Azure Storage 방화벽 규칙은 스토리지 계정의 퍼블릭 엔드포인트에 대한 네트워크 액세스를 세부적으로 제어합니다. 기본적으로 스토리지 계정은 모든 네트워크의 연결을 허용하지만 스토리지 계정에 연결할 수 있는 원본을 정의하는 네트워크 규칙을 구성하여 액세스를 제한할 수 있습니다.
다음 네 가지 유형의 네트워크 규칙을 구성할 수 있습니다.
- 가상 네트워크 규칙: Azure Virtual Network 내의 특정 서브넷에서 트래픽 허용
- IP 네트워크 규칙: 특정 공용 IP 주소 범위의 트래픽 허용
- 리소스 인스턴스 규칙: 가상 네트워크 또는 IP 규칙을 통해 격리할 수 없는 특정 Azure 리소스 인스턴스의 트래픽 허용
- 신뢰할 수 있는 서비스 예외: 네트워크 경계 외부에서 작동하는 특정 Azure 서비스의 트래픽 허용
네트워크 규칙이 구성되면 명시적으로 허용된 원본의 트래픽만 퍼블릭 엔드포인트를 통해 스토리지 계정에 액세스할 수 있습니다. 다른 모든 트래픽은 거부됩니다.
참고
허용된 원본에서 요청을 하는 클라이언트도 스토리지 계정의 권한 부여 요구 사항을 충족해야 합니다. 계정 권한 부여에 대한 자세한 내용은 Azure Storage의 데이터에 대한 액세스 권한 부여를 참조하세요.
가상 네트워크 규칙
모든 Azure Virtual Network의 서브넷에서 트래픽을 사용하도록 설정할 수 있습니다. 가상 네트워크는 모든 Azure 지역의 Microsoft Entra 테넌트 내의 모든 구독에서 사용할 수 있습니다. 서브넷에서 트래픽을 사용하도록 설정하려면 가상 네트워크 규칙을 추가합니다. 스토리지 계정당 최대 400개 가상 네트워크 규칙을 추가할 수 있습니다.
서브넷의 가상 네트워크 설정에서 Virtual Network 서비스 엔드포인트도 사용하도록 설정해야 합니다. 이 엔드포인트는 스토리지 계정에 대한 안전하고 직접적인 연결을 제공하도록 설계되었습니다.
Azure Portal을 사용하여 네트워크 규칙을 만들 때 각 대상 서브넷을 선택하면 이러한 서비스 엔드포인트가 자동으로 만들어집니다. PowerShell 및 Azure CLI는 수동으로 만드는 데 사용할 수 있는 명령을 제공합니다. 서비스 엔드포인트에 대한 자세한 내용은 Virtual Network 서비스 엔드포인트를 참조하세요.
다음 표에서는 Azure Storage에 대해 사용하도록 설정할 수 있는 각 유형의 서비스 엔드포인트에 대해 설명합니다.
| 서비스 엔드포인트 | 리소스 이름 | 설명 |
|---|---|---|
| Azure Storage 엔드포인트 | Microsoft.Storage (마이크로소프트 저장소) | 가상 네트워크와 동일한 지역의 스토리지 계정에 대한 연결을 제공합니다. |
| Azure Storage 지역 간 서비스 엔드포인트 | Microsoft.Storage.Global | 모든 지역의 스토리지 계정에 대한 연결을 제공합니다. |
참고
이러한 엔드포인트 유형 중 하나만 서브넷과 연결할 수 있습니다. 이러한 엔드포인트 중 하나가 이미 서브넷과 연결된 경우 다른 엔드포인트를 추가하기 전에 해당 엔드포인트를 삭제해야 합니다.
가상 네트워크 규칙을 구성하고 서비스 엔드포인트를 사용하도록 설정하는 방법을 알아보려면 Azure Storage에 대한 가상 네트워크 규칙 만들기를 참조하세요.
연결된 지역에서 액세스
서비스 엔드포인트는 쌍을 이루는 지역의 가상 네트워크와 서비스 인스턴스 간에도 작동합니다.
쌍을 이루는 지역의 가상 네트워크와 서비스 인스턴스 간에 서비스 엔드포인트를 구성하는 것은 재해 복구 계획의 중요한 부분이 될 수 있습니다. 서비스 엔드포인트는 지역 장애 조치(failover) 중에 연속성을 사용하도록 설정하고 읽기 전용 지역 중복 스토리지(RA-GRS) 인스턴스에 대한 액세스를 제공합니다. 가상 네트워크에서 스토리지 계정으로의 액세스 권한을 부여하는 가상 네트워크 규칙도 RA-GRS 인스턴스에 대한 액세스 권한을 부여합니다.
지역 가동 중단 중에 재해 복구를 계획할 때 쌍을 이루는 지역에 가상 네트워크를 미리 만듭니다. 이러한 대체 가상 네트워크에서 액세스 권한을 부여하는 네트워크 규칙을 사용하여 Azure Storage에 대한 서비스 엔드포인트를 사용하도록 설정합니다. 그런 다음, 이러한 규칙을 지역 중복 스토리지 계정에 적용합니다.
IP 네트워크 규칙
가상 네트워크에 없는 클라이언트 및 서비스의 경우 IP 네트워크 규칙을 만들어 트래픽을 사용하도록 설정할 수 있습니다. 각 IP 네트워크 규칙은 특정 공용 IP 주소 범위에서 트래픽을 사용하도록 설정합니다. 예를 들어 온-프레미스 네트워크의 클라이언트가 스토리지 데이터에 액세스해야 하는 경우 해당 클라이언트의 공용 IP 주소를 포함하는 규칙을 만들 수 있습니다. 각 스토리지 계정은 최대 400 개의 IP 네트워크 규칙을 지원합니다.
IP 네트워크 규칙을 만드는 방법을 알아보려면 Azure Storage에 대한 IP 네트워크 규칙 만들기를 참조하세요.
서브넷에 서비스 엔드포인트를 사용하도록 설정하면 해당 서브넷의 트래픽은 공용 IP 주소를 사용하여 스토리지 계정과 통신하지 않습니다. 대신 모든 트래픽은 개인 IP 주소를 원본 IP로 사용합니다. 따라서 해당 서브넷의 트래픽을 허용하는 IP 네트워크 규칙은 더 이상 영향을 주지 않습니다.
특정 IP 주소에 대한 액세스 권한을 부여하는 SAS 토큰은 토큰 소유자의 액세스를 제한하지만, 구성된 네트워크 규칙 이외의 새 액세스 권한은 부여하지 않습니다.
중요
IP 주소 범위에는 몇 가지 제한 사항이 적용됩니다. 제한 목록은 IP 네트워크 규칙에 대한 제한을 참조하세요.
온-프레미스 네트워크에서 액세스
IP 네트워크 규칙을 사용하여 온-프레미스 네트워크에서 트래픽을 사용하도록 설정할 수 있습니다. 먼저 네트워크에서 사용하는 인터넷 연결 IP 주소를 식별해야 합니다. 네트워크 관리자에게 문의하여 도움을 요청하세요.
온-프레미스에서 Azure ExpressRoute 를 사용하는 경우 Microsoft 피어링에 사용되는 NAT IP 주소를 식별해야 합니다. 서비스 공급자 또는 고객이 NAT IP 주소를 제공합니다.
서비스 리소스에 대한 액세스를 허용하려면 리소스 IP에 대한 방화벽 설정에서 이러한 공용 IP 주소를 허용해야 합니다.
Azure 리소스 인스턴스 규칙
일부 Azure 리소스는 가상 네트워크 또는 IP 주소 규칙을 통해 격리할 수 없습니다. 리소스 인스턴스 네트워크 규칙을 만들어 해당 리소스에서 트래픽을 사용하도록 설정할 수 있습니다. 리소스 인스턴스의 Azure 역할 할당은 리소스 인스턴스가 스토리지 계정 데이터에 대해 수행할 수 있는 작업 유형을 결정합니다. 리소스 인스턴스는 스토리지 계정과 동일한 테넌트에 있어야 하지만 테넌트 내의 모든 구독에 속할 수 있습니다.
리소스 인스턴스 규칙을 구성하는 방법을 알아보려면 Azure Storage에 대한 리소스 인스턴스 네트워크 규칙 만들기를 참조하세요.
신뢰할 수 있는 Azure 서비스에 대한 예외
네트워크 경계 외부의 Azure 서비스에서 트래픽을 사용하도록 설정해야 하는 경우 네트워크 보안 예외를 추가할 수 있습니다. 이 기능은 가상 네트워크 또는 IP 네트워크 규칙에 포함할 수 없는 네트워크에서 Azure 서비스가 작동하는 경우에 유용할 수 있습니다. 예를 들어 일부 서비스는 계정에서 리소스 로그 및 메트릭을 읽어야 할 수 있습니다. 네트워크 규칙 예외를 만들어 로그 파일, 메트릭 테이블 또는 둘 다에 대한 읽기 액세스를 허용할 수 있습니다. 이러한 서비스는 강력한 인증을 사용하여 스토리지 계정에 연결됩니다.
네트워크 보안 예외를 추가하는 방법에 대한 자세한 내용은 네트워크 보안 예외 관리를 참조하세요.
트래픽을 사용하도록 설정할 수 있는 Azure 서비스의 전체 목록은 신뢰할 수 있는 Azure 서비스를 참조하세요.
제한 사항 및 고려 사항
스토리지 계정에 대한 네트워크 보안을 구현하기 전에 모든 제한 사항 및 고려 사항을 검토해야 합니다. 전체 목록은 Azure Storage 방화벽 및 가상 네트워크 구성에 대한 제한 사항 및 제한을 참조하세요.