Azure 네트워크 보안 개요

네트워크 보안은 네트워크 트래픽에 컨트롤을 적용하여 무단 액세스나 공격으로부터 리소스를 보호하는 프로세스로 정의할 수 있습니다. 목표는 정당한 트래픽만 허용되도록 하는 것입니다. Azure에는 사용자의 애플리케이션과 서비스 연결 요구 사항을 지원하기 위한 강력한 네트워킹 인프라가 포함되어 있습니다. 네트워크 연결은 Azure에 위치한 리소스 간, 온-프레미스 리소스와 Azure 호스팅 리소스 간, 그리고 인터넷과 Azure 간에 가능합니다.

이 문서에서는 Azure가 네트워크 보안 영역에서 제공하는 일부 옵션에 대해 설명합니다. 다음 내용을 배울 수 있습니다.

• Azure 네트워킹
• 네트워크 액세스 컨트롤
• Azure Firewall
• 안전한 원격 액세스 및 크로스-프레미스 연결
• 가용성
• 이름 확인
• 경계 네트워크(DMZ) 아키텍처
• Azure DDoS Protection
• Azure Front Door (Azure의 웹 트래픽 관리 서비스)
• 트래픽 관리자
• 감사 및 위협 검색

Azure 네트워킹

Azure에서는 가상 머신을 Azure Virtual Network에 연결해야 합니다. 가상 네트워크는 물리적 Azure 네트워크 패브릭 위에 구축되는 논리적 구조체입니다. 각 가상 네트워크는 다른 모든 가상 네트워크와 분리됩니다. 이는 사용자 배포의 네트워크 트래픽에 다른 Azure 고객이 액세스하지 못하도록 해줍니다.

자세히 보기:

• Virtual Network 개요

네트워크 액세스 컨트롤

네트워크 액세스 제어는 Virtual Network 내의 특정 디바이스 또는 서브넷 간 연결을 제한하는 행위입니다. 네트워크 액세스 제어의 목표는 가상 머신 및 서비스에 대한 액세스를 승인 된 사용자 및 디바이스로 제한하는 것입니다. 액세스 제어는 가상 머신 또는 서비스 간 연결을 허용하거나 거부할지 결정에 따라 이루어집니다.

Azure는 다음과 같은 다양한 유형의 네트워크 액세스 제어를 지원합니다.

• 네트워크 계층 제어
• 경로 제어 및 터널링 적용
• 가상 네트워크 보안 어플라이언스

네트워크 계층 제어

모든 보안 배포에는 몇 가지 네트워크 액세스 제어가 필요합니다. 네트워크 액세스 제어의 목표는 가상 머신 통신을 필요한 시스템으로 제한하는 것입니다. 다른 통신 시도는 차단됩니다.

네트워크 보안 그룹(NSG)

기본적인 네트워크 수준 액세스 제어(IP 주소 및 TCP 또는 UDP 프로토콜 기반)가 필요한 경우 NSG(네트워크 보안 그룹)를 사용할 수 있습니다. NSG는 기본적인 상태 저장 패킷 필터링 방화벽이며, 5-튜플에 기반하여 액세스를 제어할 수 있게 합니다. NSG는 구성 실수 가능성을 줄이고 관리를 간소화하는 기능을 포함합니다.

• 보강된 보안 규칙은 NSG 규칙 정의를 간소화하며, 동일한 결과를 달성하려면 여러 간단한 규칙을 만드는 것보다는 복잡한 규칙을 만들 수 있습니다.
• 서비스 태그는 IP 주소 그룹을 나타내는 Microsoft에서 만든 레이블입니다. 서비스 태그는 레이블에서 포함을 정의하는 조건을 충족하는 IP 범위를 포함하도록 동적으로 업데이트합니다. 예를 들어 동부 지역에서 모든 Azure 스토리지에 적용되는 규칙을 만들려는 경우 Storage.EastUS를 사용할 수 있습니다.
• 애플리케이션 보안 그룹을 사용하면 애플리케이션 그룹에 리소스를 배포하고 해당 애플리케이션 그룹을 사용하는 규칙을 만들어 해당 리소스에 대한 액세스를 제어할 수 있습니다. 예를 들어 webservers를 'Webservers' 애플리케이션 그룹에 배포한 경우 인터넷에서 'Webservers' 애플리케이션 그룹의 모든 시스템까지 443 트래픽을 허용하는 NSG를 적용한 규칙을 만들 수 있습니다.

NSG는 애플리케이션 계층 검사 또는 인증된 액세스 제어를 제공하지 않습니다.

자세히 보기:

• 네트워크 보안 그룹

클라우드용 Defender Just-In-Time VM 액세스

클라우드용 Microsoft Defender는 VM에서 NSG를 관리하고 적절한 Azure 역할 기반 액세스 제어 Azure RBAC 권한이 있는 사용자가 액세스를 요청할 때까지 VM에 대한 액세스를 잠글 수 있습니다. 사용자에게 성공적으로 권한이 부여된 경우 클라우드용 Defender는 NSG를 수정하여 지정된 시간 동안 선택한 포트에 대한 액세스를 허용합니다. 시간이 만료된 경우 NSG는 이전의 안전한 상태로 복원됩니다.

자세히 보기:

• 클라우드용 Microsoft Defender Just-In-Time 액세스

서비스 엔드포인트

서비스 엔드포인트는 트래픽에 대해 제어를 적용하는 다른 방법입니다. 지원되는 서비스와의 통신을 직접 연결을 통한 VNet으로 제한할 수 있습니다. VNet에서 특정 Azure 서비스로의 트래픽은 Microsoft Azure 백본 네트워크에서 유지됩니다.

자세히 보기:

• 서비스 엔드포인트

경로 제어 및 터널링 적용

가상 네트워크에서 라우팅 동작을 제어하는 기능은 매우 중요합니다. 라우팅이 잘못 구성된 경우, 가상 머신에 호스팅된 애플리케이션 및 서비스는 잠재적 공격자가 소유하거나 작동하는 시스템을 비롯하여 허가되지 않은 디바이스에 연결될 수 있습니다.

Azure 네트워킹은 가상 네트워크의 네트워크 트래픽에 대한 라우팅 동작을 사용자 지정할 수 있는 기능을 지원하므로 사용자는 가상 네트워크의 기본 라우팅 테이블 항목을 변경할 수 있습니다. 라우팅 동작을 제어하면 특정 디바이스 또는 디바이스 그룹의 모든 트래픽이 특정 위치를 통해 가상 네트워크에 진입하거나 가상 네트워크에서 나가도록 할 수 있습니다.

예를 들어, 가상 네트워크에 가상 네트워크 보안 어플라이언스가 있다고 가정합니다. 가상 네트워크에 출입하는 모든 트래픽이 이 특정 가상 보안 어플라이언스를 거치도록 하고자 합니다. 그러려면 Azure에서 UDR(사용자 정의 경로)을 구성하면 됩니다.

터널링 적용은 사용자의 서비스가 인터넷에서 디바이스에 대한 연결을 개시하지 못하게 하도록 사용할 수 있는 메커니즘입니다. 수신 연결을 수락한 다음 응답하는 것과는 다릅니다. 프런트 엔드 웹 서버는 인터넷 호스트의 요청에 응답해야 하므로, 인터넷 출처의 트래픽은 이러한 웹 서버에 대한 인바운드가 허용되며 웹 서버는 응답할 수 있습니다.

허용하지 않으려는 것은 프런트 엔드 웹 서버가 아웃바운드 요청을 개시하는 것입니다. 이러한 요청은 보안상 위험을 가져올 수 있습니다. 이러한 연결이 맬웨어 다운로드에 사용될 수 있기 때문입니다. 이러한 프런트 엔드 서버가 인터넷에 아웃바운드 요청을 개시하기를 원하는 경우에도 온-프레미스 웹 프록시를 거치게 할 수 있습니다. 이렇게 하면 URL 필터링 및 로깅 기능을 활용할 수 있습니다.

대신, 이를 방지하기 위해 터널링 적용을 사용할 수 있습니다. 강제 터널링을 사용할 경우 인터넷에 대한 모든 연결은 사용자의 온-프레미스 게이트웨이를 통해 강제됩니다. UDR을 활용하여 강제 터널링을 구성할 수 있습니다.

자세히 보기:

• 가상 네트워크 트래픽 라우팅

가상 네트워크 보안 어플라이언스

NSG, UDR 및 강제 터널링이 OSI 모델의 네트워크 및 전송 계층에서 보안 수준을 제공하지만 애플리케이션 계층에서 보안을 사용하도록 설정할 수도 있습니다.

예를 들어, 다음과 같은 보안 요구 사항이 있을 수 있습니다.

• 애플리케이션에 대한 액세스를 허용하기 전에 인증 및 권한 부여
• 침입 감지 및 침입 대응
• 높은 수준의 프로토콜에 대한 애플리케이션 계층 검사
• URL 필터링
• 네트워크 수준 바이러스 백신 및 맬웨어 방지
• 안티봇 보호
• 애플리케이션 액세스 제어
• 추가적인 DDoS 보호(Azure 패브릭 자체에서 제공하는 DDoS 보호 이외)

Azure 파트너 솔루션을 사용하여 이러한 향상된 네트워크 보안 기능에 액세스할 수 있습니다. 가장 최신의 Azure 파트너 네트워크 보안 솔루션은 Azure Marketplace를 방문하여 "보안" 및 "네트워크 보안"을 검색하면 찾을 수 있습니다.

Azure Firewall

Azure Firewall은 Azure에서 실행되는 클라우드 워크로드에 대한 위협 방지를 제공하는 클라우드 네이티브 지능형 네트워크 방화벽 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. Azure Firewall은 동서 및 남북 트래픽을 모두 검사합니다.

Azure Firewall은 기본, 표준 및 프리미엄의 세 가지 SKU에서 사용할 수 있습니다.

• Azure Firewall Basic 은 표준 SKU와 비슷하지만 고급 기능이 없는 간소화된 보안을 제공합니다.
• Azure Firewall Standard는 Microsoft Cyber Security에서 직접 L3-L7 필터링 및 위협 인텔리전스 피드를 제공합니다.
• Azure Firewall Premium 에는 특정 패턴을 식별하여 신속한 공격 검색을 위한 서명 기반 IDPS와 같은 고급 기능이 포함되어 있습니다.

자세히 보기:

• Azure Firewall이란?

안전한 원격 액세스 및 크로스-프레미스 연결

Azure 리소스의 설정, 구성 및 관리는 원격으로 수행해야 합니다. 또한, 온-프레미스와 Azure 퍼블릭 클라우드에 구성 요소가 있는 하이브리드 IT 솔루션을 배포할 수 있습니다. 이러한 시나리오에는 보안 원격 액세스가 필요합니다.

Azure 네트워킹은 다음 보안 원격 액세스 시나리오를 지원합니다.

• 가상 네트워크에 개별 워크스테이션 연결
• VPN으로 가상 네트워크에 온-프레미스 네트워크 연결
• 전용 WAN 링크로 가상 네트워크에 온-프레미스 네트워크 연결
• 가상 네트워크 간 연결

가상 네트워크에 개별 워크스테이션 연결

개별 개발자 또는 작업 담당자가 Azure에서 가상 머신 및 서비스를 관리하도록 하려는 경우가 있을 수 있습니다. 예를 들어 가상 네트워크의 가상 머신에 액세스해야 하지만 보안 정책에서 개별 가상 머신에 대한 RDP 또는 SSH 원격 액세스를 금지하는 경우 지점 및 사이트 간의 VPN 연결을 사용할 수 있습니다.

지점 및 사이트 간 VPN 연결을 사용하면 사용자와 가상 네트워크 간에 프라이빗 및 보안 연결을 설정할 수 있습니다. VPN 연결이 설정되면 사용자는 인증되고 권한이 부여된 경우 VPN 링크를 통해 가상 네트워크의 가상 머신에 RDP 또는 SSH를 수행할 수 있습니다. 지점 및 사이트 간의 VPN은 다음을 지원합니다.

• SSTP(Secure Socket Tunneling Protocol): 대부분의 방화벽이 TLS/SSL에서 사용하는 TCP 포트 443을 열기 때문에 방화벽을 관통할 수 있는 독점 SSL 기반 VPN 프로토콜입니다. SSTP는 Windows 디바이스(Windows 7 이상)에서 지원됩니다.
• IKEv2 VPN: Mac 디바이스(OSX 버전 10.11 이상)에서 연결하는 데 사용할 수 있는 표준 기반 IPsec VPN 솔루션입니다.
• OpenVPN 프로토콜: 대부분의 방화벽이 TLS에서 사용하는 TCP 포트 443 아웃바운드를 열기 때문에 방화벽을 관통할 수 있는 SSL/TLS 기반 VPN 프로토콜입니다. OpenVPN은 Android, iOS(버전 11.0 이상), Windows, Linux, Mac 디바이스(macOS 버전 10.13 이상)에서 연결하는 데 사용할 수 있습니다. 지원되는 버전은 TLS 핸드셰이크를 기반으로 하는 TLS 1.2 및 TLS 1.3입니다.

자세히 보기:

• 지점 및 사이트 간의 VPN 라우팅 정보

VPN Gateway를 사용하여 온-프레미스 네트워크를 가상 네트워크에 연결

전체 회사 네트워크 또는 특정 세그먼트를 가상 네트워크에 연결하려면 사이트간 VPN을 사용하는 것이 좋습니다. 이 방법은 서비스의 일부가 Azure와 온-프레미스 모두에서 호스트되는 하이브리드 IT 시나리오에서 일반적입니다. 예를 들어 Azure에 프런트 엔드 웹 서버와 온-프레미스의 백 엔드 데이터베이스가 있을 수 있습니다. 사이트 및 사이트 간의 VPN은 Azure 리소스 관리의 보안을 강화하고 Active Directory 도메인 컨트롤러를 Azure로 확장하는 등의 시나리오를 사용하도록 설정합니다.

사이트 간 VPN은 단일 디바이스가 아닌 전체 네트워크(예: 온-프레미스 네트워크)를 가상 네트워크에 연결한다는 점에서 지점 및 사이트 간 VPN과 다릅니다. 사이트 간 VPN은 매우 안전한 IPsec 터널 모드 VPN 프로토콜을 사용하여 이러한 연결을 설정합니다.

자세히 보기:

• VPN Gateway 정보

전용 WAN 링크로 가상 네트워크에 온-프레미스 네트워크 연결

지점 및 사이트 간 VPN 연결은 프레미스 간 연결을 사용하도록 설정하는 데 유용합니다. 그러나 다음과 같은 몇 가지 제한 사항이 있습니다.

• VPN 연결은 인터넷을 통해 데이터를 전송하여 공용 네트워크와 관련된 잠재적인 보안 위험에 노출합니다. 또한 인터넷 연결의 안정성과 가용성을 보장할 수 없습니다.
• 가상 네트워크에 대한 VPN 연결은 특정 애플리케이션에 대해 충분한 대역폭을 제공하지 못할 수 있으며, 일반적으로 약 200Mbps로 최대화됩니다.

크로스-프레미스 연결에 대해 최고 수준의 보안 및 가용성이 필요한 조직의 경우 전용 WAN 링크가 선호되는 경우가 많습니다. Azure는 온-프레미스 네트워크와 Azure 가상 네트워크 간의 이러한 전용 연결을 용이하게 하기 위해 ExpressRoute, ExpressRoute Direct 및 ExpressRoute Global Reach와 같은 솔루션을 제공합니다.

자세히 보기:

• ExpressRoute 개요
• ExpressRoute Direct
• ExpressRoute Global Reach

가상 네트워크 간 연결

관리 간소화 또는 보안 강화와 같은 다양한 이유로 배포에 여러 가상 네트워크를 사용할 수 있습니다. 동기에 관계없이 서로 다른 가상 네트워크의 리소스를 서로 연결하려는 경우가 있을 수 있습니다.

한 가지 옵션은 인터넷을 통해 "루프백"하여 한 가상 네트워크의 서비스가 다른 가상 네트워크의 서비스에 연결되도록 하는 것입니다. 즉, 하나의 가상 네트워크에서 연결이 시작되고 인터넷을 통과한 다음 대상 가상 네트워크에 도달합니다. 그러나 이는 인터넷 기반 통신에 내재된 보안 위험에 대한 연결을 노출합니다.

더 나은 옵션은 두 가상 네트워크를 연결하는 사이트 간 VPN을 만드는 것입니다. 이 메서드는 앞에서 언급한 크로스-프레미스 사이트 간 VPN 연결과 동일한 IPsec 터널 모드 프로토콜을 사용합니다.

이 방법의 장점은 VPN 연결이 Azure 네트워크 패브릭을 통해 설정되어 인터넷을 통해 연결되는 사이트간 VPN에 비해 추가 보안 계층을 제공한다는 점입니다.

자세히 보기:

• Azure Portal을 사용하여 VNet-VNet 연결 구성

가상 네트워크를 연결하는 또 다른 방법은 VNet 피어링을 통해서입니다. VNet 피어링을 사용하면 공용 인터넷을 우회하여 Microsoft 백본 인프라를 통해 두 Azure 가상 네트워크 간에 직접 통신할 수 있습니다. 이 기능은 동일한 지역 내 또는 다른 Azure 지역에서 피어링을 지원합니다. NSG(네트워크 보안 그룹)를 사용하여 피어된 네트워크 내의 서브넷 또는 시스템 간의 연결을 제어하고 제한할 수도 있습니다.

가용성

가용성은 모든 보안 프로그램에 매우 중요합니다. 사용자와 시스템이 필요한 리소스에 액세스할 수 없는 경우 서비스가 효과적으로 손상됩니다. Azure는 다음을 비롯한 고가용성 메커니즘을 지원하는 네트워킹 기술을 제공합니다.

• HTTP 기반 부하 분산
• 네트워크 수준 부하 분산
• 전역 부하 분산

부하 분산은 다음을 목표로 여러 디바이스에 균등하게 연결을 분산합니다.

• 가용성 향상: 연결을 배포하면 하나 이상의 디바이스를 사용할 수 없는 경우에도 서비스가 계속 작동합니다. 나머지 디바이스는 콘텐츠를 계속 제공합니다.
• 성능 향상: 연결을 분산하면 단일 디바이스의 부하가 감소하여 처리 및 메모리 요구가 여러 디바이스에 분산됩니다.
• 크기 조정을 용이하게 하세요. 수요가 증가함에 따라 부하 분산 장치에 더 많은 디바이스를 추가하여 더 많은 연결을 처리할 수 있습니다.

HTTP 기반 부하 분산

웹 기반 서비스를 실행하는 조직은 종종 HTTP 기반 부하 분산 장치를 사용하여 고성능 및 가용성을 보장하는 이점을 누릴 수 있습니다. 네트워크 및 전송 계층 프로토콜을 사용하는 기존 네트워크 기반 부하 분산 장치와 달리 HTTP 기반 부하 분산 장치는 HTTP 프로토콜 특성에 따라 결정을 내립니다.

Azure Application Gateway 및 Azure Front Door는 웹 서비스에 대한 HTTP 기반 부하 분산을 제공합니다. 두 서비스 모두 다음을 지원합니다.

• 쿠키 기반 세션 선호도: 한 서버에 설정된 연결이 클라이언트와 서버 간에 일관성을 유지하여 트랜잭션 안정성을 유지하도록 합니다.
• TLS 오프로드: TLS(HTTPS)를 사용하여 클라이언트와 부하 분산 장치 간의 세션을 암호화합니다. 성능을 향상시키기 위해 부하 분산 장치와 웹 서버 간의 연결에서 HTTP(암호화되지 않음)를 사용하여 웹 서버의 암호화 오버헤드를 줄이고 요청을 보다 효율적으로 처리할 수 있습니다.
• URL 기반 콘텐츠 라우팅: 부하 분산 장치에서 대상 URL에 따라 연결을 전달할 수 있으므로 IP 주소 기반 의사 결정보다 유연성이 더 큽니다.
• 웹 애플리케이션 방화벽: 일반적인 위협 및 취약성에 대한 웹 애플리케이션에 대한 중앙 집중식 보호를 제공합니다.

자세히 보기:

• Application Gateway 개요
• Azure Front Door 개요
• 웹 애플리케이션 방화벽 개요

네트워크 수준 부하 분산

HTTP 기반 부하 분산과 달리 네트워크 수준 부하 분산은 IP 주소 및 포트(TCP 또는 UDP) 번호에 따라 결정을 내립니다. Azure Load Balancer는 다음과 같은 주요 특성을 사용하여 네트워크 수준 부하 분산을 제공합니다.

• IP 주소 및 포트 번호에 따라 트래픽을 분산합니다.
• 모든 애플리케이션 계층 프로토콜을 지원합니다.
• Azure 가상 머신 및 클라우드 서비스 역할 인스턴스에 트래픽을 분산합니다.
• 인터넷 연결(외부 부하 분산) 및 비 인터넷 연결(내부 부하 분산) 애플리케이션 및 가상 머신 모두에 사용할 수 있습니다.
• 서비스 사용 불가를 감지하고 응답하는 엔드포인트 모니터링을 포함합니다.

자세히 보기:

• 내부 부하 분산 장치 개요

전역 부하 분산

일부 조직에서는 가능한 가장 높은 수준의 가용성을 원합니다. 이 목표에 도달하는 한 가지 방법은 전 세계적으로 분산된 데이터 센터에서 애플리케이션을 호스팅하는 것입니다. 전 세계적으로 위치한 데이터 센터에서 애플리케이션을 호스팅할 경우 지역 전체가 사용할 수 없게 되어도 애플리케이션은 계속 실행할 수 있습니다.

이 부하 분산 전략을 사용하면 성능 이점도 얻을 수 있습니다. 서비스에 대한 요청을 해당 요청을 하는 디바이스에 가장 가까운 데이터 센터로 전달할 수 있습니다.

Azure에서는 DNS 기반 부하 분산을 위해 Azure Traffic Manager, 전송 계층 부하 분산을 위한 전역 Load Balancer 또는 HTTP 기반 부하 분산을 위한 Azure Front Door를 사용하여 글로벌 부하 분산의 이점을 얻을 수 있습니다.

자세히 보기:

• Traffic Manager란?
• Azure Front Door 개요
• 전역 로드 밸런서 개요

이름 확인

이름 확인은 Azure에서 호스트되는 모든 서비스에 필수적입니다. 보안 관점에서 이름 확인 기능을 손상하면 공격자가 사이트에서 악의적인 사이트로 요청을 리디렉션할 수 있습니다. 따라서 보안 이름 확인은 모든 클라우드 호스팅 서비스에 매우 중요합니다.

고려해야 할 두 가지 유형의 이름 해석이 있습니다.

• 내부 이름 확인: 귀하의 가상 네트워크나 온-프레미스 네트워크, 또는 두 네트워크 모두에 있는 서비스에서 사용됩니다. 이러한 이름은 인터넷을 통해 액세스할 수 없습니다. 최적의 보안을 위해 내부 이름 확인 체계가 외부 사용자에게 노출되지 않도록 합니다.
• 외부 이름 확인: 온-프레미스 및 가상 네트워크 외부의 사용자 및 디바이스에서 사용됩니다. 이러한 이름은 인터넷에 표시되며 클라우드 기반 서비스에 직접 연결됩니다.

내부 이름 확인에는 두 가지 옵션이 있습니다.

• 가상 네트워크 DNS 서버: 새 가상 네트워크를 만들 때 Azure는 해당 가상 네트워크 내에서 컴퓨터의 이름을 확인할 수 있는 DNS 서버를 제공합니다. 이 DNS 서버는 Azure에서 관리되며 구성할 수 없으므로 이름 확인을 보호하는 데 도움이 됩니다.
• 사용자 고유의 DNS 서버 가져오기: 가상 네트워크 내에서 원하는 DNS 서버를 배포할 수 있습니다. Active Directory 통합 DNS 서버 또는 Azure Marketplace에서 사용할 수 있는 Azure 파트너의 전용 DNS 서버 솔루션일 수 있습니다.

자세히 보기:

• Virtual Network 개요
• 가상 네트워크에서 사용하는 DNS 서버 관리

외부 이름 확인에는 두 가지 옵션이 있습니다.

• 자체 외부 DNS 서버 온-프레미스 호스팅
• 외부 DNS 서비스 공급자를 사용합니다.

대규모 조직은 네트워킹 전문 지식과 글로벌 존재로 인해 자체 DNS 서버를 온-프레미스에서 호스트하는 경우가 많습니다.

그러나 대부분의 조직에서는 외부 DNS 서비스 공급자를 사용하는 것이 좋습니다. 이러한 공급자는 DNS 서비스에 대한 고가용성 및 안정성을 제공합니다. DNS 오류로 인해 인터넷 연결 서비스에 연결할 수 없으므로 매우 중요합니다.

Azure DNS는 고가용성 및 고성능 외부 DNS 솔루션을 제공합니다. Azure의 글로벌 인프라를 활용하여 다른 Azure 서비스와 동일한 자격 증명, API, 도구 및 청구를 사용하여 Azure에서 도메인을 호스트할 수 있습니다. 또한 Azure의 강력한 보안 제어를 활용합니다.

자세히 보기:

• Azure DNS 개요
• Azure DNS 프라이빗 영역을 사용하면 사용자 지정 DNS 솔루션을 추가할 필요 없이 자동으로 할당된 이름보다는 Azure 리소스에 대한 프라이빗 DNS 이름을 구성할 수 있습니다.

경계 네트워크 아키텍처

많은 대규모 조직에서는 경계 네트워크를 사용하여 네트워크를 분할하고 인터넷과 자체 서비스 사이에 완충 지대를 만듭니다. 네트워크의 경계 부분은 낮은 수준의 보안 영역으로 간주되며 이 네트워크 세그먼트에는 고가의 자산이 배치되지 않습니다. 일반적으로 네트워크 보안 디바이스에는 경계 네트워크 세그먼트의 네트워크 인터페이스가 사용됩니다. 다른 네트워크 인터페이스는 인터넷에서 인바운드 연결을 수락하는 가상 머신 및 서비스가 있는 네트워크에 연결됩니다.

다양한 방법으로 경계 네트워크를 설계할 수 있습니다. 경계 네트워크 배포 및 사용할 경계 네트워크 유형에 대한 결정은 네트워크 보안 요구 사항에 따라 달라집니다.

자세히 보기:

• 보안 영역에 대한 경계 네트워크

Azure DDoS Protection

DDoS(분산 서비스 거부) 공격은 클라우드 애플리케이션에 대한 중요한 가용성 및 보안 위협입니다. 이러한 공격은 애플리케이션의 리소스를 고갈하여 합법적인 사용자에게 액세스할 수 없도록 하는 것을 목표로 합니다. 공개적으로 연결할 수 있는 모든 엔드포인트는 대상이 될 수 있습니다.

DDoS Protection 기능에는 다음이 포함됩니다.

• 네이티브 플랫폼 통합: Azure Portal을 통해 사용할 수 있는 구성을 사용하여 Azure에 완전히 통합됩니다. 리소스 및 해당 구성을 이해합니다.
• 턴키 보호: 사용자 개입 없이 DDoS Protection을 사용하는 즉시 가상 네트워크의 모든 리소스를 자동으로 보호합니다. 완화는 공격 감지 시 즉시 시작됩니다.
• 항상 켜져 있는 트래픽 모니터링: 애플리케이션 트래픽을 24시간 연중무휴로 모니터링하여 DDoS 공격의 징후를 포착하고, 보호 정책이 위반될 시 완화 조치를 시작합니다.
• 공격 완화 보고서: 집계된 네트워크 흐름 데이터를 사용하여 공격에 대한 자세한 정보를 제공합니다.
• 공격 완화 흐름 로그: 활성 DDoS 공격 중에 삭제 및 전달된 트래픽의 거의 실시간 로그를 제공합니다.
• 적응 튜닝: 시간이 지남에 따라 애플리케이션의 트래픽 패턴을 학습하고 그에 따라 보호 프로필을 조정합니다. 웹 애플리케이션 방화벽과 함께 사용할 경우 계층 3에서 계층 7 보호를 제공합니다.
• 광범위한 완화 규모: 가장 큰 알려진 DDoS 공격을 처리할 수 있는 전역 용량으로 60가지 이상의 다양한 공격 유형을 완화할 수 있습니다.
• 공격 메트릭: 각 공격의 요약된 메트릭은 Azure Monitor를 통해 사용할 수 있습니다.
• 공격 경고: Azure Monitor 로그, Splunk, Azure Storage, 이메일 및 Azure Portal과 같은 도구와 통합하여 공격의 시작, 중지 및 기간에 대한 구성 가능한 경고입니다.
• 비용 보장: 문서화된 DDoS 공격에 대한 데이터 전송 및 애플리케이션 스케일 아웃 서비스 크레딧을 제공합니다.
• DDoS 신속한 대응: 조사, 사용자 지정 완화 및 사후 공격 분석을 위해 활성 공격 중에 신속한 대응 팀에 대한 액세스를 제공합니다.

자세히 보기:

• DDOS 보호 개요

Azure Front Door (Azure의 웹 트래픽 관리 서비스)

Azure Front Door를 사용하면 웹 트래픽의 글로벌 라우팅을 정의, 관리 및 모니터링하여 성능 및 고가용성을 최적화할 수 있습니다. 이를 통해 클라이언트 IP 주소, 국가 코드 및 HTTP 매개 변수를 기반으로 악용으로부터 HTTP/HTTPS 워크로드를 보호하는 사용자 지정 WAF(웹 애플리케이션 방화벽) 규칙을 만들 수 있습니다. 또한 Front Door는 악의적인 봇 트래픽에 대처하기 위한 속도 제한 규칙을 지원하고, TLS 오프로드를 포함하며, HTTP/HTTPS 요청 애플리케이션 계층 처리를 제공합니다.

Front Door 플랫폼은 Azure 인프라 수준 DDoS 보호로 보호됩니다. 향상된 보호를 위해 VNet에서 Azure DDoS 네트워크 보호를 사용하도록 설정하여 자동 조정 및 완화를 통해 네트워크 계층(TCP/UDP) 공격으로부터 리소스를 보호할 수 있습니다. 계층 7 역방향 프록시인 Front Door는 웹 트래픽이 백 엔드 서버로 전달되도록 허용하여 기본적으로 다른 유형의 트래픽을 차단합니다.

자세히 보기:

• 전체 Azure Front Door 기능 집합에 대한 자세한 내용을 보려면 Azure Front Door 개요를 검토할 수 있습니다.

Azure Traffic Manager

Azure Traffic Manager는 글로벌 Azure 지역에 걸쳐 서비스에 트래픽을 분산하여 고가용성 및 응답성을 보장하는 DNS 기반 트래픽 부하 분산 장치입니다. DNS를 사용하여 트래픽 라우팅 방법 및 엔드포인트의 상태에 따라 클라이언트 요청을 가장 적합한 서비스 엔드포인트로 라우팅합니다. 엔드포인트는 Azure 내부 또는 외부에서 호스트되는 모든 인터넷 연결 서비스일 수 있습니다. Traffic Manager는 엔드포인트를 지속적으로 모니터링하고 사용할 수 없는 모든 엔드포인트로 트래픽을 전송하지 않도록 방지합니다.

자세히 보기:

• Azure Traffic Manager 개요

감사 및 위협 검색

Azure에서는 초기 검색, 모니터링, 네트워크 트래픽 수집 및 검토 기능으로 이 주요 영역에서 사용자를 지원합니다.

Azure Network Watcher

Azure Network Watcher는 보안 문제를 해결하고 식별하는 데 도움이 되는 도구를 제공합니다.

• 보안 그룹 보기: 기준 정책을 효과적인 규칙과 비교하여 Virtual Machines의 보안 준수를 감사하고 보장하여 구성 드리프트를 식별하는 데 도움을 줍니다.
• 패킷 캡처: 가상 머신과 네트워크 트래픽을 캡처하여 네트워크 통계 수집 및 애플리케이션 문제 해결을 지원합니다. 특정 경고에 대한 응답으로 Azure Functions에서 트리거할 수도 있습니다.

자세한 내용은 Azure Network Watcher 모니터링 개요를 참조하세요.

클라우드용 Microsoft Defender

클라우드용 Microsoft Defender는 위협을 예방, 검색 및 대응하는 데 도움이 되며, Azure 리소스의 보안에 대한 향상된 가시성과 제어를 제공합니다. 이는 Azure 구독에 대해 통합된 보안 모니터링 및 정책 관리를 제공하고 다른 방법으로 발견되지 않을 수 있는 위협을 감지하는 데 도움이 되며 다양한 보안 솔루션 집합에서 작동합니다.

클라우드용 Defender는 다음과 같은 방법을 통해 네트워크 보안을 최적화하고 모니터링하는 데 도움을 줍니다.

• 네트워크 보안 권장 사항 제공
• 네트워크 보안 구성의 상태 모니터링
• 엔드포인트 및 네트워크 수준에서 네트워크 기반 위협에 대해 경고

자세히 보기:

• 클라우드용 Microsoft Defender 소개

가상 네트워크 TAP

Azure 가상 네트워크 TAP(터미널 액세스 지점)을 사용하면 네트워크 패킷 수집기 또는 분석 도구로 가상 머신 네트워크 트래픽을 지속적으로 스트리밍할 수 있습니다. 수집기 또는 분석 도구는 네트워크 가상 어플라이언스 파트너를 통해 제공됩니다. 동일한 가상 네트워크 TAP 리소스를 사용하여 동일하거나 다른 구독의 여러 네트워크 인터페이스에서 트래픽을 집계할 수 있습니다.

자세히 보기:

• 가상 네트워크 TAP

로깅

네트워크 수준에서 로깅은 네트워크 보안 시나리오의 핵심 기능입니다. Azure에서는 NSG에 대해 획득한 정보를 기록하여 네트워크 수준 로깅 정보를 얻을 수 있습니다. NSG 로깅을 사용하여 다음에서 정보를 얻습니다.

• 활동 로그. 이러한 로그를 사용하여 Azure 구독에 제출된 모든 작업을 확인할 수 있습니다. 이러한 로그는 기본적으로 사용하도록 설정되며 Azure Portal 내에서 사용할 수 있습니다. 이전에는 이러한 로그를 감사 로그 또는 작업 로그라고 했습니다.
• 이벤트 로그. 이러한 로그는 적용된 NSG 규칙에 대한 정보를 제공합니다.
• 카운터 로그. 이러한 로그는 각 NSG 규칙이 트래픽을 허용하거나 거부하는 데 적용된 횟수를 알려 줍니다.

또한 강력한 시각화 도구인 Microsoft Power BI를 사용하여 이러한 로그를 보고 분석할 수도 있습니다. 자세히 보기:

• NSG(네트워크 보안 그룹)에 대한 Azure Monitor 로그