다음을 통해 공유

Azure 네트워크 보안이란?

네트워크 보안은 다양한 위협과 공격으로부터 클라우드에서 실행되는 데이터 및 애플리케이션을 보호하므로 클라우드 컴퓨팅의 중요한 측면입니다. Azure는 클라우드에서 안전하고 복원력 있는 네트워크를 설계, 배포 및 관리할 수 있는 포괄적인 네트워크 보안 솔루션 집합을 제공합니다.

Azure Firewall, Azure DDoS Protection 및 Azure Web Application Firewall 아이콘을 보여 주는 스크린샷

Azure 네트워크 보안의 기본 원칙 중 하나는 제로 트러스트 모델입니다. 이 모델은 네트워크 또는 디바이스가 본질적으로 안전하거나 신뢰할 수 없다고 가정합니다. 대신 모든 요청 및 연결은 데이터, ID 및 컨텍스트에 따라 확인 및 유효성을 검사해야 합니다. 제로 트러스트 모델을 사용하면 무단 액세스를 방지하고, 횡적 이동을 제한하고, 네트워크의 공격 노출 영역을 줄일 수 있습니다.

솔루션 선택

Azure 워크로드에 적합한 네트워크 보안 솔루션을 선택하는 것은 특정 요구 사항 및 요구 사항에 따라 달라집니다. Azure는 워크로드를 보호하기 위해 개별적으로 또는 함께 사용할 수 있는 다양한 네트워크 보안 서비스를 제공합니다. 네트워크 보안 솔루션을 선택할 때 고려해야 할 몇 가지 주요 요소는 다음과 같습니다.

  • 워크로드 유형: 워크로드에 따라 보안 요구 사항이 다릅니다. 예를 들어 웹 애플리케이션은 웹 공격에 대한 보호가 필요할 수 있지만 가상 머신은 네트워크 기반 공격에 대한 보호가 필요할 수 있습니다.
  • 배포 모델: Azure는 가상 어플라이언스, 관리되는 서비스 및 통합 솔루션과 같은 네트워크 보안 서비스에 대해 다양한 배포 모델을 제공합니다. 필요와 요구 사항에 가장 적합한 모델을 선택합니다.
  • 다른 Azure 서비스와 통합: 많은 Azure 네트워크 보안 서비스가 Azure Monitor, Azure Security Center 및 Microsoft Sentinel과 같은 다른 Azure 서비스와 통합됩니다. 향상된 보안 및 모니터링을 위해 기존 Azure 서비스와 쉽게 통합할 수 있는 솔루션을 선택합니다.
  • 비용: 네트워크 보안 서비스별로 가격 책정 모델이 다릅니다. 예산에 맞는 솔루션을 선택하고 필요한 보호 수준을 제공합니다.
  • 규정 준수 요구 사항: 업계 및 위치에 따라 네트워크 보안 솔루션이 충족해야 하는 특정 규정 준수 요구 사항이 있을 수 있습니다. 이러한 요구 사항을 충족하는 데 도움이 되는 솔루션을 선택합니다.
  • 확장성: 워크로드가 증가함에 따라 네트워크 보안 솔루션이 확장될 수 있어야 합니다. 보안을 손상시키지 않고 증가된 트래픽 및 워크로드를 처리할 수 있는 솔루션을 선택합니다.
  • 관리 및 모니터링: 대시보드, 경고 및 보고와 같은 간편한 관리 및 모니터링 기능을 제공하는 솔루션을 선택합니다. 이렇게 하면 보안 인시던트 식별 및 대응에 도움이 됩니다.

Azure Firewall

Azure Firewall 은 기본 제공 고가용성 및 무제한 클라우드 확장성으로 완전한 상태 저장 보호를 제공하는 클라우드 네이티브 지능형 네트워크 방화벽 서비스입니다. Azure 워크로드에 대한 네트워크 및 애플리케이션 수준 보안을 모두 제공합니다. 관리되는 서비스인 Azure Firewall은 가상 네트워크에 배포할 수 있으며, 보안 및 모니터링을 강화하기 위해 Azure Monitor, Azure Security Center 및 Microsoft Sentinel과 같은 다른 Azure 서비스와 원활하게 통합됩니다.

Azure Firewall이 대상으로 라우팅하기 전에 인터넷에서 트래픽을 검사하는 방법을 보여 주는 다이어그램

필요에 따라 세 가지 Azure Firewall SKU 중에서 선택할 수 있습니다.

  • 기본: 기본 SKU는 Azure 워크로드의 간단한 방화벽 솔루션에 대한 비용 효율적인 옵션입니다. 네트워크 및 애플리케이션 필터링, 네트워크 주소 변환 및 로깅과 같은 필수 기능을 제공합니다.
  • 표준: 표준 SKU는 DNS 프록시 및 웹 범주와 같은 추가 기능을 포함하는 고급 옵션입니다. Azure 워크로드에서 보다 포괄적인 방화벽 솔루션을 위해 설계되었습니다.
  • 프리미엄: 프리미엄 SKU는 표준 SKU의 모든 기능과 TLS 검사, 침입 감지 및 방지, URL 필터링과 같은 추가 기능을 포함하는 가장 고급 옵션입니다. Azure 워크로드에서 가장 높은 수준의 보안 및 제어를 위해 설계되었습니다.

사용 사례

  • 네트워크 보안: 네트워크 기반 공격 및 무단 액세스로부터 Azure 워크로드를 보호합니다.
  • 애플리케이션 보안: 애플리케이션 기반 공격 및 취약성으로부터 Azure 워크로드를 보호합니다.
  • 침입 탐지 및 방지: 네트워크를 모니터링하여 악의적인 활동을 모니터링하고, 이 활동에 대한 정보를 기록하고, 보고하고, 필요에 따라 차단을 시도합니다.
  • TLS 검사: TLS 트래픽을 검사하고 해독하여 암호화된 트래픽에 숨겨진 위협을 감지하고 차단합니다.
  • URL 필터링: 조직의 정책에 따라 특정 URL 또는 URL 범주에 대한 액세스를 제어합니다.

자세한 내용은 Azure Firewall 개요를 참조하세요.

Azure DDoS Protection(애저 디도스 보호)

Azure DDoS Protection 은 DDoS 공격 방어에 향상된 DDoS 완화 기능을 제공하는 서비스입니다. 가상 네트워크에서 특정 Azure 리소스를 보호하는 데 도움이 되도록 자동으로 조정됩니다. 보호는 새 가상 네트워크 또는 기존 가상 네트워크 또는 공용 IP 주소 리소스에서 간단하게 사용하도록 설정할 수 있으며 애플리케이션 또는 리소스를 변경할 필요가 없습니다.

  • IP 보호: Azure DDoS IP Protection은 공용 IP 주소가 할당된 Azure 리소스에 대한 보호를 제공합니다. 볼륨, 프로토콜 및 애플리케이션 계층 공격으로부터 보호합니다.

    공용 IP 주소가 있는 리소스에 적용된 Azure DDoS Protection을 보여 주는 다이어그램

  • 네트워크 보호: Azure DDoS 네트워크 보호는 공용 IP 주소가 할당된 가상 네트워크의 Azure 리소스에 대한 보호를 제공합니다. DDoS 신속한 대응 지원, 비용 보호 및 WAF 할인과 같은 추가 기능이 있습니다.

    허브 및 스포크 토폴로지의 가상 네트워크 수준에서 사용하도록 설정된 Azure DDoS Protection을 보여 주는 다이어그램

사용 사례

  • DDoS 공격으로부터 보호: 볼륨, 프로토콜 및 애플리케이션 계층 공격을 포함하여 DDoS 공격으로부터 Azure 리소스를 보호합니다.
  • 비용 보호: DDoS 공격으로 인한 예기치 않은 비용으로부터 Azure 리소스를 보호합니다.
  • 신속한 대응: DDoS 공격 발생 시 Azure DDoS 전문가의 신속한 대응 지원을 받습니다.

자세한 내용은 Azure DDoS Protection 개요를 참조하세요.

Azure 웹 애플리케이션 방화벽

WAF(Azure Web Application Firewall )는 일반적인 악용 및 취약성으로부터 웹 애플리케이션에 중앙 집중식 보호를 제공하는 웹 애플리케이션 방화벽입니다. WAF는 규칙을 사용하여 HTTP 요청 및 응답을 모니터링하고 정의한 규칙에 따라 트래픽을 차단하거나 허용할 수 있습니다.

유효한 요청을 허용하고 웹 공격을 차단하는 Azure Application Gateway와 Azure Front Door 모두에 적용된 Azure 웹 애플리케이션 방화벽을 보여 주는 다이어그램

WAF는 다음 두 가지 배포 옵션에서 사용할 수 있습니다.

  • Azure Application Gateway WAF: Azure Application Gateway는 웹 애플리케이션에 대한 트래픽을 관리할 수 있는 웹 트래픽(OSI 계층 7) 부하 분산 장치입니다.
  • Azure Front Door WAF: Azure Front Door는 글로벌 애플리케이션을 빠르게 배달하기 위한 확장 가능하고 안전한 진입점입니다. 즉각적인 장애 조치 기능을 통해 SSL 오프로드, 애플리케이션 가속, 전역 부하 분산을 제공합니다.

사용 사례

  • 웹 공격으로부터 보호: SQL 삽입 및 XSS(교차 사이트 스크립팅)와 같은 일반적인 악용 및 취약성으로부터 웹 애플리케이션을 보호합니다.
  • 중앙 집중식 관리: 단일 위치에서 웹 애플리케이션 방화벽 규칙 및 정책을 관리합니다.
  • Azure 서비스와 통합: 향상된 보안 및 성능을 위해 WAF를 Azure Application Gateway 및 Azure Front Door와 같은 다른 Azure 서비스와 통합합니다.
  • 사용자 지정 규칙: 특정 보안 요구 사항 및 정책을 충족하는 사용자 지정 규칙을 만듭니다.
  • 봇 보호: 악성 봇 및 자동화된 공격으로부터 웹 애플리케이션을 보호합니다.

자세한 내용은 Azure Web Application Firewall 개요를 참조하세요.

Azure Portal 환경

Azure Portal은 네트워크 보안 서비스를 관리하기 위한 통합 환경을 제공합니다. 단일 위치에서 네트워크 보안 서비스를 쉽게 만들고 관리할 수 있으며 서비스의 상태와 상태를 볼 수도 있습니다.

Azure Portal의 네트워크 보안 선택 환경 스크린샷

일반적인 네트워크 보안 시나리오

네트워크 보안 허브는 현재 다음 배포 옵션을 지원합니다.

  • 보안 허브 및 스포크 가상 네트워크: 허브로 지정된 가상 네트워크에 Azure Firewall을 배포합니다. 이 허브 가상 네트워크는 가상 네트워크 피어링을 사용하여 여러 스포크 가상 네트워크에 연결할 수 있습니다. Azure Firewall은 방화벽에 대한 규칙 및 구성을 정의하는 Azure Firewall 정책과 연결됩니다. 이 배포 모델은 한 위치에서 네트워크 보안 및 관리를 중앙 집중화하려는 조직에 적합합니다.

  • 대규모 가상 WAN 보호: Azure Virtual WAN 보안 허브에 Azure Firewall을 배포합니다. Azure Firewall은 Azure Firewall 정책과 연결되며 보안 허브는 여러 지점 및 원격 사용자에 연결됩니다. 이 배포 모델은 Azure Virtual WAN을 사용하여 여러 지사와 원격 사용자를 Azure 리소스에 연결하는 조직에 적합합니다.

  • 웹 애플리케이션에 대한 제로 트러스트: Azure WAF(웹 애플리케이션 방화벽) 정책과 함께 Azure Application Gateway를 사용하여 일반적인 악용 및 취약성으로부터 지역 웹 애플리케이션을 보호합니다. WAF 정책을 사용자 지정하여 웹 애플리케이션의 특정 보안 요구 사항을 효과적으로 해결합니다.

  • 클라우드 콘텐츠 안전하게 제공: Azure WaF(웹 애플리케이션 방화벽) 정책과 함께 Azure Front Door를 사용하여 글로벌 웹 애플리케이션의 배달을 보호하고 최적화합니다. 이 배포 모델은 안전하고 효율적인 애플리케이션 성능을 보장하는 동시에 특정 보안 요구 사항을 해결하기 위해 WAF 정책을 사용자 지정할 수 있도록 합니다.

다음 단계

각 Azure 네트워크 보안 서비스의 다양한 기능과 기능에 대해 자세히 알아봅니다.

Azure 네트워크 보안 설명서