네트워크 보안은 네트워크 트래픽을 제어하여 무단 액세스 또는 공격으로부터 리소스를 보호합니다. Azure는 모든 계층에서 보안 제어를 사용하여 애플리케이션 및 서비스 연결 요구 사항을 지원하는 강력한 네트워킹 인프라를 제공합니다.
이 문서에서는 Azure의 주요 네트워크 보안 기능에 대해 설명합니다.
- 네트워크 액세스 제어
- Azure Firewall
- 안전한 원격 액세스 및 크로스-프레미스 연결
- 가용성 및 부하 분산
- 이름 확인
- DDoS protection
- Azure Front Door
- 감사 및 위협 검색
참고
웹 워크로드의 경우 Azure DDoS Protection 및 웹 애플리케이션 방화벽 을 사용하여 DDoS 공격으로부터 보호하는 것이 좋습니다. 웹 애플리케이션 방화벽이 있는 Azure Front Door는 네트워크 수준 DDoS 공격에 대한 플랫폼 수준 보호를 제공합니다.
Azure 가상 네트워크
Azure Virtual Network는 Azure에서 프라이빗 네트워크에 대한 기본 구성 요소입니다. 각 가상 네트워크는 다른 가상 네트워크와 격리되어 배포의 네트워크 트래픽이 다른 Azure 고객이 액세스할 수 없도록 합니다. 가상 네트워크를 사용하면 Azure 리소스가 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다.
자세한 정보:
네트워크 액세스 제어
네트워크 액세스 제어는 가상 네트워크 내의 특정 디바이스 또는 서브넷에 대한 연결을 제한합니다. 목표는 가상 머신 및 서비스에 대한 액세스를 승인된 사용자 및 디바이스로 제한하는 것입니다.
네트워크 보안 그룹
NSG(네트워크 보안 그룹)는 IP 주소 및 TCP/UDP 프로토콜을 기반으로 하는 기본 상태 저장 패킷 필터링을 제공합니다. NSG는 5개 튜플(원본 IP, 원본 포트, 대상 IP, 대상 포트, 프로토콜)을 사용하여 액세스를 제어합니다.
NSG에는 관리를 간소화하는 기능이 포함됩니다.
- 강화된 보안 규칙: 동일한 결과를 얻기 위해 여러 단순 규칙 대신 복잡한 규칙 만들기
- 서비스 태그: 동적으로 업데이트되는 IP 주소 그룹을 나타내는 Microsoft 관리 레이블
- 애플리케이션 보안 그룹: 리소스를 애플리케이션 그룹으로 구성하고 해당 그룹에 따라 액세스를 제어합니다.
자세한 정보:
서비스 엔드포인트
Virtual Network 서비스 엔드포인트는 직접 연결을 통해 가상 네트워크 프라이빗 주소 공간을 Azure 서비스로 확장합니다. 서비스 엔드포인트는 Azure 백본 네트워크에서 트래픽을 유지하고 지원되는 서비스와의 통신을 가상 네트워크로만 제한합니다.
자세한 정보:
Azure Private Link
Azure Private Link는 가상 네트워크에서 Azure PaaS 서비스, 고객 소유 서비스 또는 Microsoft 파트너 서비스로의 프라이빗 연결을 제공합니다. Private Link 트래픽은 Microsoft Azure 백본 네트워크에 남아 공용 인터넷에 대한 노출을 제거합니다.
자세한 정보:
Azure Firewall
Azure Firewall은 클라우드 워크로드에 대한 위협 방지를 제공하는 클라우드 네이티브 지능형 네트워크 방화벽 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다.
Azure Firewall은 세 가지 SKU에서 사용할 수 있습니다.
- Azure Firewall 기본: 중소기업을 위한 간소화된 보안
- Azure Firewall 표준: L3-L7 필터링 및 Microsoft Cyber Security의 위협 인텔리전스
- Azure Firewall 프리미엄: 신속한 공격 검색을 위한 서명 기반 IDPS를 비롯한 고급 기능
자세한 정보:
안전한 원격 액세스 및 크로스-프레미스 연결
Azure는 Azure 리소스를 관리하고 하이브리드 IT 솔루션을 배포하기 위한 몇 가지 보안 원격 액세스 시나리오를 지원합니다.
지점 및 사이트 간 VPN
지점 및 사이트간 VPN 연결을 사용하면 개별 사용자가 가상 네트워크에 대한 프라이빗 보안 연결을 설정할 수 있습니다. 사용자는 인증 후 Azure에서 가상 머신 및 서비스에 액세스할 수 있습니다. 지점 및 사이트 간의 VPN은 다음을 지원합니다.
- SSTP(Secure Socket Tunneling Protocol) : 독점 SSL 기반 VPN 프로토콜(Windows 디바이스)
- IKEv2 VPN: 표준 기반 IPsec VPN 솔루션(Mac 디바이스)
- OpenVPN 프로토콜: SSL/TLS 기반 VPN 프로토콜(Android, iOS, Windows, Linux 및 Mac 디바이스)
자세한 정보:
사이트 간 VPN
사이트 간 VPN Gateway 연결은 온-프레미스 네트워크와 Azure 가상 네트워크 간에 안전한 프레미스 간 연결을 설정합니다. 사이트 간 VPN은 매우 안전한 IPsec 터널 모드 VPN 프로토콜을 사용합니다.
VPN Gateway는 서비스의 일부가 Azure와 온-프레미스 모두에서 호스트되는 하이브리드 IT 시나리오에 필수적입니다.
자세한 정보:
ExpressRoute
ExpressRoute는 온-프레미스 네트워크와 Microsoft 클라우드 서비스 간에 전용 WAN 링크를 제공합니다. ExpressRoute 연결은 공용 인터넷을 트래버스하지 않으므로 인터넷 연결에 비해 향상된 보안, 안정성, 속도 및 짧은 대기 시간을 제공합니다.
ExpressRoute는 다음을 지원합니다.
- ExpressRoute Direct: Microsoft 글로벌 네트워크에 직접 연결
- ExpressRoute Global Reach: ExpressRoute 회로를 통해 온-프레미스 사이트 간 연결
자세한 정보:
VNet 피어링
Virtual Network 피어링이 두 개의 Azure 가상 네트워크를 연결하여 두 네트워크의 리소스가 서로 통신할 수 있도록 합니다. VNet 피어링에서는 공용 인터넷을 우회하는 Microsoft 백본 인프라를 사용합니다. 피어링에서는 동일한 Azure 지역 내 또는 다른 지역(글로벌 VNet 피어링)에서 연결을 지원합니다.
자세한 정보:
가용성 및 부하 분산
부하 분산은 여러 디바이스에 연결을 분산하여 가용성과 성능을 향상합니다. Azure는 몇 가지 부하 분산 옵션을 제공합니다.
Azure 부하 분산기
Azure Load Balancer는 모든 UDP 및 TCP 프로토콜에 대해 고성능, 짧은 대기 시간 계층 4 부하 분산을 제공합니다. Load Balancer는 구성된 규칙 및 상태 프로브에 따라 백 엔드 인스턴스에 인바운드 트래픽을 분산합니다.
Load Balancer 기능은 다음과 같습니다.
- 내부 및 외부 부하 분산 시나리오 지원
- 영역 중복 및 영역 배포
- TCP 및 UDP 애플리케이션 지원
- 백 엔드 인스턴스 가용성을 결정하는 상태 프로브
자세한 정보:
Azure Application Gateway
Azure Application Gateway는 웹 애플리케이션에 대한 트래픽을 관리하는 웹 트래픽 부하 분산 장치(계층 7)입니다. Application Gateway는 URI 경로 또는 호스트 헤더와 같은 HTTP 요청 특성을 기반으로 라우팅 결정을 내립니다.
Application Gateway 기능은 다음과 같습니다.
- 중앙 집중식 보호를 위한 WAF(웹 애플리케이션 방화벽)
- 웹 서버에서 암호화 오버헤드를 줄이기 위한 TLS 종료
- 쿠키 기반 세션 선호도
- URL 기반 콘텐츠 라우팅
- 자동 크기 조정 및 영역 중복성
자세한 정보:
Azure Traffic Manager
Azure Traffic Manager는 글로벌 Azure 지역에 걸쳐 서비스에 트래픽을 최적으로 분산하는 DNS 기반 트래픽 부하 분산 장치입니다. Traffic Manager는 트래픽 라우팅 방법 및 엔드포인트 상태에 따라 클라이언트 요청을 가장 적절한 서비스 엔드포인트로 라우팅하여 고가용성 및 응답성을 제공합니다.
Traffic Manager는 우선 순위, 가중치, 성능, 지리적, 다중값 및 서브넷 라우팅을 비롯한 여러 라우팅 방법을 지원합니다.
자세한 정보:
이름 확인
보안 이름 확인은 모든 클라우드 호스팅 서비스에 매우 중요합니다. 손상된 이름 확인 함수는 악의적인 사이트로 요청을 리디렉션할 수 있습니다.
Azure DNS
Azure DNS는 Microsoft Azure 인프라를 사용하여 고가용성 및 성능이 뛰어난 이름 확인을 제공합니다. Azure DNS는 다음을 지원합니다.
- Azure 글로벌 인프라에서 호스트되는 공용 DNS 도메인
- 가상 네트워크 내 및 전체에서 이름 확인을 위한 프라이빗 DNS 영역
- 프라이빗 및 퍼블릭 쿼리에 대해 동일한 도메인 이름이 다르게 변환되는 스플릿 호라이즌 DNS 시나리오
자세한 정보:
DDoS protection
DDoS(분산 서비스 거부) 공격은 애플리케이션을 클라우드로 이동하는 고객에게 가장 큰 가용성 및 보안 문제 중 하나입니다. Azure DDoS Protection은 DDoS 공격으로부터 Azure 리소스를 보호합니다.
Azure DDoS Protection SKU들:
- DDoS 인프라 보호: 추가 비용 없이 모든 Azure 속성에서 기본적으로 사용하도록 설정된 기본 보호
- DDoS 네트워크 보호: 적응형 튜닝, 완화 정책 및 모니터링을 사용하여 가상 네트워크의 리소스에 대한 고급 보호
DDoS 네트워크 보호 기능은 다음과 같습니다.
- Azure 포털을 통해 구성되는 네이티브 플랫폼 통합
- 항상 활성화된 트래픽 모니터링 및 실시간 대응
- 완화 보고서 및 흐름 로그를 포함한 공격 분석
- 애플리케이션 트래픽 패턴에 따른 적응형 튜닝
- 데이터 전송 및 애플리케이션 스케일 아웃 서비스 크레딧을 포함한 비용 보장
자세한 정보:
Azure Front Door
Azure Front Door는 Microsoft 글로벌 경계 네트워크를 사용하여 빠르고, 안전하고, 스케일링 성능이 뛰어난 웹 애플리케이션을 만들기 위한 확장 가능한 글로벌 진입점입니다. Front Door는 계층 7 부하 분산, TLS 종료, URL 기반 라우팅 및 통합 보안을 제공합니다.
Front Door 기능은 다음과 같습니다.
- 지연 없이 즉각적인 장애 조치 전환을 이용한 글로벌 HTTP 부하 분산
- 에지에서의 TLS 종료
- URL 경로 기반 라우팅
- 쿠키 기반 세션 선호도
- 웹 애플리케이션 방화벽 보호
- 플랫폼 수준 DDoS 보호
- 백 엔드 원본을 보호하기 위한 Private Link 통합
자세한 정보:
감사 및 위협 검색
Azure는 네트워크 보안을 모니터링하고 위협을 감지하는 도구를 제공합니다.
Azure Network Watcher
Azure Network Watcher는 Azure에서 네트워크에 대한 모니터링, 진단 및 인사이트를 얻는 도구를 제공합니다.
Network Watcher 기능은 다음과 같습니다.
- 연결 모니터: Azure 리소스와 엔드포인트 간의 연결을 모니터링합니다.
- NSG 흐름 로그: 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록합니다.
- 패킷 캡처: 가상 머신과 네트워크 트래픽을 캡처합니다.
- VPN 문제 해결: VPN Gateway 및 연결 관련 문제 진단
- 네트워크 진단: 네트워크 구성의 유효성을 검사하고 보안 문제를 식별합니다.
자세한 정보:
클라우드용 Microsoft Defender
클라우드용 Microsoft Defender를 사용하면 Azure 리소스의 보안에 대한 향상된 가시성과 제어를 통해 위협을 방지, 감지 및 대응할 수 있습니다. Defender for Cloud는 네트워크 보안 권장 사항을 제공하고, 네트워크 보안 구성을 모니터링하고, 네트워크 기반 위협에 대해 경고합니다.
자세한 정보:
다음 단계
- Azure 보안 모범 사례 및 패턴
- 네트워크 보안 모범 사례
- ID 관리 보안 개요
- 위협 탐지 및 보호