Azure Firewall Premium 기능 구현 가이드

Azure Firewall Premium은 지불 및 의료 산업과 같이 매우 민감하고 규제되는 환경에 적합한 고급 위협 방지 기능을 제공합니다.

이 가이드에서는 Azure Firewall Premium 기능에 대한 자세한 구현 정보를 제공합니다. SKU에서 모든 Azure Firewall 기능을 개략적으로 비교하려면 SKU별 Azure Firewall 기능을 참조하세요.

조직은 IDPS 및 TLS 검사와 같은 프리미엄 SKU 기능을 활용하여 맬웨어 및 바이러스가 네트워크 간에 확산되는 것을 방지할 수 있습니다. 이러한 기능의 향상된 성능 요구를 충족하기 위해 Azure Firewall Premium은 보다 강력한 가상 머신 SKU를 사용합니다. 표준 SKU와 마찬가지로 프리미엄 SKU는 최대 100Gbps까지 확장하고 가용성 영역과 통합하여 99.99% SLA를 지원할 수 있습니다. 프리미엄 SKU는 PCI DSS(Payment Card Industry Data Security Standard) 요구 사항을 준수합니다.

Azure Firewall Premium에는 다음과 같은 고급 기능이 포함되어 있습니다.

• TLS 검사: 아웃바운드 트래픽의 암호를 해독하고 처리한 다음 다시 암호화하여 대상으로 보냅니다.
• IDPS: 네트워크 활동에서 악의적인 활동을 모니터링하고, 정보를 기록하고, 보고하고, 선택적으로 차단합니다.
• URL 필터링: 추가 경로를 포함하여 전체 URL을 고려하도록 FQDN 필터링을 확장합니다.
• 웹 범주: 도박 또는 소셜 미디어와 같은 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부합니다.

모든 Azure Firewall SKU에서 전체 기능 비교는 SKU별 Azure Firewall 기능을 참조하세요.

TLS 조사

TLS(전송 계층 보안) 프로토콜은 통신 애플리케이션 간의 인증서를 사용하여 개인 정보 보호, 무결성 및 신뢰성에 대한 암호화를 제공합니다. 불법 사용자 활동 및 악의적인 트래픽을 숨길 수 있는 HTTP 트래픽을 암호화합니다.

TLS 검사가 없으면 Azure Firewall은 암호화된 TLS 터널 내에서 데이터를 볼 수 없으므로 보호 기능이 제한됩니다. 그러나 Azure Firewall Premium은 TLS 연결을 종료하고 검사하여 HTTPS에서 악의적인 활동을 검색, 경고 및 완화합니다. 두 개의 TLS 연결을 만듭니다. 하나는 웹 서버가 있고 다른 하나는 클라이언트와 연결됩니다. 고객이 제공한 CA 인증서를 사용하여 즉석 인증서를 생성하여 웹 서버 인증서를 교체하고 클라이언트와 공유하여 TLS 연결을 설정합니다.

TLS 검사 없이 Azure Firewall:

TLS 검사를 사용한 Azure Firewall:

다음 사용 사례는 Azure Firewall에서 지원됩니다.

• 아웃바운드 TLS 검사: Azure에서 호스팅되는 내부 클라이언트에서 인터넷으로 전송되는 악의적인 트래픽으로부터 보호합니다.
• East-West TLS 검사: 온-프레미스 네트워크 간 트래픽을 포함하여 Azure 내에서 전송되는 잠재적인 악의적인 트래픽으로부터 Azure 워크로드를 보호합니다.

다음 사용 사례는 Azure Application Gateway의 Azure Web Application Firewall에서 지원됩니다.

• 인바운드 TLS 검사: 인터넷 또는 외부 네트워크에서 도착하는 악의적인 요청으로부터 Azure에서 호스트되는 내부 서버 또는 애플리케이션을 보호합니다. Application Gateway는 엔드투엔드 암호화를 제공합니다.

관련 정보는 다음을 참조하세요.

• Azure Firewall 프리미엄 및 이름 확인
• 방화벽 전에 Application Gateway 사용

Azure Firewall 프리미엄 중간 CA 인증서 요구 사항에 대한 자세한 내용은 Azure Firewall 프리미엄 인증서를 참조하세요.

TLS 검사에 대해 자세히 알아보려면 Azure Firewall에서 TLS 검사를 위한 POC 빌드을 참조하세요.

IDPS

IDPS(네트워크 침입 감지 및 방지 시스템)는 네트워크를 모니터링하여 악의적인 활동을 모니터링하고, 정보를 기록하고, 보고하고, 선택적으로 차단합니다.

Azure Firewall Premium은 네트워크 트래픽의 바이트 시퀀스 또는 맬웨어에서 사용되는 알려진 악성 명령 시퀀스와 같은 특정 패턴을 식별하여 공격을 신속하게 감지하는 서명 기반 IDPS를 제공합니다. 이러한 IDPS 서명은 애플리케이션 및 네트워크 수준 트래픽(계층 3-7)에 모두 적용됩니다. 완전히 관리되고 지속적으로 업데이트됩니다. IDPS는 온-프레미스 네트워크 간 트래픽을 포함하여 인바운드, 스포크-스포크(East-West) 및 아웃바운드 트래픽에 적용할 수 있습니다. 개인 IP 범위 기능을 사용하여 IDPS 개인 IP 범위를 구성할 수 있습니다. 자세한 내용은 IDPS 개인 IP 범위를 참조하세요.

Azure Firewall 서명/규칙 세트에는 다음이 포함됩니다.

• 기존의 방법으로 누락된 실제 맬웨어, 명령 및 제어, 악용 키트 및 악의적인 활동을 식별하는 데 집중합니다.
• 맬웨어 명령 및 제어, 피싱, 트로이 목마, 봇넷, 정보 이벤트, 악용, 취약성, SCADA 네트워크 프로토콜 및 익스플로잇 키트 활동을 포함하여 50개 이상의 범주에서 67,000개 이상의 규칙이 있습니다.
• 매일 20~40개 이상의 새 규칙이 릴리스됩니다.
• 글로벌 센서 네트워크 피드백 루프와 같은 고급 맬웨어 검색 기술을 사용하여 가양성 비율이 낮습니다.

IDPS는 암호화되지 않은 트래픽에 대한 모든 포트 및 프로토콜에 대한 공격을 감지합니다. HTTPS 트래픽 검사의 경우 Azure Firewall은 TLS 검사 기능을 사용하여 트래픽을 해독하고 악의적인 활동을 더 잘 감지할 수 있습니다.

IDPS 바이패스 목록을 사용하면 특정 IP 주소, 범위 및 서브넷을 필터링에서 제외할 수 있습니다. 방화벽의 성능은 여전히 사용 사례에 따라 달라질 수 있으므로 바이패스 목록은 처리량 성능을 향상시키기 위한 것이 아닙니다. 자세한 내용은 Azure Firewall 성능을 참조하세요.

IDPS 개인 IP 범위

Azure Firewall Premium IDPS에서 개인 IP 주소 범위는 트래픽이 인바운드, 아웃바운드 또는 내부(East-West)인지 확인하는 데 사용됩니다. 각 서명은 서명 규칙 테이블에 표시된 대로 특정 트래픽 방향에 적용됩니다. 기본적으로 IANA RFC 1918에 정의된 범위만 개인 IP 주소로 간주됩니다. 개인 IP 주소 범위 간의 트래픽은 내부적으로 간주됩니다. 필요에 따라 개인 IP 주소 범위를 쉽게 편집, 제거 또는 추가할 수 있습니다.

IDPS 서명 규칙

IDPS 서명 규칙을 사용하면 다음을 수행할 수 있습니다.

• 해당 모드를 사용 안 함, 경고 또는 경고 및 거부로 변경하여 서명을 사용자 지정합니다. 최대 10,000개의 IDPS 규칙을 사용자 지정할 수 있습니다.
  • 예를 들어 잘못된 서명으로 인해 합법적인 요청이 차단된 경우 네트워크 규칙 로그의 ID를 사용하여 해당 서명을 사용하지 않도록 설정하여 가양성 문제를 해결할 수 있습니다.
• 우선 순위가 높은 경고에 대한 가시성을 향상시키기 위해 과도한 우선 순위가 낮은 경고를 생성하는 서명을 미세 조정합니다.
• 67,000개 이상의 서명을 모두 봅니다.
• 스마트 검색을 사용하여 CVE-ID와 같은 특성별로 서명을 찾습니다.

IDPS 서명 규칙에는 다음과 같은 속성이 있습니다.

IDPS에 대한 자세한 내용은 Azure Firewall IDPS를 테스트해 보기를 참조하세요.

URL 필터링

URL 필터링은 Azure Firewall의 FQDN 필터링 기능을 확장하여 전체 URL(예: www.contoso.com/a/c 단순한 www.contoso.comURL)을 고려합니다.

URL 필터링은 HTTP 및 HTTPS 트래픽 모두에 적용할 수 있습니다. HTTPS 트래픽을 검사할 때 Azure Firewall Premium은 TLS 검사 기능을 사용하여 트래픽을 해독하고, 대상 URL을 추출하고, 액세스가 허용되는지 여부를 확인합니다. 애플리케이션 규칙 수준에서 TLS 검사를 사용하도록 설정해야 합니다. 사용하도록 설정되면 URL을 사용하여 HTTPS 트래픽을 필터링할 수 있습니다.

웹 범주

웹 범주를 사용하면 관리자가 도박이나 소셜 미디어와 같은 특정 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부할 수 있습니다. 이 기능은 Azure Firewall Standard와 Premium 모두에서 사용할 수 있지만 프리미엄 SKU는 HTTP 및 HTTPS 트래픽에 대한 전체 URL을 기반으로 범주를 일치시켜 보다 세부적인 제어를 제공합니다.

Azure Firewall 프리미엄 웹 범주는 방화벽 정책에서만 사용할 수 있습니다. 정책 SKU가 방화벽 인스턴스 SKU와 일치하는지 확인합니다. 예를 들어 방화벽 프리미엄 인스턴스에는 방화벽 프리미엄 정책이 필요합니다.

예를 들어 Azure Firewall이 HTTPS 요청을 www.google.com/news가로채는 경우:

• 방화벽 표준은 www.google.com으로 분류되는 FQDN만 검사합니다.
• 방화벽 프리미엄은 전체 URL을 검사하여 www.google.com/news뉴스로 분류합니다.

범주는 책임, 높은 대역폭, 비즈니스 사용, 생산성 손실, 일반 서핑 및 분류되지 않은 심각도로 구성됩니다. 자세한 설명은 Azure Firewall 웹 범주를 참조하세요.

웹 범주 로깅

웹 범주로 필터링된 트래픽은 애플리케이션 로그에 기록됩니다. 웹 범주 필드는 방화벽 정책 애플리케이션 규칙에 명시적으로 구성된 경우에만 표시됩니다. 예를 들어 검색 엔진 및 사용자 요청을 www.bing.com명시적으로 거부하는 규칙이 없으면 기본 거부 메시지만 표시됩니다.

범주 예외

우선 순위가 높은 별도의 허용 또는 거부 규칙 컬렉션을 구성하여 웹 범주 규칙에 대한 예외를 만들 수 있습니다. 예를 들어 우선 순위가 100인 상태에서 허용 www.linkedin.com 하고 우선 순위가 200인 소셜 네트워킹 을 거부하여 소셜 네트워킹 범주에 대한 예외를 만듭니다.

웹 범주 검색

방화벽 정책 설정에서 웹 범주 확인 기능을 사용하여 FQDN 또는 URL의 범주를 식별합니다. 이렇게 하면 대상 트래픽에 대한 애플리케이션 규칙을 정의할 수 있습니다.

범주 변경

방화벽 정책 설정의 웹 범주 탭에서 FQDN 또는 URL이 다른 범주에 있거나 분류되지 않은 FQDN 또는 URL에 대한 제안이 있는 경우 범주 변경을 요청할 수 있습니다. 범주 변경 보고서를 제출한 후 요청 상태를 추적하는 토큰을 받게 됩니다.

TLS 종료를 지원하지 않는 웹 범주

직원 상태 데이터와 같은 특정 웹 트래픽은 개인 정보 보호 및 규정 준수 이유로 인해 TLS 종료를 사용하여 해독할 수 없습니다. 다음 웹 범주는 TLS 종료를 지원하지 않습니다.

• Education
• Finance
• 정부 기관용
• 건강 및 의학

특정 URL에 대한 TLS 종료를 지원하려면 애플리케이션 규칙에 수동으로 추가합니다. 예를 들어 이 웹 사이트를 허용하도록 추가 www.princeton.edu 합니다.

지원되는 지역

Azure Firewall을 사용할 수 있는 지역 목록은 지역별로 사용할 수 있는 Azure 제품을 참조하세요.

다음 단계

• Azure Firewall 프리미엄 인증서에 관해 알아보기
• Azure Firewall 프리미엄 배포 및 구성
• Azure Firewall SKU 변경
• Azure 네트워크 보안에 대해 자세히 알아보기