네트워크 보안 경계는 가상 네트워크 외부에 배포되는 PaaS(Platform-as-a-Service) 리소스를 둘러싼 논리적 네트워크 경계입니다. Azure AI Search, Azure Storage 및 Azure OpenAI와 같은 리소스에 대한 공용 네트워크 액세스를 제어하기 위한 경계를 설정합니다.
이 문서에서는 Azure AI 검색 서비스를 네트워크 보안 경계에 조인시켜 검색 서비스에 대한 네트워크 액세스를 제어하는 방법을 설명합니다. 네트워크 보안 경계에 조인하면 다음과 같은 이점이 있습니다.
- 동일한 경계에 있는 다른 Azure 리소스와 관련하여 검색 서비스에 대한 모든 액세스를 기록합니다.
- 경계 외부의 다른 서비스로 검색 서비스에서 데이터가 반출되는 것을 차단합니다.
- 네트워크 보안 경계의 인바운드 및 아웃바운드 액세스 기능을 사용하여 검색 서비스에 대한 액세스를 허용합니다.
이 문서에 설명된 대로 Azure Portal에서 네트워크 보안 경계에 검색 서비스를 추가할 수 있습니다. 또는 Azure Virtual Network Manager REST API를 사용하여 검색 서비스에 조인하고 검색 관리 REST API를 사용하여 구성 설정을 보고 동기화할 수 있습니다.
필수 구성 요소
기존 네트워크 보안 경계. 검색 서비스와 연결할 하나를 만들 수 있습니다.
Azure AI 검색, 모든 지역의 모든 청구 가능 계층.
제한점
네트워크 보안 경계 내의 검색 서비스의 경우 인덱서는 시스템 또는 사용자가 할당한 관리 ID를 사용해야 하며 데이터 원본에 대한 읽기 액세스를 허용하는 역할 할당이 있어야 합니다.
지원되는 인덱서 데이터 원본은 현재 Azure Blob Storage, Azure Cosmos DB for NoSQL 및 Azure SQL Database로 제한됩니다.
현재 경계 내에서 데이터 검색을 위한 Azure PaaS에 대한 인덱서 연결이 주요 사용 사례입니다. Foundry Tools, Azure OpenAI 또는 Microsoft Foundry 모델 카탈로그에 대한 아웃바운드 기술 기반 API 호출 또는 "데이터와 채팅" 시나리오에 대한 Foundry의 인바운드 호출의 경우 경계를 통해 요청을 허용하도록 인바운드 및 아웃바운드 규칙을 구성 해야 합니다. 구조 인식 청크 및 벡터화를 위해 프라이빗 연결이 필요한 경우 공유 프라이빗 링크와 개인 네트워크를 만들어야 합니다.
네트워크 보안 경계에 검색 서비스 할당
Azure 네트워크 보안 경계를 사용하면 관리자는 가상 네트워크 외부에 배포된 PaaS 리소스(예: Azure Storage 및 Azure SQL Database)에 대한 논리 네트워크 격리 경계를 정의할 수 있습니다. 이는 경계 내의 리소스에 대한 통신을 제한하고, 인바운드 및 아웃바운드 액세스 규칙을 통해 경계 밖의 공용 트래픽을 허용합니다.
Azure AI 검색을 네트워크 보안 경계에 추가하면 모든 인덱싱 및 쿼리 요청이 보안 경계 내에서 발생하도록 할 수 있습니다.
Azure Portal에서 구독에 맞는 네트워크 보안 경계 서비스를 찾습니다.
왼쪽 창에서연결된 리소스> 선택합니다.
추가>기존 프로필과 리소스 연결을 선택합니다.
프로필에 대해 네트워크 보안 경계를 만들 때 만든 프로필을 선택합니다.
추가를 선택한 다음 검색 서비스를 선택합니다.
왼쪽 아래 코너에서 연관을 선택하여 연관을 만듭니다.
네트워크 보안 경계 액세스 모드
네트워크 보안 경계는 연관된 리소스에 대해 두 가지 액세스 모드를 지원합니다.
| 모드 | 설명 |
|---|---|
| 학습 모드 | 이는 기본 액세스 모드입니다. 학습 모드에서는 네트워크 보안 경계가 적용 모드에 있었다면 거부되었을 검색 서비스에 대한 모든 트래픽을 기록합니다. 이를 통해 네트워크 관리자는 액세스 규칙을 적용하기 전에 검색 서비스의 기존 액세스 패턴을 파악할 수 있습니다. |
| 적용 모드 | 강제 모드에서는 네트워크 보안 경계가 액세스 규칙에서 명시적으로 허용되지 않은 모든 트래픽을 기록하고 거부합니다. |
네트워크 보안 경계 및 검색 서비스 네트워킹 설정
publicNetworkAccess 설정은 네트워크 보안 경계와 검색 서비스 연결을 결정합니다.
학습 모드에서
publicNetworkAccess설정은 리소스에 대한 공용 액세스를 제어합니다.강제 모드에서는
publicNetworkAccess설정이 네트워크 보안 경계 규칙에 의해 재정의됩니다. 예를 들어,publicNetworkAccess설정이enabled인 검색 서비스가 강제 모드에서 네트워크 보안 경계와 연결된 경우 검색 서비스에 대한 액세스는 여전히 네트워크 보안 경계 액세스 규칙에 의해 제어됩니다.
네트워크 보안 경계 액세스 모드 변경
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
왼쪽 창에서연결된 리소스> 선택합니다.
표에서 검색 서비스를 찾습니다.
행 끝에 있는 세 개의 점을 선택한 다음 액세스 모드 변경을 선택합니다.
원하는 액세스 모드를 선택한 다음 적용을 선택합니다.
네트워크 액세스 로깅 활성화
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
왼쪽 창에서진단 설정> 선택합니다.
진단 설정 추가를 선택합니다.
진단 설정 이름에 "진단"과 같은 이름을 입력합니다.
로그에서 allLogs를 선택합니다. allLogs는 네트워크 보안 경계 내 리소스에 대한 모든 인바운드 및 아웃바운드 네트워크 액세스가 기록되도록 보장합니다.
대상 세부 정보에서 스토리지 계정에 보관 또는 Log Analytics 작업 영역으로 보내기를 선택합니다. 스토리지 계정은 네트워크 보안 경계와 동일한 지역에 있어야 합니다. 기존 스토리지 계정을 사용하거나 새 계정을 만들 수 있습니다. Log Analytics 작업 영역은 네트워크 보안 경계에서 사용하는 지역과 다른 지역에 있을 수 있습니다. 또한, 해당되는 다른 대상을 선택할 수도 있습니다.
저장을 선택하여 진단 설정을 만들고 네트워크 액세스 로깅을 시작합니다.
네트워크 액세스 로그 읽기
Log Analytics 작업 영역
network-security-perimeterAccessLogs 테이블에는 모든 로그 범주(예: network-security-perimeterPublicInboundResourceRulesAllowed)에 대한 모든 로그가 포함되어 있습니다. 모든 로그에는 로그 범주와 일치하는 네트워크 보안 경계 네트워크 액세스에 대한 기록이 포함되어 있습니다.
network-security-perimeterPublicInboundResourceRulesAllowed 로그 형식의 예는 다음과 같습니다.
| 열 이름 | 의미 | 예제 값 |
|---|---|---|
| 결과설명 | 네트워크 액세스 작업의 이름 | POST /indexes/my-index/docs/search (인덱스 "my-index"에서 문서를 검색하는 POST 요청) |
| 프로필 | 검색 서비스가 연결된 네트워크 보안 경계 | 기본 프로필 |
| ServiceResourceId | 검색 서비스의 리소스 ID | search-service-resource-id |
| 일치 규칙 | 로그와 일치하는 규칙에 대한 JSON 설명 | { "accessRule": "IP firewall" } |
| 출처 IP 주소 | 해당되는 경우 인바운드 네트워크 액세스의 원본 IP | 1.1.1.1 |
| AccessRuleVersion | 네트워크 액세스 규칙을 적용하는 데 사용되는 네트워크 보안 경계 액세스 규칙의 버전 | 0 |
스토리지 계정
스토리지 계정에는 모든 로그 범주(예: insights-logs-network-security-perimeterpublicinboundperimeterrulesallowed)에 대한 컨테이너가 있습니다. 컨테이너 내부의 폴더 구조는 네트워크 보안 경계의 리소스 ID와 로그가 수집된 시간과 일치합니다. JSON 로그 파일의 각 줄에는 로그 범주와 일치하는 네트워크 보안 경계 네트워크 액세스에 대한 기록이 포함되어 있습니다.
예를 들어, 인바운드 경계 규칙 허용 범주 로그는 다음 형식을 사용합니다.
"properties": {
"ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
"Profile": "defaultProfile",
"MatchedRule": {
"AccessRule": "myaccessrule"
},
"Source": {
"IpAddress": "255.255.255.255",
}
}
검색 서비스에 대한 액세스 규칙 추가
네트워크 보안 경계 프로필은 경계를 통한 액세스를 허용하거나 거부하는 규칙을 지정합니다.
경계 내에서는 모든 리소스가 네트워크 수준에서 상호 액세스할 수 있습니다. 여전히 인증 및 권한 부여를 설정해야 하지만 네트워크 수준에서는 경계 내부의 연결 요청이 수락됩니다.
네트워크 보안 경계 외부의 리소스에 대해서는 인바운드 및 아웃바운드 액세스 규칙을 지정해야 합니다. 인바운드 규칙은 어떤 연결이 들어올지 지정하고, 아웃바운드 규칙은 어떤 요청이 나갈지 지정합니다.
검색 서비스는 Foundry 포털, Azure Machine Learning 프롬프트 흐름 및 인덱싱 또는 쿼리 요청을 보내는 모든 앱과 같은 앱의 인바운드 요청을 수락합니다. 검색 서비스는 인덱서 기반 인덱싱 및 기술 세트 실행 중에 아웃바운드 요청을 보냅니다. 이 섹션에서는 Azure AI 검색 시나리오에 대한 인바운드 및 아웃바운드 액세스 규칙을 설정하는 방법을 설명합니다.
참고
네트워크 보안 경계와 연결된 모든 서비스는 관리 ID 및 역할 할당을 사용하여 해당 액세스가 인증될 때 동일한 네트워크 보안 경계와 연결된 다른 서비스에 대한 인바운드 및 아웃바운드 액세스를 암시적으로 허용합니다. 액세스 규칙은 네트워크 보안 경계 외부에서 액세스를 허용하거나 API 키를 사용하여 인증된 액세스에 대해서만 만들어야 합니다.
인바운드 액세스 규칙 추가
인바운드 액세스 규칙을 사용하면 경계 외부의 인터넷과 리소스가 경계 내부의 리소스에 연결할 수 있습니다.
네트워크 보안 경계는 두 가지 형식의 인바운드 액세스 규칙을 지원합니다.
IP 주소 범위. IP 주소 또는 범위는 CIDR(Classless Inter-Domain Routing) 형식이어야 합니다. CIDR 표기법의 예로는 192.0.2.0/24가 있습니다. 이는 192.0.2.0에서 192.0.2.255까지 범위의 IP를 나타냅니다. 이 형식의 규칙은 범위 내의 모든 IP 주소에서 들어오는 요청을 허용합니다.
구독. 이 형식의 규칙은 구독의 관리 ID를 사용하여 인증된 인바운드 액세스를 허용합니다.
Azure Portal에서 인바운드 액세스 규칙을 추가하려면:
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
왼쪽 창에서 설정>프로필을 선택합니다.
네트워크 보안 경계에서 사용 중인 프로필을 선택합니다.
왼쪽 창에서인바운드 액세스 규칙> 선택합니다.
추가를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 값 규칙 이름 "MyInboundAccessRule"과 같은 인바운드 액세스 규칙의 이름입니다. 원본 유형 유효한 값은 IP 주소 범위 또는 구독입니다. 허용되는 원본 IP 주소 범위를 선택한 경우 인바운드 액세스를 허용하려는 CIDR 형식으로 IP 주소 범위를 입력합니다. Azure IP 범위는 이 링크에서 확인할 수 있습니다. 구독을 선택한 경우 인바운드 액세스를 허용하려는 구독을 사용합니다. 추가를 선택하여 인바운드 액세스 규칙을 만듭니다.
아웃바운드 액세스 규칙 추가
검색 서비스는 인덱서 기반 인덱싱 및 기술 세트 실행 중에 아웃바운드 호출을 수행합니다. 인덱서 데이터 원본, Foundry 도구 또는 사용자 지정 기술 논리가 네트워크 보안 경계 외부에 있는 경우 검색 서비스에서 연결을 만들 수 있는 아웃바운드 액세스 규칙을 만들어야 합니다.
공개 미리 보기에서는 Azure AI 검색이 보안 경계 내의 Azure Storage 또는 Azure Cosmos DB에만 연결할 수 있습니다. 인덱서가 다른 데이터 원본을 사용하는 경우 해당 연결을 지원하는 아웃바운드 액세스 규칙이 필요합니다.
네트워크 보안 경계는 대상의 FQDN(정규화된 도메인 이름)을 기반으로 하는 아웃바운드 액세스 규칙을 지원합니다. 예를 들어, mystorageaccount.blob.core.windows.net과 같은 FQDN에 대한 네트워크 보안 경계와 연결된 모든 서비스에서의 아웃바운드 액세스를 허용할 수 있습니다.
Azure Portal에서 아웃바운드 액세스 규칙을 추가하려면:
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
왼쪽 창에서 설정>프로필을 선택합니다.
네트워크 보안 경계와 함께 사용 중인 프로필 선택
왼쪽 창에서아웃바운드 액세스 규칙> 선택합니다.
추가를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 값 규칙 이름 아웃바운드 액세스 규칙의 이름(예: "MyOutboundAccessRule") 대상 유형 FQDN으로 둡니다. 허용된 목적지 아웃바운드 액세스를 허용하려는 FQDN의 쉼표로 구분된 목록을 입력합니다. 추가를 선택하여 아웃바운드 액세스 규칙을 만듭니다.
네트워크 보안 경계를 통해 연결 테스트
네트워크 보안 경계를 통해 연결을 테스트하려면 인터넷에 연결된 로컬 컴퓨터나 Azure VM에서 웹 브라우저에 액세스해야 합니다.
검색 서비스에 대한 네트워크 액세스에 대한 네트워크 보안 경계 요구 사항을 적용하려면 네트워크 보안 경계 연결을 강제 모드로 변경합니다.
로컬 컴퓨터를 사용할지, Azure VM을 사용할지 결정합니다.
- 로컬 컴퓨터를 사용하는 경우 공용 IP 주소를 알아야 합니다.
- Azure VM을 사용하는 경우 프라이빗 링크를 사용하거나 Azure Portal을 사용하여 IP 주소를 확인할 수 있습니다.
IP 주소를 사용하면 해당 IP 주소에 대한 인바운드 액세스 규칙을 만들어 액세스를 허용할 수 있습니다. 프라이빗 링크를 사용하는 경우 이 단계를 건너뛸 수 있습니다.
마지막으로 Azure Portal에서 검색 서비스로 이동해 보세요. 인덱스를 성공적으로 볼 수 있다면 네트워크 보안 경계가 올바르게 구성됩니다.
네트워크 보안 경계 구성 보기 및 관리
네트워크 보안 경계 구성 REST API를 사용하여 경계 구성을 검토하고 조정할 수 있습니다.
반드시 2025-05-01을 사용하세요. 이는 최신 안정적인 REST API 버전입니다.
검색 관리 REST API를 호출하는 방법을 알아봅니다.