애플리케이션 보안 그룹 구현

  • 6분

Azure 가상 네트워크에서 ASG(애플리케이션 보안 그룹) 를 구현하여 워크로드별로 가상 머신을 논리적으로 그룹화할 수 있습니다. 그런 다음, 애플리케이션 보안 그룹에 따라 네트워크 보안 그룹 규칙을 정의할 수 있습니다.

애플리케이션 보안 그룹 사용에 대해 알아야 할 사항

애플리케이션 보안 그룹은 네트워크 보안 그룹과 동일한 방식으로 작동하지만 애플리케이션 중심으로 인프라를 살펴보는 방법을 제공합니다. 가상 머신을 애플리케이션 보안 그룹에 조인합니다. 그런 다음, 네트워크 보안 그룹 규칙에서 애플리케이션 보안 그룹을 원본 또는 대상으로 사용합니다.

온라인 소매점에 대한 구성을 만들어 애플리케이션 보안 그룹을 구현하는 방법을 살펴보겠습니다. 예제 시나리오에서는 애플리케이션 보안 그룹의 가상 머신에 대한 네트워크 트래픽을 제어해야 합니다.

애플리케이션 보안 그룹이 네트워크 보안 그룹과 결합하여 애플리케이션을 보호하는 방법을 보여주는 다이어그램.

비고

다이어그램에서 애플리케이션 서버는 SQL Server 요청을 전달합니다.

시나리오 요구 사항

예제 구성에 대한 시나리오 요구 사항은 다음과 같습니다.

  • 이 시나리오에는 웹 서버와 애플리케이션 서버의 두 가지 계층이 있습니다.
  • 웹 서버는 HTTP 및 HTTPS 인터넷 트래픽을 처리합니다.
  • 애플리케이션 서버는 웹 서버에서 SQL 요청을 처리합니다.

해결 방법

시나리오에서는 다음과 같은 구성을 빌드해야 합니다.

  1. 각 계층에 대한 애플리케이션 보안 그룹을 만듭니다.

  2. 각 가상 머신 서버에 대해 해당 네트워크 인터페이스를 적절한 애플리케이션 보안 그룹에 할당합니다.

  3. 네트워크 보안 그룹 및 보안 규칙을 만듭니다.

    • 규칙 1: 우선 순위를 100으로 설정합니다. HTTP 포트 80 및 HTTPS 포트 443에서 인터넷에서 웹 서버 컴퓨터로의 액세스를 허용합니다.

      규칙 1의 우선 순위 값이 가장 낮으므로 그룹의 다른 규칙보다 우선합니다. 온라인 카탈로그에 대한 고객의 액세스는 디자인에서 가장 중요합니다.

    • 규칙 2: 우선 순위를 110으로 설정합니다. SQL 포트 1433을 통해 웹 서버에서 애플리케이션 서버로의 액세스를 허용합니다.

    • 규칙 3: 우선 순위를 120으로 설정합니다. HTTP 및 HTTPS 포트의 애플리케이션 서버 머신에 대한 어디서나 액세스를 거부합니다.

      규칙 2와 규칙 3을 조합하면 웹 서버만 데이터베이스 서버에 액세스할 수 있습니다. 이 보안 구성은 인벤토리 데이터베이스를 외부 공격으로부터 보호합니다.

애플리케이션 보안 그룹 사용 시 고려해야 할 사항

가상 네트워크에서 애플리케이션 보안 그룹을 구현하는 데는 몇 가지 이점이 있습니다.

  • IP 주소 유지 관리를 고려합니다. 애플리케이션 보안 그룹을 사용하여 네트워크 트래픽을 제어하는 경우 특정 IP 주소에 대한 인바운드 및 아웃바운드 트래픽을 구성할 필요가 없습니다. 구성에 가상 머신이 많은 경우 영향을 받는 모든 IP 주소를 지정하기 어려울 수 있습니다. 구성을 유지 관리하면 서버 수가 변경될 수 있습니다. 이러한 변경 내용을 적용하려면 보안 규칙에서 다른 IP 주소를 지원하는 방법을 수정해야 할 수 있습니다.

  • 서브넷을 사용하지 않는 것을 고려합니다. 가상 머신을 애플리케이션 보안 그룹으로 구성하면 특정 서브넷을 통해 서버를 배포할 필요가 없습니다. 애플리케이션 및 목적에 따라 서버를 정렬하여 논리적 그룹화를 수행할 수 있습니다.

  • 간소화된 규칙을 고려합니다. 애플리케이션 보안 그룹을 사용하면 여러 규칙 집합이 필요하지 않습니다. 각 가상 머신에 대해 별도의 규칙을 만들 필요가 없습니다. 지정된 애플리케이션 보안 그룹에 동적으로 새 규칙을 적용할 수 있습니다. 새 보안 규칙은 애플리케이션 보안 그룹의 모든 VM에 자동으로 적용됩니다.

  • 워크로드 지원을 고려합니다. 애플리케이션 보안 그룹을 구현하는 구성은 조직이 워크로드 사용량을 기반으로 하기 때문에 쉽게 유지 관리하고 이해할 수 있습니다. 애플리케이션 보안 그룹은 애플리케이션, 서비스, 데이터 스토리지 및 워크로드에 대한 논리적 준비를 제공합니다.

  • 서비스 태그를 고려합니다. 서비스 태그는 특정 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. 네트워크 보안 규칙에 대한 빈번한 업데이트의 복잡성을 최소화하는 데 도움이 됩니다. 서비스 태그는 Azure 서비스에 대한 IP 주소 관리를 간소화하는 데 사용되지만 ASG는 VM을 그룹화하고 해당 그룹을 기반으로 네트워크 보안 정책을 관리하는 데 사용됩니다.