Azure Storage는 데이터를 보호하고 스토리지 계정에 대한 액세스를 제어하기 위해 여러 네트워크 보안 계층을 제공합니다. 이 문서에서는 Azure Storage 계정에 사용할 수 있는 주요 네트워크 보안 기능 및 구성 옵션에 대한 개요를 제공합니다. HTTPS 연결을 요구하거나, 최대 격리를 위해 프라이빗 엔드포인트를 구현하거나, 방화벽 규칙 및 네트워크 보안 경계를 통해 퍼블릭 엔드포인트 액세스를 구성하여 스토리지 계정을 보호할 수 있습니다. 각 접근 방식은 다양한 수준의 보안 및 복잡성을 제공하므로 특정 요구 사항, 네트워크 아키텍처 및 보안 정책에 따라 적절한 조합을 선택할 수 있습니다.
비고
허용된 원본에서 요청을 하는 클라이언트도 스토리지 계정의 권한 부여 요구 사항을 충족해야 합니다. 계정 권한 부여에 대한 자세한 내용은 Azure Storage의 데이터에 대한 액세스 권한 부여를 참조하세요.
보안 연결(HTTPS)
기본적으로 스토리지 계정은 HTTPS를 통해서만 요청을 수락합니다. HTTP를 통해 수행된 모든 요청은 거부됩니다. NFS Azure 파일 공유를 네트워크 수준 보안과 함께 사용하는 경우를 제외하고 모든 스토리지 계정에 대해 보안 전송이 필요한 것이 좋습니다. 계정이 보안 연결에서만 요청을 수락하는지 확인하려면 스토리지 계정의 보안 전송 필수 속성을 사용하도록 설정되어 있는지 확인합니다. 자세한 내용은 보안 연결을 보장하기 위해 보안 전송 필요를 참조하세요.
프라이빗 엔드포인트
가능한 경우 스토리지 계정에 대한 프라이빗 링크를 만들어 프라이빗 엔드포인트를 통해 액세스를 보호합니다. 프라이빗 엔드포인트는 가상 네트워크에서 스토리지 계정에 개인 IP 주소를 할당합니다. 클라이언트는 프라이빗 링크를 사용하여 스토리지 계정에 연결합니다. 트래픽은 Microsoft 백본 네트워크를 통해 라우팅되므로 공용 인터넷을 통해 이동하지 않습니다. 프라이빗 엔드포인트에 대한 네트워크 정책을 사용하여 액세스 규칙을 미세 조정할 수 있습니다. 프라이빗 링크에서만 트래픽을 허용하려면 퍼블릭 엔드포인트를 통해 모든 액세스를 차단할 수 있습니다. 프라이빗 엔드포인트에는 추가 비용이 발생하지만 최대 네트워크 격리를 제공합니다. 자세한 내용은 Azure Storage에 대한 프라이빗 엔드포인트 사용을 참조하세요.
퍼블릭 엔드포인트
스토리지 계정의 퍼블릭 엔드포인트 는 공용 IP 주소를 통해 액세스됩니다. 방화벽 규칙을 사용하거나 스토리지 계정을 네트워크 보안 경계에 추가하여 스토리지 계정의 퍼블릭 엔드포인트를 보호할 수 있습니다.
방화벽 규칙
방화벽 규칙을 사용하면 공용 엔드포인트로 트래픽을 제한할 수 있습니다. 프라이빗 엔드포인트에 대한 트래픽에는 영향을 주지 않습니다.
방화벽 규칙을 구성하려면 먼저 방화벽 규칙을 사용하도록 설정해야 합니다. 방화벽 규칙을 사용하도록 설정하면 기본적으로 들어오는 모든 요청이 차단됩니다. 요청은 사용자가 지정한 원본 내에서 작동하는 클라이언트 또는 서비스에서 시작된 경우에만 허용됩니다. 스토리지 계정의 기본 공용 네트워크 액세스 규칙을 설정하여 방화벽 규칙을 사용하도록 설정합니다. 이 작업을 수행하는 방법을 알아보려면 Azure Storage 계정의 기본 공용 네트워크 액세스 규칙 설정을 참조하세요.
방화벽 규칙을 사용하여 다음 원본의 트래픽을 허용합니다.
- 하나 이상의 Azure Virtual Network의 특정 서브넷
- IP 주소 범위
- 리소스 인스턴스
- 신뢰할 수 있는 Azure 서비스
자세한 내용은 Azure Storage 방화벽 규칙을 참조하세요.
방화벽 설정은 스토리지 계정과 관련이 있습니다. 스토리지 계정 및 기타 리소스 그룹에 대한 단일 인바운드 및 아웃바운드 규칙 집합을 관리하려면 네트워크 보안 경계를 설정하는 것이 좋습니다.
네트워크 보안 경계
공용 엔드포인트로 트래픽을 제한하는 또 다른 방법은 스토리지 계정을 네트워크 보안 경계에 포함하는 것입니다. 또한 네트워크 보안 경계는 아웃바운드 규칙을 정의할 수 있도록 하여 데이터 반출을 방지합니다. 네트워크 보안 경계는 리소스 컬렉션에 대한 보안 경계를 설정하려는 경우에 특히 유용할 수 있습니다. 여기에는 여러 스토리지 계정 및 기타 PaaS(Platform as a Service) 리소스가 포함될 수 있습니다. 네트워크 보안 경계는 각 리소스에서 개별적으로 구성되지 않고 전체 경계에 적용할 수 있는 보다 완전한 인바운드, 아웃바운드 및 PaaS-PaaS 컨트롤 집합을 제공합니다. 또한 감사 트래픽의 일부 복잡성을 줄일 수 있습니다.
자세한 내용은 Azure Storage에 대한 네트워크 보안 경계를 참조하세요.
복사 작업 범위(미리 보기)
복사 작업 미리 보기 기능에 허용되는 범위를 사용하여 원본을 프라이빗 링크가 있는 동일한 Microsoft Entra 테넌트 또는 가상 네트워크로 제한하여 스토리지 계정으로 데이터 복사를 제한할 수 있습니다. 이렇게 하면 신뢰할 수 없는 환경에서 원치 않는 데이터 반입을 방지할 수 있습니다. 자세한 내용은 복사 작업의 원본을 스토리지 계정으로 제한하세요.