Azure Stack Hub 방화벽 통합
방화벽 디바이스를 사용하여 Azure Stack Hub를 보호하는 것이 좋습니다. 방화벽은 DDOS(분산형 서비스 거부) 공격, 침입 탐지, 콘텐츠 검사와 같은 작업을 방어하는 데 도움이 될 수 있습니다. 그러나 BLOB, 테이블 및 큐와 같은 Azure 스토리지 서비스에 대한 처리량 병목 현상을 유발할 수도 있습니다.
연결이 끊긴 배포 모드를 사용하는 경우 AD FS 엔드포인트를 게시해야 합니다. 자세한 내용은 데이터 센터 통합 ID 문서를 참조하세요.
Azure Resource Manager(관리자), 관리자 포털 및 Key Vault(관리자) 엔드포인트는 반드시 외부 게시가 필요한 것은 아닙니다. 예를 들어 서비스 공급자는 인터넷이 아닌 네트워크 내부에서만 Azure Stack Hub를 관리하여 공격 표면을 제한할 수 있습니다.
엔터프라이즈 조직의 경우 외부 네트워크는 기존 회사 네트워크일 수 있습니다. 이 시나리오에서는 회사 네트워크에서 Azure Stack Hub를 운영하도록 엔드포인트를 게시해야 합니다.
Network Address Translation
NAT(네트워크 주소 변환)는 배포 중에 DVM(배포 가상 머신)이 외부 리소스 및 인터넷에 액세스할 수 있도록 허용하는 권장 방법이며 등록 및 문제 해결 중에 ERCS(응급 복구 콘솔) VM 또는 PEP(권한 있는 엔드포인트)에 액세스할 수 있습니다.
NAT는 외부 네트워크 또는 공용 VIP의 공용 IP 주소에 대한 대안이 될 수도 있습니다. 그러나 테넌트 사용자 환경을 제한하고 복잡성을 가중하므로 이렇게 하지 않는 것이 좋습니다. 한 가지 옵션은 풀의 사용자 IP마다 하나의 공용 IP가 필요한 일대일 NAT일 수 있습니다. 또 다른 옵션은 사용자가 사용할 수 있는 모든 포트에 대해 사용자 VIP마다 하나의 NAT 규칙이 필요한 다대일 NAT입니다.
공용 VIP에 NAT를 사용할 때의 몇 가지 단점은 다음과 같습니다.
- NAT는 방화벽 규칙을 관리할 때 오버헤드를 추가합니다. 사용자가 SDN(소프트웨어 정의 네트워킹) 스택에서 자신의 엔드포인트 및 자체 게시 규칙을 제어하기 때문입니다. 사용자는 Azure Stack Hub 운영자에게 문의하여 해당 VIP를 게시하고 포트 목록을 업데이트해야 합니다.
- NAT 사용은 사용자 환경을 제한하지만 운영자에게 게시 요청에 대한 모든 권한을 부여합니다.
- Azure를 사용하는 하이브리드 클라우드 시나리오의 경우 Azure는 NAT를 사용하여 엔드포인트에 대한 VPN 터널을 설정하는 방식을 지원하지 않습니다.
SSL 가로채기
현재, 모든 Azure Stack Hub 트래픽에 대한 SSL 가로채기(예: 암호 해독 오프로딩)를 사용하지 않도록 설정하는 것이 좋습니다. 향후 업데이트에서 지원되는 경우 Azure Stack Hub에 대해 SSL 가로채기를 사용하도록 설정하는 방법에 대한 지침을 제공합니다.
경계면 방화벽 시나리오
에지 배포에서 Azure Stack Hub는 에지 라우터 또는 방화벽 바로 뒤에 배포됩니다. 이러한 시나리오에서는 방화벽이 활성-활성 및 활성-수동 방화벽 구성을 모두 지원하는, 방화벽이 경계 위에 있는 시나리오(시나리오 1) 또는 장애 조치(failover)를 위해 BGP 또는 정적 라우팅을 사용하는 ECMP(등가 다중 경로)에 의존하여 활성-활성 방화벽 구성만 지원하는, 방화벽이 경계 디바이스로 작동하는 시나리오(시나리오 2)가 지원됩니다.
공용 라우팅 가능 IP 주소는 배포 시 외부 네트워크의 공용 VIP 풀에 대해 지정됩니다. 에지 시나리오에서는 보안을 위해 다른 네트워크에서 공용 라우팅할 수 있는 IP를 사용하지 않는 것이 좋습니다. 이 시나리오를 통해 사용자는 Azure와 같은 공용 클라우드에서 완전한 자체 제어 클라우드 환경을 경험할 수 있습니다.
엔터프라이즈 인트라넷 또는 경계 네트워크 방화벽 시나리오
엔터프라이즈 인트라넷 또는 경계 배포에서 Azure Stack Hub는 다중 영역 방화벽에 또는 경계면 방화벽과 내부 회사 네트워크 방화벽 사이에 배포됩니다. 그런 다음 아래에 설명된 대로 보안, 경계 네트워크(또는 DMZ) 및 비보안 영역 간에 트래픽이 분산됩니다.
- 보안 영역: 내부 또는 회사에서 라우팅할 수 있는 IP 주소를 사용하는 내부 네트워크입니다. 보안 네트워크를 분할하고, 방화벽의 NAT를 통해 인터넷 아웃바운드 액세스가 가능하며, 일반적으로 내부 네트워크를 통해 데이터 센터 내의 어디에서나 액세스할 수 있습니다. 모든 Azure Stack Hub 네트워크는 외부 네트워크의 공용 VIP 풀을 제외하고 보안 영역에 상주해야 합니다.
- 경계 영역. 경계 네트워크에는 일반적으로 웹 서버와 같은 외부 또는 인터넷 연결 애플리케이션이 배포됩니다. 일반적으로 인터넷에서 지정된 인바운드 트래픽을 허용하면서 DDoS 및 침입(해킹)과 같은 공격을 방지하기 위해 방화벽에서 모니터링됩니다. Azure Stack Hub의 외부 네트워크 공용 VIP 풀만 DMZ 영역에 있어야 합니다.
- 비보안 영역. 외부 네트워크, 인터넷입니다. 비보안 영역에 Azure Stack Hub를 배포하지 않는 것이 좋습니다.
자세한 정보
Azure Stack Hub 엔드포인트에서 사용하는 포트 및 프로토콜에 대해 자세히 알아봅니다.