네트워크 보안 경계 를 사용하면 조직에서 가상 네트워크 외부에 배포된 PaaS 리소스(예: Azure Blob Storage 및 SQL Database)에 대한 논리적 네트워크 격리 경계를 정의할 수 있습니다. 이 기능은 경계 외부의 PaaS 리소스에 대한 공용 네트워크 액세스를 제한합니다. 그러나 공용 인바운드 및 아웃바운드 트래픽에 대한 명시적 액세스 규칙을 사용하여 액세스를 제외할 수 있습니다. 이렇게 하면 스토리지 리소스에서 원치 않는 데이터 반출을 방지할 수 있습니다. 네트워크 보안 경계 내에서 멤버 리소스는 서로 자유롭게 통신할 수 있습니다. 네트워크 보안 경계 규칙은 스토리지 계정의 자체 방화벽 설정을 재정의합니다. 경계 내에서의 액세스는 다른 네트워크 제한보다 우선합니다.
여기에서 네트워크 보안 경계에 온보딩된 서비스 목록을 찾을 수 있습니다. 서비스가 나열되지 않은 경우 아직 온보딩되지 않습니다. 온보딩되지 않은 서비스에서 특정 리소스에 대한 액세스를 허용하려면 네트워크 보안 경계에 대한 구독 기반 규칙을 만들 수 있습니다. 구독 기반 규칙은 해당 구독 내의 모든 리소스에 대한 액세스 권한을 부여합니다. 구독 기반 액세스 규칙을 추가하는 방법에 대한 자세한 내용은 이 설명서를 참조하세요.
액세스 모드
스토리지 계정을 네트워크 보안 경계에 온보딩할 때 전환 모드(이전의 학습 모드)에서 시작하거나 강제 모드로 바로 전환할 수 있습니다. 전환 모드(기본값)를 사용하면 경계 규칙이 아직 연결을 허용하지 않는 경우 스토리지 계정이 기존 방화벽 규칙 또는 "신뢰할 수 있는 서비스" 설정으로 대체될 수 있습니다. 강제 모드는 네트워크 보안 경계 규칙에서 명시적으로 허용하지 않는 한 모든 공용 인바운드 및 아웃바운드 트래픽을 엄격하게 차단하여 스토리지 계정에 대한 최대 보호를 보장합니다. 적용 모드에서는 Azure의 "신뢰할 수 있는 서비스" 예외조차도 적용되지 않습니다. 필요한 경우 경계 규칙을 통해 관련 Azure 리소스 또는 특정 구독을 명시적으로 허용해야 합니다.
Important
전환(이전 학습) 모드에서 Storage 계정을 운영하는 것은 전환 단계로만 사용되어야 합니다. 악의적인 행위자는 보호되지 않은 리소스를 악용하여 데이터를 반출시킬 수 있습니다. 따라서 액세스 모드가 적용됨으로 설정된 상태에서 최대한 빨리 완전히 안전한 구성으로 전환하는 것이 중요합니다.
네트워크 우선 순위
스토리지 계정이 네트워크 보안 경계의 일부인 경우 관련 프로필의 액세스 규칙은 계정의 자체 방화벽 설정을 재정의하여 최상위 네트워크 게이트키퍼가 됩니다. 경계에서 허용되거나 거부된 액세스가 우선하며 스토리지 계정이 강제 모드로 연결되면 계정의 "허용된 네트워크" 설정이 무시됩니다. 네트워크 보안 경계에서 스토리지 계정을 제거하면 컨트롤이 일반 방화벽으로 되돌아갑니다. 네트워크 보안 경계는 프라이빗 엔드포인트 트래픽에 영향을 주지 않습니다. 프라이빗 링크를 통한 연결은 항상 성공합니다. 내부 Azure 서비스("신뢰할 수 있는 서비스")의 경우 네트워크 보안 경계에 명시적으로 온보딩된 서비스만 경계 액세스 규칙을 통해 허용될 수 있습니다. 그렇지 않으면 스토리지 계정 방화벽 규칙에서 신뢰할 수 있더라도 기본적으로 트래픽이 차단됩니다. 아직 온보딩되지 않은 서비스의 경우, 인바운드 액세스를 위한 구독 수준 규칙, 또는 아웃바운드 액세스 시 정규화된 도메인 이름(FQDN)이나 프라이빗 링크를 통한 대체 방법이 포함됩니다.
Important
프라이빗 엔드포인트 트래픽은 매우 안전한 것으로 간주되므로 네트워크 보안 경계 규칙의 적용을 받지 않습니다. 스토리지 계정이 경계와 연결된 경우 신뢰할 수 있는 서비스를 포함한 다른 모든 트래픽에는 네트워크 보안 경계 규칙이 적용됩니다.
네트워크 보안 경계 내의 기능 범위
스토리지 계정이 네트워크 보안 경계와 연결된 경우 알려진 제한 사항에 따라 지정하지 않는 한 Blob, 파일, 테이블 및 큐에 대한 모든 표준 데이터 평면 작업이 지원 됩니다. Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Files, Azure Table Storage 및 Azure Queue Storage에 대한 모든 HTTPS 기반 작업은 네트워크 보안 경계를 사용하여 제한할 수 있습니다.
Limitations
| Feature | 지원 상태 | Recommendations |
|---|---|---|
| Azure Blob Storage에 대한 개체 복제 | 지원되지 않습니다. 원본 또는 대상 계정이 네트워크 보안 경계와 연결된 경우 스토리지 계정 간의 개체 복제가 실패합니다. | 개체 복제가 필요한 스토리지 계정에서 네트워크 보안 경계를 구성하지 마세요. 마찬가지로 지원을 사용할 수 있게 될 때까지 네트워크 보안 경계와 연결된 계정에서 개체 복제를 사용하도록 설정하지 마세요. 개체 복제를 이미 사용하도록 설정한 경우 네트워크 보안 경계를 연결할 수 없습니다. 마찬가지로 네트워크 보안 경계가 이미 연결된 경우 개체 복제를 사용하도록 설정할 수 없습니다. 이 제한을 사용하면 지원되지 않는 시나리오를 구성할 수 없습니다. |
| Azure Blob과 Azure Files를 통한 네트워크 파일 시스템(NFS) 액세스, Azure Files를 통한 서버 메시지 블록(SMB) 액세스 및 Azure Blob을 통한 SFTP(SSH 파일 전송 프로토콜) 액세스 | 스토리지 계정이 네트워크 보안 경계와 연결된 경우 HTTPS 기반 액세스 이외의 모든 프로토콜이 차단됩니다. | 이러한 프로토콜을 사용하여 스토리지 계정에 액세스해야 하는 경우 계정을 네트워크 보안 경계와 연결하지 마세요. |
| Azure Backup | 지원되지 않습니다. Azure Backup as a Service는 아직 네트워크 보안 경계에 온보딩되지 않았습니다. | 백업을 사용하도록 설정했거나 Azure Backup을 사용하려는 경우 계정을 네트워크 보안 경계와 연결하지 않는 것이 좋습니다. Azure Backup이 네트워크 보안 경계에 온보딩되면 이러한 두 기능을 함께 사용할 수 있습니다. |
| 관리되지 않는 디스크 | 관리되지 않는 디스크는 네트워크 보안 경계 규칙을 적용하지 않습니다. | 네트워크 보안 경계로 보호되는 스토리지 계정에서 관리되지 않는 디스크를 사용하지 마세요. |
| 정적 웹 사이트 | 지원되지 않음 | 정적 웹 사이트, 기본적으로 열려 있는 네트워크 보안 경계와 함께 사용할 수 없습니다. 정적 웹 사이트를 이미 사용하도록 설정한 경우 네트워크 보안 경계를 연결할 수 없습니다. 마찬가지로 네트워크 보안 경계가 이미 연결된 경우 정적 웹 사이트를 사용하도록 설정할 수 없습니다. 이 제한을 사용하면 지원되지 않는 시나리오를 구성할 수 없습니다. |
Warning
CMK(고객 관리형 키) 시나리오가 작동하려면 네트워크 보안 경계와 연결된 스토리지 계정의 경우 스토리지 계정이 연결된 경계 내에서 Azure Key Vault에 액세스할 수 있는지 확인합니다.
스토리지 계정과 네트워크 보안 경계 연결
네트워크 보안 경계를 스토리지 계정과 연결하려면 모든 PaaS 리소스에 대해 다음과 같은 일반적인 지침을 따릅니다.
다음 단계
- Azure 네트워크 서비스 엔드포인트에 대해 자세히 알아봅니다.
- Azure Blob Storage에 대한 보안 권장 사항을 자세히 살펴봅니다.
- 네트워크 보안 경계에 진단 로그를 사용하도록 설정합니다.