Azure Payment HSM 또는 PHSM(Azure Payment Hardware Security Module)은 Azure 클라우드에서 실시간 및 중요한 결제 트랜잭션을 위한 암호화 키 작업을 제공하는 운영 체제 미설치 서비스 입니다. 자세한 내용은 Azure Payment HSM이란?을 참조하세요.
Payment HSM이 배포되면 호스트 네트워크 인터페이스 및 관리 네트워크 인터페이스가 함께 제공됩니다. 다음과 같은 몇 가지 배포 시나리오가 있습니다.
위의 모든 시나리오에서 Payment HSM은 위임된 서브넷 hsmSubnet에 VNet 삽입된 서비스이며, managementHsmSubnet와 Microsoft.HardwareSecurityModules/dedicatedHSMs는 Microsoft.HardwareSecurityModules/dedicatedHSMs 서비스에 위임되어야 합니다.
동일한 VNet 또는 피어링된 VNet의 원본에서 Azure Payment HSM으로 향하는 네트워크 가상 어플라이언스 또는 방화벽을 통해 패킷 라우팅을 제어하도록 경로 테이블(UDR 경로)을 구성하려면 UDR 접두사는 Azure Payment HSM의 위임된 서브넷 크기와 더 구체적이거나 같아야 합니다. UDR 접두사가 위임된 서브넷 크기보다 구체적이지 않으면 효과적이지 않습니다. 예를 들어 위임된 서브넷이 x.x.x.x/24인 경우 UDR을 x.x.x.x/24(등) 또는 x.x.x.x/32(더 구체적인)로 구성해야 합니다. UDR 경로를 x.x.x.x/16으로 구성하면 비대칭 라우팅과 같은 정의되지 않은 동작으로 인해 방화벽에서 네트워크가 삭제될 수 있습니다.
중요합니다
이 FastPathEnabled 기능은 Payment HSM에 액세스해야 하는 모든 구독에서 등록 및 승인 되어야 합니다. 또한 Payment HSM 위임 서브넷을 호스팅하는 VNet 및 Payment HSM 디바이스에 대한 연결이 필요한 모든 피어링된 VNet에서 태그를 사용하도록 설정 fastpathenabled 해야 합니다.
VNet 태그가 유효하려면, 해당 VNet이 배포된 구독에서 FastPathEnabled 기능이 활성화되어 있어야 합니다. 리소스가 Payment HSM 디바이스에 연결할 수 있도록 하려면 두 단계를 모두 완료해야 합니다. 자세한 내용은 FastPathEnabled를 참조하세요.
PHSM은 지원되는 토폴로지에서 나열된 대로 vWAN 토폴로지 또는 지역 간 VNet 피어링과 호환되지 않습니다. 결제 HSM에는 이러한 서브넷에 대한 몇 가지 정책 제한이 있습니다. NSG(네트워크 보안 그룹) 및 UDR(User-Defined 경로)은 현재 지원되지 않습니다.
현재 UDR 제한을 우회하고 결제 HSM으로 향하는 트래픽을 검사할 수 있습니다. 이 문서에서는 SNAT(원본 네트워크 주소 변환)가 있는 방화벽과 역방향 프록시가 있는 방화벽의 두 가지 방법을 제공합니다.
SNAT(소스 네트워크 주소 변환)가 있는 방화벽
이 디자인은 전용 HSM 솔루션 아키텍처에서 영감을 받았습니다.
방화벽은 트래픽을 PHSM NIC로 전달하기 전에 클라이언트 IP 주소를 SNATS 하여 반환 트래픽이 자동으로 방화벽으로 다시 전송되도록 합니다. 이 디자인에서는 Azure Firewall 또는 타사 FW NVA를 사용할 수 있습니다.
경로 테이블 필요:
- 온-프레미스에서 PHSM으로: 결제 HSM 서브넷 범위에 대한 UDR을 포함하고 중앙 허브 방화벽을 가리키는 경로 테이블이 GatewaySubnet에 적용됩니다.
- PHSM에 스포크 VNet: 중앙 허브 방화벽을 가리키는 일반적인 기본 경로를 포함하는 경로 테이블이 하나 이상의 스포크 VNet 서브넷에 적용됩니다.
결과:
- PHSM 서브넷에서 지원되지 않는 UDR은 클라이언트 IP에서 SNAT를 수행하는 방화벽에 의해 해결됩니다. PHSM에 트래픽을 전달할 때 반환 트래픽은 자동으로 방화벽으로 다시 전달됩니다.
- PHSM 서브넷에서 NSG를 사용하여 적용할 수 없는 필터링 규칙은 방화벽에서 구성할 수 있습니다.
- PHSM 환경에 대한 스포크 트래픽과 온-프레미스 트래픽은 모두 보호됩니다.
역방향 프록시가 있는 방화벽
이 디자인은 네트워크 보안 팀이 승인하지 않은 방화벽에서 SNAT를 수행할 때 방화벽을 통과하는 트래픽에 대해 원본 및 대상 IP를 변경하지 않고 유지해야 하는 경우에 좋은 옵션입니다.
이 아키텍처는 PHSM VNet의 전용 서브넷에 직접 또는 피어된 VNet에 배포된 역방향 프록시를 사용합니다. PHSM 디바이스로 트래픽을 보내는 대신 대상은 PHSM 위임 서브넷의 제한이 없는 서브넷에 있는 역방향 프록시 IP로 설정됩니다. NSG와 UDR을 모두 구성하고 중앙 허브의 방화벽과 결합할 수 있습니다.
이 솔루션에는 다음과 같은 역방향 프록시가 필요합니다.
- F5(Azure Marketplace; VM 기반)
- NGINXaaS(Azure Marketplace; PaaS 완전 관리)
- NGINX를 사용하는 역방향 프록시 서버(VM 기반)
- HAProxy를 사용하는 역방향 프록시 서버(VM 기반)
NGINX(VM 기반) 구성을 사용하여 tcp 트래픽 부하를 분산하는 역방향 프록시 서버의 예:
# Nginx.conf
stream {
server {
listen 1500;
proxy_pass 10.221.8.4:1500;
}
upstream phsm {
server 10.221.8.5:443;
}
server {
listen 443;
proxy_pass phsm;
proxy_next_upstream on;
}
}
경로 테이블 필요:
- 온-프레미스에서 PHSM으로: 결제 HSM 서브넷 범위에 대한 UDR을 포함하고 중앙 허브 방화벽을 가리키는 경로 테이블이 GatewaySubnet에 적용됩니다.
- PHSM에 대한 스포크 VNet: 중앙 허브 방화벽을 가리키는 일반적인 기본 경로를 포함하는 경로 테이블이 하나 이상의 스포크 VNet 서브넷에 적용됩니다.
중요합니다
역방향 프록시 서브넷에서 게이트웨이 경로 전파를 사용하지 않도록 설정해야 하므로 0/0 UDR만으로도 방화벽을 통해 반환 트래픽을 강제로 적용할 수 있습니다.
결과:
- PHSM 서브넷에서 지원되지 않는 UDR은 역방향 프록시 서브넷에서 구성할 수 있습니다.
- 역방향 프록시는 클라이언트 IP를 SNAT합니다. PHSM에 트래픽을 전달할 때 반환 트래픽은 자동으로 역방향 프록시로 다시 전송됩니다.
- PHSM 서브넷에서 NSG를 사용하여 적용할 수 없는 필터링 규칙은 방화벽 및/또는 역방향 프록시 서브넷에 적용된 NSG에서 구성할 수 있습니다.
- PHSM 환경에 대한 스포크 트래픽과 온-프레미스 트래픽은 모두 보호됩니다.