Azure Firewall 프리미엄 기능
Azure Firewall 프리미엄은 결제 및 의료 서비스 산업과 같은 매우 민감하고 규제된 환경의 요구 사항을 충족하는 고급 위협 방지를 제공합니다.
조직은 IDPS 및 TLS 검사 같은 프리미엄 SKU(stock-keeping unit) 기능을 활용하여 맬웨어와 바이러스가 네트워크에서 측면 방향과 수평 방향으로 모두 확산하지 못하도록 할 수 있습니다. IDPS 및 TLS 검사의 향상된 성능 요구 사항을 충족하기 위해 Azure Firewall 프리미엄은 더 강력한 가상 머신 SKU를 사용합니다. 표준 SKU와 마찬가지로 프리미엄 SKU는 최대 100Gbps까지 원활하게 스케일링되고 가용성 영역과 통합되어 99.99% SLA(Service Level Agreement(서비스 수준 약정))를 지원할 수 있습니다. 프리미엄 SKU는 PCI DSS(Payment Card Industry Data Security Standard) 환경 요구 사항을 준수합니다.
Azure Firewall 프리미엄에는 다음과 같은 기능이 포함되어 있습니다.
- TLS 검사 - 아웃바운드 트래픽을 해독하고, 데이터를 처리한 다음 데이터를 암호화하고 대상에 보냅니다.
- IDPS - 네트워크 IDPS(침입 감지 및 방지 시스템)를 사용하면 악의적인 활동의 네트워크 활동을 모니터링하고, 이 활동에 대한 정보를 기록하고, 보고하고, 필요할 때 차단할 수 있습니다.
- URL 필터링 - 추가 경로와 함께 전체 URL을 고려하기 위해 Azure Firewall의 FQDN 필터링 기능을 확장합니다. 예를 들어
www.contoso.com이 아닌www.contoso.com/a/c입니다. - 웹 범주 - 관리자는 도박 웹 사이트, 소셜 미디어 웹 사이트 등의 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부할 수 있습니다.
모든 Firewall SKU의 Azure Firewall 기능을 비교하려면 필요에 맞는 올바른 Azure Firewall SKU 선택을 참조하세요.
TLS 조사
TLS(전송 계층 보안) 프로토콜은 주로 둘 이상의 통신 애플리케이션 간에 인증서를 사용하여 개인 정보 보호, 무결성 및 신뢰성을 위한 암호화를 제공합니다. 이는 애플리케이션 계층에서 실행되며 HTTP 프로토콜을 암호화하는 데 널리 사용됩니다.
암호화된 트래픽은 보안 위험이 있을 수 있으며 불법 사용자 활동 및 악성 트래픽을 숨길 수 있습니다. 다음 다이어그램에 표시된 것처럼 TLS 검사를 사용하지 않는 Azure Firewall은 암호화된 TLS 터널에서 흐르는 데이터에 대한 가시성이 없으므로 전체 보호 범위를 제공할 수 없습니다.
두 번째 다이어그램에서는 Azure Firewall 프리미엄이 TLS 연결을 종료 및 검사하여 HTTPS에서 악의적인 활동을 탐지, 경고 및 완화하는 방법을 보여줍니다. 방화벽은 두 개의 전용 TLS 연결을 만듭니다. 하나는 웹 서버(contoso.com)에 연결하고 다른 하나는 클라이언트에 연결입니다. 고객이 제공한 CA 인증서를 사용하여 웹 서버 인증서를 대체하는 즉석 인증서를 생성하고 이를 클라이언트와 공유하여 방화벽과 클라이언트 간에 TLS 연결을 설정합니다.
TLS 검사를 사용하지 않는 Azure Firewall: 
TLS 검사를 사용하는 Azure Firewall: 
다음 사용 사례는 Azure Firewall에서 지원됩니다.
아웃바운드 TLS 검사
Azure에서 호스트되는 내부 클라이언트에서 인터넷으로 전송되는 악성 트래픽으로부터 보호하기 위함입니다.
동-서 TLS 검사(온-프레미스 네트워크를 들어오고 나가는 트래픽 포함)
Azure 내에서 전송된 잠재적인 악성 트래픽으로부터 Azure 워크로드를 보호하기 위함입니다.
다음 사용 사례는 Azure Application Gateway의 Azure Web Application Firewall에서 지원됩니다.
인바운드 TLS 검사
인터넷 또는 외부 네트워크에서 도착하는 악의적인 요청으로부터 Azure에서 호스트되는 내부 서버 또는 애플리케이션을 보호하기 위함입니다. Application Gateway는 엔드투엔드 암호화를 제공합니다.
관련 정보는 다음을 참조하세요.
팁
TLS 1.0과 1.1은 사용되지 않으며 지원되지 않습니다. TLS 1.0과 1.1 버전의 TLS/SSL(Secure Sockets Layer)은 취약한 것으로 나타났으며, 여전히 이전 버전과 호환되지만 사용하지 않는 것이 좋습니다. 최대한 빨리 TLS 1.2로 마이그레이션합니다.
Azure Firewall 프리미엄 중간 CA 인증서 요구 사항에 대한 자세한 내용은 Azure Firewall 프리미엄 인증서를 참조하세요.
TLS 검사에 대해 자세히 알아보려면 Azure Firewall에서 TLS 검사를 위한 POC 빌드을 참조하세요.
IDPS
네트워크 IDPS(침입 감지 및 방지 시스템)를 사용하면 네트워크에서 악의적인 활동을 모니터링하고, 이 활동에 대한 정보를 기록하고, 보고하고, 필요할 때 차단할 수 있습니다.
Azure Firewall 프리미엄은 네트워크 트래픽의 바이트 시퀀스 또는 맬웨어에 사용되는 알려진 악성 명령 시퀀스와 같은 특정 패턴을 검색하여 공격을 신속하게 검색할 수 있도록 서명 기반 IDPS를 제공합니다. IDPS 서명은 애플리케이션 및 네트워크 수준 트래픽(계층 3~7) 모두에 적용됩니다. IDPS 서명은 완전 관리형이며 계속 업데이트됩니다. IDPS는 인바운드 트래픽, 스포크-스포크 트래픽(동-서) 및 아웃바운드 트래픽에 적용할 수 있습니다. 스포크-스포크(동-서)에는 온-프레미스 네트워크를 들어오고 나가는 트래픽이 포함됩니다. 개인 IP 범위 기능을 사용하여 IDPS 개인 IP 범위를 구성할 수 있습니다. 자세한 내용은 IDPS 개인 IP 범위를 참조하세요.
Azure Firewall 서명/규칙 세트에는 다음이 포함됩니다.
- 실제 맬웨어, 명령과 제어, 익스플로잇 키트 및 기존 예방 방법에서 누락된 실제 악성 활동에 관한 지문을 강조합니다.
- 50개가 넘는 범주의 67,000개가 넘는 규칙
- 범주에는 맬웨어 명령과 제어, 피싱, 트로이 목마, 봇네트, 정보 이벤트, 익스플로잇, 취약성, SCADA 네트워크 프로토콜, 익스플로잇 키트 활동 등이 포함됩니다.
- 20 ~ 40개 이상의 새 규칙이 매일 릴리스됩니다.
- 글로벌 센서 네트워크 피드백 루프 등의 첨단 맬웨어 탐지 기술을 사용하여 가양성 등급을 낮춥니다.
IDPS를 사용하면 암호화되지 않은 트래픽에 대한 모든 포트와 프로토콜에서 공격을 검색할 수 있습니다. 그러나 HTTPS 트래픽을 검사해야 하는 경우 Azure Firewall은 TLS 검사 기능을 사용하여 트래픽을 암호 해독하고 악의적인 활동을 더 잘 검색할 수 있습니다.
IDPS 무시 목록은 무시 목록에 지정된 IP 주소, 범위 및 서브넷에 대한 트래픽을 필터링하지 않도록 허용하는 구성입니다. 방화벽은 여전히 사용 사례와 관련된 성능의 영향을 받기 때문에 IDPS 무시 목록은 처리량 성능을 개선시키기 위한 방법이 아닙니다. 자세한 내용은 Azure Firewall 성능을 참조하세요.
IDPS 개인 IP 범위
Azure Firewall Premium IDPS에서 개인 IP 주소 범위는 트래픽이 인바운드, 아웃바운드 또는 내부(동서)인지 식별하는 데 사용됩니다. 각 서명은 서명 규칙 표에 표시된 대로 특정 트래픽 방향에 적용됩니다. 기본적으로 IANA RFC 1918에 정의된 범위만 개인 IP 주소로 간주됩니다. 따라서 개인 IP 주소 범위에서 개인 IP 주소 범위로 전송되는 트래픽은 내부로 간주됩니다. 이제 개인 IP 주소를 편집하기 위해 필요에 따라 범위를 쉽게 편집, 제거 또는 추가할 수 있습니다.
IDPS 서명 규칙
IDPS 서명 규칙을 사용하면 다음을 수행할 수 있습니다.
하나 이상의 서명을 사용자 지정하고 해당 모드를 사용 안 함, 경고 또는 경고 및 거부로 변경합니다.
예를 들어, 잘못된 서명으로 인해 Azure Firewall이 합법적인 요청을 차단하는 가양성을 수신하는 경우 네트워크 규칙 로그에서 서명 ID를 사용하고, IDPS 모드를 끄기로 설정할 수 있습니다. 이로 인해 "잘못된" 서명이 무시되고 가양성 문제가 해결됩니다.
너무 낮은 우선 순위의 경고를 만들어 우선 순위가 높은 경고에 대한 가시성을 방해하는 서명에 대해 동일한 미세 조정 절차를 적용할 수 있습니다.
전체 55,000개의 서명에 대한 전체 보기 가져오기
스마트 검색
이 작업을 사용하면 모든 유형의 특성으로 전체 서명 데이터베이스를 검색할 수 있습니다. 예를 들면 검색 표시줄에 ID를 입력하여 특정 CVE-ID를 검색함으로써 이 CVE를 처리하고 있는 서명을 검색할 수 있습니다.
IDPS 서명 규칙에는 다음과 같은 속성이 있습니다.
| 열 | 설명 |
|---|---|
| 서명 ID | 각 서명의 내부 ID입니다. 이 ID는 Azure Firewall 네트워크 규칙 로그에도 표시됩니다. |
| 모드 | 서명이 활성 상태인지 여부와 일치하는 트래픽에 대해 방화벽이 삭제되는지 또는 경고하는지 여부를 나타냅니다. 아래의 서명 모드는 IDPS 모드를 재정의할 수 있습니다. - 사용 안 함: 방화벽에서 서명을 사용할 수 없습니다. - 경고: 의심스러운 트래픽이 검색되면 경고를 받습니다. - 경고 및 거부: 경고를 받고 의심스러운 트래픽이 차단됩니다. “경고 전용”으로 정의된 서명 범주는 거의 없으므로, 기본적으로 IDPS 모드가 “경고 및 거부”로 설정되어 있어도 해당 서명과 일치하는 트래픽이 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이를 재정의할 수 있습니다. IDPS 서명 모드는 다음 이유 중 하나로 결정됩니다. 1. 정책 모드로 정의됨 - 서명 모드는 기존 정책의 IDPS 모드에서 파생됩니다. 2. 부모 정책에 의해 정의됨 – 서명 모드는 부모 정책의 IDPS 모드에서 파생됩니다. 3. 재정의됨 - 서명 모드를 재정의하고 사용자 지정할 수 있습니다. 4. 시스템에 의해 정의됨 - 서명 모드는 해당 범주로 인해 시스템에 의해 경고 전용으로 설정됩니다. 이 서명 모드를 재정의할 수 있습니다. 참고: IDPS 경고는 네트워크 규칙 로그 쿼리를 통해 포털에서 사용할 수 있습니다. |
| 심각도 | 각 서명에는 관련 심각도 수준과 서명이 실제 공격일 가능성을 나타내는 할당된 우선 순위가 있습니다. - 낮음(우선 순위 3): 비정상적인 이벤트는 네트워크에서 정상적으로 발생하지 않거나 정보 이벤트가 로그되는 이벤트입니다. 공격 가능성이 낮습니다. - 중간(우선 순위 2): 시그니처는 의심스러운 성격의 공격을 나타냅니다. 관리자가 추가로 조사해야 합니다. - 높음(우선 순위 1): 공격 서명은 심각한 성격의 공격이 시작되고 있음을 나타냅니다. 패킷에 합법적인 목적이 있을 가능성은 거의 없습니다. |
| 방향 | 서명이 적용되는 트래픽 방향입니다. - 인바운드: 서명은 인터넷에서 도착하고 구성된 개인 IP 주소 범위로 향하는 트래픽에만 적용됩니다. - 아웃바운드: 구성된 개인 IP 주소 범위에서 인터넷으로 전송된 트래픽에만 서명이 적용됩니다. - 내부: 서명은 구성된 개인 IP 주소 범위에서 전송되고 해당 범위로 향하는 트래픽에만 적용됩니다. - 내부/인바운드: 서명이 구성된 개인 IP 주소 범위로부터 도착하는 트래픽 또는 인터넷에서 구성된 개인 IP 주소 범위에 도착하는 트래픽에 적용됩니다. - 내부/아웃바운드: 서명이 구성된 개인 IP 주소 범위에서 구성된 개인 IP 주소 범위 또는 인터넷으로 전송되는 트래픽에 적용됩니다. - 모두: 모든 트래픽 방향에 서명이 항상 적용됩니다. |
| 그룹 | 서명이 속한 그룹 이름입니다. |
| 설명 | 다음의 세 부분으로 구성되었습니다. - 범주 이름: Azure Firewall IDPS 서명 규칙 범주에 설명된 대로 서명이 속한 범주 이름입니다. - 서명에 대한 개략적인 설명 - CVE ID(선택 사항): 서명이 특정 CVE와 연결된 경우 |
| 프로토콜 | 이 서명과 연결된 프로토콜입니다. |
| 원본/대상 포트 | 이 서명과 연결된 포트입니다. |
| 마지막으로 업데이트한 날짜 | 이 서명이 도입되거나 수정된 마지막 날짜입니다. |
IDPS에 대한 자세한 내용은 Azure Firewall IDPS를 테스트해 보기를 참조하세요.
URL 필터링
URL 필터링은 Azure Firewall의 FQDN 필터링 기능을 확장하여 전체 URL을 고려합니다. 예를 들어 www.contoso.com이 아닌 www.contoso.com/a/c입니다.
URL 필터링은 HTTP와 HTTPS 트래픽 모두에 적용할 수 있습니다. HTTPS 트래픽을 검사할 때 Azure Firewall 프리미엄에서 TLS 검사 기능을 사용하여 트래픽의 암호를 해독하고 대상 URL을 추출하여 액세스가 허용되는지 유효성을 검사할 수 있습니다. TLS 검사를 수행하려면 애플리케이션 규칙 수준에서 옵트인해야 합니다. 사용하도록 설정되면 HTTPS를 사용하여 필터링하는 데 URL을 사용할 수 있습니다.
웹 범주
웹 범주를 사용하면 관리자가 도박 웹 사이트, 소셜 미디어 웹 사이트 등의 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부할 수 있습니다. 또한 웹 범주는 Azure Firewall 표준에 포함되어 있지만, Azure Firewall 프리미엄에서 더 세밀하게 조정됩니다. FQDN을 기반으로 범주가 일치하는지 확인하는 표준 SKU의 웹 범주 기능과 달리, 프리미엄 SKU에서는 전체 URL에 따라 HTTP와 HTTPS 트래픽의 범주가 일치하는지 확인합니다.
Azure Firewall 프리미엄 웹 범주는 방화벽 정책에서만 사용할 수 있습니다. 정책 SKU가 방화벽 인스턴스의 SKU와 일치하는지 확인합니다. 예를 들어, 방화벽 프리미엄 인스턴스가 있는 경우 방화벽 프리미엄 정책을 사용해야 합니다.
예를 들어 Azure Firewall에서 www.google.com/news의 HTTPS 요청을 가로채면 다음과 같이 분류되어야 합니다.
Firewall 표준 – FQDN 부분만 검사하므로
www.google.com은 검색 엔진으로 분류됩니다.Firewall 프리미엄 – 전체 URL이 검사되므로
www.google.com/news는 뉴스로 분류됩니다.
범주는 심각도를 기반으로 책임, 고대역폭, 비즈니스 사용, 생산성 손실, 일반 탐색, 분류되지 않음으로 구성됩니다. 웹 범주에 대한 자세한 설명은 Azure Firewall 웹 범주를 참조하세요.
웹 범주 로깅
애플리케이션 로그에서 웹 범주를 기준으로 필터링된 트래픽을 볼 수 있습니다. 웹 범주 필드는 방화벽 정책 애플리케이션 규칙에 명시적으로 구성된 경우에만 표시됩니다. 예를 들어 검색 엔진을 명시적으로 거부하는 규칙이 없으며 사용자가www.bing.com으로 이동하도록 요청하는 경우 웹 범주 메시지와 달리 기본 거부 메시지만 표시됩니다. 웹 범주가 명시적으로 구성되지 않았기 때문입니다.
범주 예외
웹 범주 규칙에 대한 예외를 만들 수 있습니다. 규칙 컬렉션 그룹 내에서 우선 순위가 높은 별도의 허용 또는 거부 규칙 컬렉션을 만듭니다. 예를 들어 우선 순위가 100인 www.linkedin.com을 허용하는 규칙 컬렉션과 우선 순위가 200인 소셜 네트워킹을 거부하는 규칙 컬렉션을 구성할 수 있습니다. 그러면 미리 정의된 소셜 네트워킹 웹 범주의 예외가 생성됩니다.
웹 범주 검색
웹 범주 검사 기능을 사용하여 지정된 FQDN 또는 URL이 어떤 범주인지 식별할 수 있습니다. 이를 사용하려면 방화벽 정책 설정에서 웹 범주 탭을 선택합니다. 이는 대상 트래픽에 대한 애플리케이션 규칙을 정의할 때 유용합니다.
Important
웹 범주 확인 기능을 사용하려면 사용자에게 리소스 그룹 수준이 아닌 구독 수준에 대한 Microsoft.Network/azureWebCategories/* 액세스 권한이 있어야 합니다.
범주 변경
방화벽 정책 설정의 웹 범주 탭에서 다음과 같은 경우 범주 변경을 요청할 수 있습니다.
FQDN 또는 URL은 다른 범주에 속해야 함
또는
분류되지 않은 FQDN 또는 URL에 대해 제안된 범주가 있음
범주 변경 보고서를 제출하면 처리 요청을 받았음을 나타내는 토큰이 알림에 제공됩니다. 검색 표시줄에 토큰을 입력하여 요청이 진행 중인지, 거부되었는지, 승인되었는지 확인할 수 있습니다. 이렇게 하려면 토큰 ID를 저장해야 합니다.
TLS 종료를 지원하지 않는 웹 범주
개인 정보 보호 및 규정 준수상의 이유로 암호화된 특정 웹 트래픽은 TLS 종료를 사용하여 해독할 수 없습니다. 예를 들어, 회사 네트워크를 통한 웹 트래픽을 통해 전송되는 직원 상태 데이터는 개인 정보 보호 이유로 인해 TLS가 종료되어서는 안 됩니다.
결과적으로 다음 웹 범주는 TLS 종료를 지원하지 않습니다.
- Education
- Finance
- 정부 기관용
- 건강 및 의학
해결 방법으로 특정 URL이 TLS 종료를 지원하도록 하려면 애플리케이션 규칙에서 TLS 종료가 포함된 URL을 수동으로 추가할 수 있습니다. 예를 들어, 이 웹 사이트를 허용하려면 애플리케이션 규칙에 www.princeton.edu를 추가할 수 있습니다.
지원되는 지역
Azure Firewall에 지원되는 지역은 지역별로 사용할 수 있는 Azure 제품을 참조하세요.