액세스하고 관리형 HSM에 요청을 보낼 수 있습니다. 이 구성은 관리되는 HSM에서 작업을 수행할 수 있는 권한을 사용자에게 부여하지 않습니다. 관리형 HSM은 Microsoft Entra 인증 및 액세스 권한을 요구하여 관리형 HSM에 저장된 키에 대한 액세스를 계속 제한합니다. 관리형 HSM 인증에 대한 자세한 내용은 Azure Key Vault 관리형 HSM 액세스 제어를 참조하세요.

관리형 HSM 방화벽 사용(IP 네트워크 방화벽(미리 보기))

관리형 HSM 방화벽을 통해 관리형 HSM에 액세스하도록 특정 서비스에 권한을 부여하려면 IP 네트워크 방화벽(미리 보기) 기능을 사용하여 해당 IP 주소를 관리형 HSM 방화벽 허용 목록에 추가합니다. 이 구성은 고정 IP 주소 또는 잘 알려진 범위를 사용하는 서비스에 가장 적합합니다. 이 구성에 대해 최대 10개의 CIDR 범위를 추가할 수 있습니다.

비고

IP 네트워크 방화벽(미리 보기) 기능을 사용하려면 구독을 사용하도록 설정해야 합니다. 이 기능을 사용하려면 구독 및 지역 정보를 사용하여 지원 티켓을 만듭니다.

웹앱 또는 논리 앱과 같은 Azure 리소스의 IP 주소 또는 범위를 허용하려면 다음 단계를 수행합니다.

  1. Azure Portal에 로그인합니다.
  2. 리소스(서비스의 특정 인스턴스)를 선택합니다.
  3. 설정에서 속성 블레이드를 선택합니다.
  4. IP 주소 필드를 찾습니다.
  5. 이 값 또는 범위를 복사하여 관리형 HSM 방화벽 허용 목록에 입력합니다.

관리형 HSM 방화벽을 통해 전체 Azure 서비스를 허용하려면 Azure에 대해 공개적으로 문서화된 데이터 센터 IP 주소 목록을 사용합니다. 원하는 지역에서 원하는 서비스와 연결된 IP 주소를 찾고 관리되는 HSM 방화벽에 해당 IP 주소를 추가합니다.

비고

다음 IP 네트워크 방화벽(미리 보기) 구성 제한 사항에 유의하세요.

  • 최대 10개 IPv4 규칙을 추가할 수 있습니다.
  • IP 네트워크 규칙은 공용 IP 주소에 대해서만 허용됩니다. 개인 네트워크용으로 예약된 IP 주소 범위(RFC 1918에 정의됨)는 IP 규칙에서 허용되지 않습니다.
  • 현재 IPv4 주소만 지원됩니다.

관리형 HSM 방화벽 사용(신뢰할 수 있는 서비스)

관리형 HSM 방화벽을 사용하도록 설정하면 신뢰할 수 있는 Microsoft 서비스가 이 방화벽을 무시하도록 허용하는 옵션을 선택할 수 있습니다. 신뢰할 수 있는 서비스 목록은 모든 Azure 서비스를 다루지 않습니다. 예를 들어, Azure DevOps는 신뢰할 수 있는 서비스 목록에 없습니다. 이 제한은 신뢰할 수 있는 서비스 목록에 표시되지 않는 서비스가 신뢰할 수 없거나 안전하지 않다는 것을 의미하지는 않습니다. 신뢰할 수 있는 서비스 목록에는 Microsoft가 서비스에서 실행되는 모든 코드를 제어하는 서비스가 포함됩니다. 사용자가 Azure DevOps와 같은 Azure 서비스에서 사용자 지정 코드를 작성할 수 있으므로 Microsoft는 서비스에 대한 일괄 승인을 만드는 옵션을 제공하지 않습니다. 또한 서비스가 신뢰할 수 있는 서비스 목록에 표시되어 있다고 해서 모든 시나리오에 허용되는 것은 아닙니다.

사용하려는 서비스가 신뢰할 수 있는 서비스 목록에 있는지 확인하려면 Azure Key Vault에 대한 가상 네트워크 서비스 엔드포인트를 참조하세요. 방법 가이드는 포털, Azure CLI 및 PowerShell에 대한 지침을 따르세요.

관리형 HSM에서 프라이빗 링크 연결을 구성하는 방법을 알아보려면 Azure Private Link와 관리형 HSM 통합을 참조하세요.

중요합니다

방화벽 규칙이 적용된 후 사용자는 요청이 허용된 IPv4 주소 범위에서 시작되는 경우에만 관리형 HSM 데이터 평면 작업을 수행할 수 있습니다. 이 제한은 Azure Portal에서 관리형 HSM에 액세스하는 데에도 적용됩니다. 사용자는 Azure Portal에서 관리형 HSM으로 이동할 수 있지만 클라이언트 컴퓨터가 허용 목록에 없으면 키를 나열하지 못할 수 있습니다. 이 제한은 다른 Azure 서비스에서 사용하는 관리형 HSM 선택에도 영향을 줍니다. 방화벽 규칙이 사용자의 클라이언트 머신을 막는 경우 사용자는 키 자격 증명 모음 목록은 볼 수 있지만 키를 나열할 수는 없습니다.

공용 액세스 사용 안 함(프라이빗 엔드포인트만 해당)

네트워크 보안을 강화하기 위해 공용 액세스를 사용하지 않도록 관리되는 HSM을 구성할 수 있습니다. 이 구성은 모든 공용 액세스를 거부하고 프라이빗 엔드포인트를 통한 연결만 허용합니다.

제한 사항 및 고려 사항

  • 공용 네트워크 액세스를 사용 안 함으로 설정하면 신뢰할 수 있는 서비스가 계속 허용될 수 있습니다.
  • Azure Key Vault 관리형 HSM 방화벽 규칙은 데이터 평면 작업에만 적용됩니다. 컨트롤 플레인 작업에는 방화벽 규칙에 지정된 제한 사항이 적용되지 않습니다.
  • Azure Portal과 같은 도구를 사용하여 데이터에 액세스하려면 네트워크 보안 규칙을 구성할 때 설정하는 신뢰할 수 있는 경계 내의 컴퓨터에 있어야 합니다.

다음 단계

References

  • Last updated on