다음을 통해 공유

SKU별 Azure Firewall 기능

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 클라우드 기반 관리 네트워크 보안 서비스입니다. 각각 다양한 사용 사례 및 보안 요구 사항을 위해 설계된 세 가지 SKU(기본, 표준 및 프리미엄)를 제공합니다.

위협으로부터 Azure Virtual Network 리소스를 보호하는 Azure Firewall 배포 아키텍처를 보여 주는 다이어그램

이 문서에서는 기능을 이해하고 요구 사항에 맞는 버전을 선택하는 데 도움이 되도록 SKU로 구성된 모든 Azure Firewall 기능에 대한 포괄적인 개요를 제공합니다.

기능 비교 테이블

다음 표에서는 모든 Azure Firewall SKU의 기능을 비교합니다.

카테고리 특징 기초 스탠다드 Premium
핵심 방화벽 기능 상태 저장 방화벽(5 튜플 규칙)
네트워크 주소 변환(SNAT+DNAT)
기본 제공 고가용성
가용성 영역
필터링 및 검사 HTTPS/SQL에 대한 애플리케이션 수준 FQDN 필터링(SNI 기반)
네트워크 수준 FQDN 필터링 – 모든 포트 및 프로토콜
네트워크 트래픽 필터링 규칙
웹 콘텐츠 필터링(웹 범주)
URL 필터링(전체 경로 - SSL 종료 포함)
아웃바운드 TLS 종료(TLS 전달 프록시)
인바운드 TLS 종료(TLS 역방향 프록시) Azure Application Gateway 사용
위협 방지 위협 인텔리전스 기반 필터링(알려진 악성 IP 주소/도메인) 경고만 경고 및 거부 경고 및 거부
완전 관리형 IDPS
DNS DNS 프록시 + 사용자 지정 DNS
성능 및 크기 조정 클라우드 확장성(트래픽 증가에 따라 자동 크기 조정) 최대 250Mbps 최대 30Gbps 최대 100Gbps
지방 흐름 지원 N/A 1Gbps 10Gbps
관리 및 모니터링 Firewall Manager를 통한 중앙 관리
정책 분석(시간에 따른 규칙 관리)
SIEM 통합을 포함한 전체 로깅
간편한 정책 관리를 위한 서비스 태그 및 FQDN 태그
REST/PowerShell/CLI/templates/Terraform을 사용하여 간편한 DevOps 통합
고급 네트워킹 여러 공용 IP 주소 최대 250개 최대 250개
강제 터널링
강제 터널 모드에서 공용 IP 주소가 없는 배포
호환성 인증(PCI, SOC, ISO)
PCI DSS(결제 카드 산업 데이터 보안 표준) 규정 준수

Azure Firewall 기본 기능

Azure Firewall Basic은 중소기업(SMB)을 위해 설계되었으며, 저렴한 가격으로 필수 보호를 통해 Azure 클라우드 환경을 보호합니다.

방화벽 기본을 보여 주는 다이어그램

주요 기본 기능

  • 기본 제공 고가용성: 고가용성이 기본 제공되므로 추가 부하 분산 장치가 필요하지 않으며 구성할 필요가 없습니다.

  • 가용성 영역: 가용성 향상을 위해 여러 가용성 영역에 걸쳐 배포하는 동안 Azure Firewall을 구성할 수 있습니다. 근접성을 위해 Azure Firewall을 특정 영역에 연결할 수도 있습니다.

  • 애플리케이션 FQDN 필터링 규칙: 아웃바운드 HTTP/S 트래픽 또는 Azure SQL 트래픽을 와일드카드를 포함한 지정된 FQDN(정규화된 도메인 이름) 목록으로 제한할 수 있습니다. 이 기능에는 TLS(전송 계층 보안) 종료가 필요하지 않습니다.

  • 네트워크 트래픽 필터링 규칙: 원본 및 대상 IP 주소, 포트 및 프로토콜별로 네트워크 필터링 규칙을 중앙에서 만들거나 거부할 수 있습니다. Azure Firewall은 완전히 상태 저장되므로 다양한 유형의 연결에 대해 합법적인 패킷을 구분할 수 있습니다.

  • FQDN 태그: FQDN 태그를 사용하면 방화벽을 통해 잘 알려진 Azure 서비스 네트워크 트래픽을 쉽게 허용할 수 있습니다. 예를 들어 애플리케이션 규칙을 만들고 Windows 업데이트의 네트워크 트래픽이 방화벽을 통과하도록 허용하는 Windows 업데이트 태그를 포함할 수 있습니다.

  • 서비스 태그: 서비스 태그 는 보안 규칙 생성의 복잡성을 최소화하는 데 도움이 되는 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경될 때 서비스 태그를 자동으로 업데이트합니다.

  • 위협 인텔리전스(경고 모드에만 해당): 방화벽이 알려진 악성 IP 주소 및 도메인 간의 트래픽을 경고하도록 위협 인텔리전스 기반 필터링 을 사용하도록 설정할 수 있습니다. 기본 SKU에서 이 기능은 경고만 제공하며 트래픽을 거부할 수 없습니다.

  • 아웃바운드 SNAT 지원: 모든 아웃바운드 가상 네트워크 트래픽 IP 주소는 Azure Firewall 공용 IP(원본 네트워크 주소 변환)로 변환됩니다. 가상 네트워크에서 원격 인터넷 대상으로 발생하는 트래픽을 식별하고 허용할 수 있습니다.

  • 인바운드 DNAT 지원: 방화벽 공용 IP 주소에 대한 인바운드 인터넷 네트워크 트래픽이 변환되고(대상 네트워크 주소 변환) 가상 네트워크의 개인 IP 주소로 필터링됩니다.

  • 여러 공용 IP 주소: 향상된 DNAT 및 SNAT 시나리오를 위해 여러 공용 IP 주소를 방화벽과 연결할 수 있습니다.

  • Azure Monitor 로깅: 모든 이벤트는 Azure Monitor와 통합되어 스토리지 계정에 로그를 보관하거나, 이벤트를 이벤트 허브로 스트리밍하거나, Azure Monitor 로그로 보낼 수 있습니다.

  • 인증: Azure Firewall Basic은 PCI(결제 카드 산업), SOC(서비스 조직 제어) 및 ISO(International Organization for Standardization) 규격입니다.

기본 제한 사항

  • 처리량: 250Mbps로 제한됨
  • DNS 프록시: 사용할 수 없음(Azure DNS만 사용)
  • 위협 인텔리전스: 경고 모드만(트래픽을 거부할 수 없음)
  • 네트워크 FQDN 필터링: 지원되지 않음(애플리케이션 FQDN 필터링만 해당)
  • 웹 범주: 지원되지 않음
  • 강제 터널링: 지원되지 않음

Azure Firewall 표준 기능

Azure Firewall 표준은 최대 30Gbps의 최대 트래픽을 관리하기 위해 자동 크기 조정이 있는 계층 3 계층 7 방화벽 기능이 필요한 고객에게 적합합니다. 여기에는 위협 인텔리전스, DNS 프록시, 사용자 지정 DNS 및 웹 범주와 같은 엔터프라이즈 기능이 포함됩니다.

위협 인텔리전스, DNS 프록시 및 네트워크 수준 FQDN 필터링 기능을 비롯한 향상된 기능이 있는 Azure Firewall Standard 배포를 보여 주는 다이어그램

주요 표준 기능

표준에는 모든 기본 기능과 다음이 포함됩니다.

  • 무제한 클라우드 확장성: Azure Firewall은 변화하는 네트워크 트래픽 흐름을 수용하는 데 필요한 만큼 확장할 수 있으므로 최대 트래픽(최대 30Gbps)에 대한 예산을 책정할 필요가 없습니다.

  • 네트워크 수준 FQDN 필터링: DNS 확인에 따라 네트워크 규칙에서 FQDN(정규화된 도메인 이름)을 사용할 수 있습니다. 이 기능을 사용하면 TCP/UDP 프로토콜(NTP, SSH, RDP 등 포함)에서 FQDN을 사용하여 아웃바운드 트래픽을 필터링할 수 있습니다.

  • 위협 인텔리전스(경고 및 거부): 방화벽이 알려진 악성 IP 주소 및 도메인 간의 트래픽을 경고하고 거부하도록 위협 인텔리전스 기반 필터링을 사용하도록 설정할 수 있습니다. IP 주소 및 도메인은 Microsoft 위협 인텔리전스 피드에서 제공됩니다.

  • DNS 프록시: DNS 프록시를 사용하도록 설정하면 Azure Firewall에서 가상 네트워크에서 원하는 DNS 서버로 DNS 쿼리를 처리하고 전달할 수 있습니다. 이 기능은 네트워크 규칙에서 신뢰할 수 있는 FQDN 필터링에 매우 중요합니다.

  • 사용자 지정 DNS: 사용자 지정 DNS를 사용하면 자체 DNS 서버를 사용하도록 Azure Firewall을 구성할 수 있으며, 방화벽 아웃바운드 종속성이 Azure DNS로 계속 확인되도록 할 수 있습니다. 단일 DNS 서버 또는 여러 서버를 구성할 수 있습니다.

  • 강제 터널링: 인터넷에 직접 가는 대신 모든 인터넷 바인딩 트래픽을 지정된 다음 홉으로 라우팅하도록 Azure Firewall을 구성할 수 있습니다. 예를 들어 인터넷에 전달되기 전에 온-프레미스 에지 방화벽 또는 기타 NVA(네트워크 가상 어플라이언스)를 사용하여 네트워크 트래픽을 처리할 수 있습니다.

  • 강제 터널 모드에서 공용 IP 주소 없이 배포: 강제 터널 모드에서 Azure Firewall을 배포할 수 있습니다. 그러면 Azure Firewall에서 해당 작업에 사용되는 관리 NIC를 만듭니다. 테넌트 데이터 경로 네트워크는 공용 IP 주소 없이 구성할 수 있으며 인터넷 트래픽은 다른 방화벽으로 강제 터널되거나 차단될 수 있습니다.

  • 웹 범주: 웹 범주를 사용하면 관리자가 도박 웹 사이트, 소셜 미디어 웹 사이트 등과 같은 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부할 수 있습니다. 표준에서 분류는 FQDN만을 기반으로 합니다.

  • 향상된 여러 공용 IP 지원: 최대 250개의 공용 IP 주소를 방화벽과 연결할 수 있습니다.

프리미엄에 비해 표준 제한 사항

  • TLS 검사: 지원되지 않음
  • IDPS: 지원되지 않음
  • URL 필터링: 지원되지 않음(FQDN 필터링만 해당)
  • 고급 웹 범주: 기본 FQDN 기반 분류만
  • 성능: 프리미엄의 경우 30Gbps 및 100Gbps로 제한됨

Azure Firewall 프리미엄 기능

Azure Firewall Premium은 결제 및 의료 산업과 같이 매우 중요하고 규제되는 환경에 적합한 고급 위협 방지 기능을 제공합니다. 여기에는 모든 표준 기능과 고급 보안 기능이 포함됩니다.

TLS 검사, IDPS 기능, URL 필터링 및 엔터프라이즈 환경에 대한 향상된 위협 방지를 비롯한 고급 보안 기능이 있는 Azure Firewall Premium 배포를 보여 주는 다이어그램

주요 프리미엄 기능

프리미엄에는 모든 표준 기능과 다음이 포함됩니다.

  • TLS 검사: 아웃바운드 트래픽의 암호를 해독하고 처리한 다음 다시 암호화하여 대상으로 보냅니다. Azure Firewall Premium은 TLS 연결을 종료하고 검사하여 HTTPS에서 악의적인 활동을 검색, 경고 및 완화합니다. 두 개의 TLS 연결을 만듭니다. 하나는 웹 서버와 연결되고 다른 하나는 클라이언트와 연결됩니다.

    • 아웃바운드 TLS 검사: Azure에서 호스트되는 내부 클라이언트에서 인터넷으로 전송되는 악의적인 트래픽으로부터 보호합니다.
    • East-West TLS 검사: 온-프레미스 네트워크와의 트래픽을 포함하여 Azure 내에서 전송되는 잠재적인 악성 트래픽으로부터 Azure 워크로드를 보호합니다.

  • IDPS(침입 감지 및 방지 시스템): 네트워크 침입 탐지 및 방지 시스템(IDPS)은 네트워크를 모니터링하여 악의적인 활동을 모니터링하고, 정보를 기록하고, 보고하고, 선택적으로 차단합니다. Azure Firewall Premium은 다음을 사용하여 서명 기반 IDPS를 제공합니다.

    • 50개 이상의 범주에서 67,000개 이상의 규칙
    • 매일 20~40개 이상의 새 규칙이 릴리스됨
    • 고급 맬웨어 탐지 기술을 사용하는 낮은 오탐율
    • 최대 10,000개의 IDPS 규칙 사용자 지정 지원
    • 트래픽 방향 결정에 대한 개인 IP 범위 구성

  • URL 필터링: Azure Firewall의 FQDN 필터링 기능을 확장하여 전체 URL을 고려합니다(예: 전체 URL을 www.contoso.com/a/c로 고려하고, 단순히 www.contoso.com만을 고려하지 않습니다). TLS 검사를 사용하도록 설정하면 URL 필터링을 HTTP 및 HTTPS 트래픽 모두에 적용할 수 있습니다.

  • 고급 웹 범주: 세분성이 향상된 도박 또는 소셜 미디어와 같은 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부합니다. FQDN만 검사하는 표준과 달리 프리미엄은 HTTP 및 HTTPS 트래픽에 대한 전체 URL을 기반으로 범주를 일치합니다.

    예를 들어 Azure Firewall에서 www.google.com/news에 대한 HTTPS 요청을 가로채는 경우:

    • 방화벽 표준: FQDN 부분만 검사되므로 www.google.com검색 엔진으로 분류됩니다.
    • 방화벽 프리미엄: 전체 URL이 검사되므로 www.google.com/news뉴스로 분류됩니다.

  • 향상된 성능: Azure Firewall Premium은 보다 강력한 가상 머신 SKU를 사용하며 10Gbps 지방 흐름 지원을 통해 최대 100Gbps까지 확장할 수 있습니다.

  • PCI DSS 규정 준수: 프리미엄 SKU는 PCI DSS(Payment Card Industry Data Security Standard) 요구 사항을 준수하므로 결제 카드 데이터를 처리하는 데 적합합니다.

프리미엄 전용 기능

  • IDPS 개인 IP 범위: 트래픽이 인바운드, 아웃바운드 또는 내부(East-West)인지 확인하도록 개인 IP 주소 범위를 구성합니다.
  • IDPS 서명 규칙: 해당 모드를 사용 안 함, 경고 또는 경고 및 거부로 변경하여 서명 사용자 지정
  • 웹 범주 검색: 웹 범주 확인 기능을 사용하여 FQDN 또는 URL의 범주 식별
  • 범주 변경 요청: 다른 범주에 있어야 하는 FQDN 또는 URL에 대한 범주 변경 요청
  • TLS 검사 인증서 관리: TLS 검사를 위해 고객이 제공한 CA 인증서 지원

모든 SKU의 일반적인 기능

기본 제공 고가용성 및 가용성 영역

모든 Azure Firewall SKU는 다음과 같습니다.

  • 추가 부하 분산 장치가 필요 없는 기본 제공 고가용성
  • 가용성 향상을 위한 가용성 영역 배포 지원
  • 여러 가용성 영역에서 배포에 대한 추가 비용 없음

NAT(네트워크 주소 변환)

모든 SKU 지원:

  • 원본 NAT(SNAT): 모든 아웃바운드 가상 네트워크 트래픽 IP 주소는 Azure Firewall 공용 IP로 변환됩니다.
  • DNAT(대상 NAT): 방화벽 공용 IP 주소에 대한 인바운드 인터넷 네트워크 트래픽이 변환되고 개인 IP 주소로 필터링됩니다.

관리 및 모니터링

모든 SKU는 다음과 같습니다.

  • Azure Monitor 통합: 모든 이벤트는 로깅 및 모니터링을 위해 Azure Monitor와 통합됩니다.
  • Azure Firewall 통합 문서: Azure Firewall 데이터 분석을 위한 유연한 캔버스
  • 중앙 관리: Azure Firewall Manager 지원
  • 정책 분석: 시간에 따른 규칙 관리 및 분석
  • DevOps 통합: REST/PowerShell/CLI/templates/Terraform 지원

규정 준수 및 인증

모든 SKU는 다음과 같습니다.

  • PCI(결제 카드 산업) 규정 준수
  • SOC(서비스 조직 통제) 준수
  • ISO(International Organization for Standardization) 규정 준수

프리미엄은 또한 지불 처리 환경에 대한 PCI DSS 규정 준수를 제공합니다.

다음 단계