이 문서에서는 다양한 액세스 모드와 Azure에서 네트워크 보안 경계로 전환하는 방법에 대해 알아봅니다. 액세스 모드는 리소스 액세스 및 로깅 동작을 제어하여 Azure 리소스를 보호하는 데 도움이 됩니다.
[!INCLUDE 네트워크 보안 경계 미리 보기 메시지]
리소스 연결에 대한 액세스 모드 구성 지점
액세스 모드 구성 지점은 경계의 리소스 연결의 일부이므로 경계 관리자가 설정할 수 있습니다.
accessMode 속성은 리소스 연결에서 설정하여 리소스의 공용 네트워크 액세스를 제어할 수 있습니다.
가능한 값 accessMode 은 현재 강제됨과 전환입니다.
| 액세스 모드 | 설명 |
|---|---|
| Transition | 이는 기본 액세스 모드입니다. 이 모드의 평가에서는 네트워크 보안 경계 구성을 기준으로 사용합니다. 일치하는 규칙을 찾지 못하면 평가는 리소스 방화벽 구성으로 대체되며, 그러면 기존 설정으로 액세스를 승인할 수 있습니다. |
| 적용 | 명시적으로 설정된 경우 리소스는 네트워크 보안 경계 액세스 규칙만 따릅니다. |
네트워크 보안 경계를 도입하는 동안 연결 중단 방지
전환 모드 사용
기존 PaaS 리소스에 네트워크 보안 경계를 채택하는 동안 원치 않는 연결 중단을 방지하고 안전한 구성으로 원활하게 전환할 수 있도록 관리자는 전환 모드(이전 학습 모드)에서 PaaS 리소스를 네트워크 보안 경계에 추가할 수 있습니다. 이 단계에서는 PaaS 리소스를 보호하지 않지만 다음을 수행합니다.
- 네트워크 보안 경계 구성에 따라 연결이 설정되도록 허용합니다. 또한 이 구성의 리소스는 네트워크 보안 경계 액세스 규칙에 따라 연결이 허용되지 않을 경우 리소스에서 정의한 방화벽 규칙과 신뢰할 수 있는 액세스 동작을 따릅니다.
- 진단 로그가 사용하도록 설정된 경우 네트워크 보안 경계 구성이나 리소스 구성에 따라 연결이 승인되었는지 여부를 자세히 설명하는 로그를 생성합니다. 그런 다음 관리자는 이러한 로그를 분석하여 액세스 규칙의 간격, 경계 멤버 자격 누락 및 원치 않는 연결을 식별할 수 있습니다.
중요
전환(이전 학습) 모드에서 PaaS 리소스를 운영하는 것은 전환 단계로만 사용되어야 합니다. 악의적인 행위자는 보호되지 않은 리소스를 악용하여 데이터를 반출시킬 수 있습니다. 따라서 액세스 모드가 적용됨으로 설정된 상태에서 최대한 빨리 완전히 안전한 구성으로 전환하는 것이 중요합니다.
기존 리소스에 대한 적용 모드로 전환
공용 액세스를 완전히 보호하려면 네트워크 보안 경계에서 강제 모드로 이동해야 합니다. 적용 모드로 전환하기 전에 고려해야 할 사항은 공용, 프라이빗, 신뢰할 수 있는 액세스 및 경계 액세스에 미치는 영향입니다. 적용 모드인 경우 다양한 유형의 PaaS 리소스에서 연결된 PaaS 리소스에 대한 네트워크 액세스 동작을 다음과 같이 요약할 수 있습니다.
- 공용 액세스: 공용 액세스는 공용 네트워크를 통해 이루어진 인바운드 또는 아웃바운드 요청을 말합니다. 네트워크 보안 경계로 보호되는 PaaS 리소스는 기본적으로 인바운드 및 아웃바운드 공용 액세스가 사용하지 않도록 설정되어 있지만, 네트워크 보안 경계 액세스 규칙을 사용하면 일치하는 공용 트래픽을 선택적으로 허용할 수 있습니다.
- 경계 액세스: 경계 액세스는 동일한 네트워크 보안 경계의 리소스 부분 간의 인바운드 또는 아웃바운드 요청을 말합니다. 데이터 침투 및 반출을 방지하기 위해 이러한 경계 트래픽은 적용 모드에서 원본과 대상 모두에서 공용 트래픽으로 명시적으로 승인되지 않는 한 경계 경계를 넘지 않습니다. 경계 액세스를 위해 리소스에 관리 ID를 할당해야 합니다.
- 신뢰할 수 있는 액세스: 신뢰할 수 있는 서비스 액세스는 원본이 신뢰할 수 있는 것으로 간주되는 특정 Azure 서비스인 경우 공용 네트워크를 통해 액세스할 수 있도록 하는 몇 가지 Azure 서비스 기능을 말합니다. 네트워크 보안 경계는 신뢰할 수 있는 액세스보다 더 세부적인 제어를 제공하므로 신뢰할 수 있는 액세스는 강제 모드에서 지원되지 않습니다.
- 프라이빗 액세스: 프라이빗 링크를 통한 액세스는 네트워크 보안 경계의 영향을 받지 않습니다.
네트워크 보안 경계로 새로운 리소스 이동
네트워크 보안 경계는 publicNetworkAccess 아래에 SecuredbyPerimeter라는 새 속성을 도입하여 기본적으로 보안 동작을 지원합니다. 이 설정을 적용하면 공용 액세스가 차단되고 PaaS 리소스가 공용 네트워크에 노출되는 것이 방지됩니다.
리소스를 만들 때 publicNetworkAccess가 SecuredByPerimeter로 설정된 경우 경계와 연결되지 않은 경우에도 리소스가 잠금 모드로 만들어집니다. 구성된 경우 프라이빗 링크 트래픽만 허용됩니다. 네트워크 보안 경계가 경계와 연결되면 리소스 액세스 동작이 관리됩니다. 다음 표는 다양한 모드와 공용 네트워크 액세스 구성에서의 액세스 동작을 요약한 것입니다.
| 연관 액세스 모드 | 연결되지 않음 | 전환 모드 | 적용 모드 |
|---|---|---|---|
| 공용 네트워크 액세스 | |||
| 활성화됨 |
인바운드: 리소스 규칙 아웃바운드 허용됨 |
인바운드: 네트워크 보안 경계 + 리소스 규칙 아웃바운드 네트워크 보안 경계 규칙 + 허용됨 |
인바운드: 네트워크 보안 경계 규칙 아웃바운드 네트워크 보안 경계 규칙 |
| 사용 안 함 |
인바운드: 거부됨 아웃바운드: 허용됨 |
인바운드: 네트워크 보안 경계 규칙 아웃바운드: 네트워크 보안 경계 규칙 + 허용됨 |
인바운드: 네트워크 보안 경계 규칙 아웃바운드: 네트워크 보안 경계 규칙 |
| 경계로보호됨 |
인바운드: 거부됨 아웃바운드: 거부됨 |
인바운드: 네트워크 보안 경계 규칙 아웃바운드: 네트워크 보안 경계 규칙 |
-
인바운드: 네트워크 보안 경계 규칙 - 아웃바운드: 네트워크 보안 경계 규칙 |
publicNetworkAccess 및 accessMode 속성을 구성하는 단계
publicNetworkAccess 및 accessMode 속성은 다음 단계에 따라 Azure Portal을 사용하여 설정할 수 있습니다.
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
연결된 리소스> 선택하여 경계와 연결된 리소스 목록을 봅니다.
구성하려는 리소스 옆에 있는 ...(줄임표)를 선택합니다.
드롭다운 메뉴에서 공용 네트워크 액세스 구성을 선택한 다음, 사용 가능한 세 가지 옵션(사용, 사용 안 함 또는 SecuredByPerimeter) 중에서 원하는 액세스 모드를 선택합니다.
액세스 모드를 설정하려면 드롭다운 메뉴에서 액세스 모드 변경을 선택한 다음 사용 가능한 두 옵션인 학습 또는 적용에서 원하는 액세스 모드를 선택합니다.
