Azure Well-Architected Framework 검토 - Azure Firewall

  • 아티클

이 문서에서는 Azure Firewall 대한 아키텍처 권장 사항을 제공합니다. 이 지침은 아키텍처 우수성의 5가지 핵심 요소에 기반합니다.

  • 안정성
  • 보안
  • 비용 최적화
  • 운영 우수성
  • 성능 효율성

Azure Firewall 대한 실무 지식이 있고 해당 기능에 정통한 것으로 가정합니다. 자세한 내용은 Azure Firewall 개요를 참조하세요.

사전 요구 사항

안정성

Azure Firewall 워크로드를 안정적으로 지원하는 방법을 알아보려면 다음 문서를 참조하세요.

디자인 검사 목록

Azure Firewall 대한 디자인을 선택할 때 안정성에 대한 디자인 원칙을 검토합니다.

  • 허브 가상 네트워크 또는 Azure Virtual WAN 허브의 일부로 Azure Firewall 배포합니다.
  • 가용성 영역 복원력을 활용합니다.
  • Azure Firewall 정책 구조를 만듭니다.
  • 알려진 문제 목록을 검토합니다.
  • Azure Firewall 상태를 모니터링합니다.

참고

기존 허브 & 스포크 모델과 Virtual WAN 관리되는 보안 허브 간에 네트워크 서비스의 가용성에는 차이가 있습니다. 예를 들어 Virtual WAN Hub에서 Azure Firewall 공용 IP는 공용 IP 접두사에서 가져올 수 없으며 DDoS Protection을 사용하도록 설정할 수 없습니다. 하나 또는 다른 모델을 선택하려면 Well-Architected Framework의 5가지 핵심 요소 모두에 대한 요구 사항을 고려해야 합니다.

권장 사항

안정성을 위해 Azure Firewall 구성을 최적화하려면 다음 권장 사항 표를 살펴봅니다.

권장 이점
기존 허브 & 스포크 또는 Azure Virtual WAN 네트워크 토폴로지에서 Azure Firewall Manager를 사용하여 Azure Firewall 인스턴스를 배포하고 관리합니다. 트래픽 거버넌스 및 보호를 위한 네이티브 보안 서비스를 사용하여 허브 및 스포크 및 전이적 아키텍처를 쉽게 만듭니다.

네트워크 토폴로지에 대한 자세한 내용은 Azure 클라우드 채택 프레임워크 설명서를 참조하세요.
Azure Firewall 정책을 만들어 전역 네트워크 환경에서 보안 상태를 관리합니다. Azure Firewall 모든 인스턴스에 정책을 할당합니다. Azure Firewall 정책은 계층 구조로 정렬하여 중앙 기본 정책을 오버레이할 수 있습니다. 특정 지역의 요구 사항을 충족하는 세분화된 정책을 허용합니다. RBAC(역할 기반 액세스 제어)를 통해 로컬 보안 팀에 증분 방화벽 정책을 위임합니다. 일부 설정은 DNAT 규칙 및 DNS 구성과 같은 instance 따라 특정한 다음, 여러 특수 정책이 필요할 수 있습니다.
기존 배포에 대한 Azure Firewall 관리자 정책으로 Azure Firewall 클래식 규칙을 마이그레이션합니다. 기존 배포의 경우 Azure Firewall 규칙을 Azure Firewall Manager 정책으로 마이그레이션합니다. Azure Firewall Manager를 사용하여 방화벽 및 정책을 중앙에서 관리합니다.

자세한 내용은 Azure Firewall Premium으로 마이그레이션을 참조하세요.
Azure Firewall 알려진 문제 목록을 검토합니다. Azure Firewall 제품 그룹은 이 위치에서 알려진 문제의 업데이트된 목록을 유지 관리합니다. 이 목록에는 가능한 해결 방법 또는 완화와 함께 설계별 동작, 건설 중인 수정 사항, 플랫폼 제한 사항과 관련된 중요한 정보가 포함되어 있습니다.
Azure Firewall 정책이 Azure Firewall 제한 및 권장 사항을 준수하는지 확인합니다. 규칙 및 규칙 컬렉션 그룹 수, 총 정책 크기, 원본/대상 대상을 포함하여 정책 구조에 제한이 있습니다. 정책을 작성하고 문서화된 임계값 뒤에 있어야 합니다.
더 높은 SLA(서비스 수준 계약)를 위해 여러 가용성 영역에 Azure Firewall 배포합니다. Azure Firewall 단일 가용성 영역에 배포되고 여러 영역에 배포될 때 다른 SLA 제공합니다. 자세한 내용은 Azure Firewall SLA를 참조하세요. 모든 Azure SLA에 대한 자세한 내용은 Azure 서비스에 대한 SLA 요약을 참조하세요.
다중 지역 환경에서 지역당 Azure Firewall instance 배포합니다. 기존 허브 & 스포크 아키텍처의 경우 이 문서에서 다중 지역 세부 정보를 설명합니다. 보안 가상 허브(Azure Virtual WAN)의 경우 라우팅 의도 및 정책을 구성하여 허브 간 및 분기 간 통신을 보호해야 합니다. 오류 및 내결함성을 방지하도록 설계된 워크로드의 경우 Azure Firewall 및 Azure Virtual Network 인스턴스를 지역 리소스로 고려해야 합니다.
Azure Firewall 메트릭 및Resource Health 상태를 모니터링합니다. 처리량, 방화벽 상태, SNAT 포트 사용률AZFW 대기 시간 프로브 메트릭과 같은 Azure Firewall 상태의 주요 메트릭 지표를 면밀히 모니터링합니다. 또한 Azure Firewall 이제 Azure Resource Health 통합됩니다. 이제 Azure Firewall Resource Health 검사 Azure Firewall 상태 상태 보고 Azure Firewall 리소스에 영향을 줄 수 있는 서비스 문제를 해결할 수 있습니다.

Azure Advisor는 업무상 중요한 애플리케이션의 연속성을 보장하고 향상시키는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.

보안

보안은 아키텍처에서 가장 중요한 요소입니다. Azure Firewall Azure에서 실행되는 클라우드 워크로드에 대한 위협 방지 기능을 제공하는 지능형 방화벽 보안 서비스입니다.

디자인 검사 목록

Azure Firewall 디자인 선택을 할 때 보안에 대한 디자인 원칙을 검토합니다.

  • 강제 터널링이 필요한지 확인합니다.
  • 최소 권한 액세스 조건에 따라 정책에 대한 규칙을 만듭니다.
  • 위협 인텔리전스를 활용합니다.
  • Azure Firewall DNS 프록시를 사용하도록 설정합니다.
  • Azure Firewall 통해 네트워크 트래픽을 직접 전달합니다.
  • SECaaS(타사 보안 as a Service) 공급자를 사용할지 여부를 결정합니다.
  • DDoS를 사용하여 Azure Firewall 공용 IP 주소를 보호합니다.

권장 사항

보안을 위해 Azure Firewall 구성을 최적화하려면 다음 권장 사항 표를 살펴봅니다.

권장 이점
인터넷에 직접 연결하는 대신 모든 인터넷 바인딩 트래픽을 지정된 다음 홉으로 라우팅해야 하는 경우 강제 터널링 모드에서 Azure Firewall 구성합니다(Azure Virtual WAN 적용되지 않음). Azure Firewall에 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 Border Gateway 프로토콜을 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 강제 터널링 모드에서 Azure Firewall 구성해야 합니다. 강제 터널링 기능을 사용하면 Azure Firewall 관리 서브넷에 대한 또 다른 /26 주소 공간이 필요합니다. 이름을 AzureFirewallManagementSubnet으로 지정해야 합니다.

강제 터널링 모드에서 다시 구성할 수 없는 기존 Azure Firewall instance 경우 0.0.0.0/0 경로가 있는 UDR을 만듭니다. NextHopType 값을 인터넷으로 설정합니다. AzureFirewallSubnet과 연결하여 인터넷 연결을 유지합니다.
강제 터널링 모드에서 Azure Firewall 구성할 때(Azure Virtual WAN 적용되지 않음) 공용 IP 주소를 없음으로 설정하여 완전 프라이빗 데이터 평면을 배포합니다. 새 Azure Firewall instance 배포할 때 강제 터널링 모드를 사용하도록 설정하는 경우 공용 IP 주소를 없음으로 설정하여 완전히 프라이빗 데이터 평면을 배포할 수 있습니다. 그러나 관리 평면에는 관리 목적으로만 공용 IP가 필요합니다. 가상 및 온-프레미스 네트워크의 내부 트래픽은 해당 공용 IP를 사용하지 않습니다. 강제 터널링에 대한 자세한 내용은 강제 터널링 Azure Firewall 참조하세요.
최소 권한 액세스 조건에 따라 방화벽 정책에 대한 규칙을 만듭니다. Azure Firewall 정책은 계층 구조로 정렬하여 중앙 기본 정책을 오버레이할 수 있습니다. 특정 지역의 요구 사항을 충족하는 세분화된 정책을 허용합니다. 각 정책에는 특정 우선 순위, 작업 및 처리 순서가 있는 다양한 DNAT, 네트워크 및 애플리케이션 규칙 집합이 포함될 수 있습니다. 최소 권한 액세스 제로 트러스트 원칙에 따라 규칙을 만듭니다. 규칙 처리 방법은 이 문서에 설명되어 있습니다.
경고 및 거부 모드에서 Azure Firewall 위협 인텔리전스를 사용하도록 설정합니다. 방화벽에 대해 위협 인텔리전스 기반 필터링을 사용하도록 설정하여 알 수 없는 IP 주소 및 도메인과 주고받는 트래픽을 경고하고 거부할 수 있습니다. IP 주소 및 도메인은 Microsoft 위협 인텔리전스 피드에서 제공됩니다. 지능형 보안 그래프는 Microsoft 위협 인텔리전스를 지원하며 클라우드용 Microsoft Defender 비롯한 여러 서비스에서 사용됩니다.
경고 또는 경고 및 거부 모드에서 IDPS를 사용하도록 설정합니다. IDPS는 가장 강력한 Azure Firewall(프리미엄) 보안 기능 중 하나이며 사용하도록 설정해야 합니다. 보안 및 애플리케이션 요구 사항에 따라 성능에 미치는 영향(아래 비용 섹션 참조)을 고려하여 경고 또는 경고 및 거부 모드를 선택할 수 있습니다.
DNS(Azure Firewall) 프록시 구성을 사용하도록 설정합니다. 이 기능을 사용하도록 설정하면 VNet의 클라이언트가 DNS 서버로 Azure Firewall. 직접 액세스하고 노출되지 않는 내부 DNS 인프라를 보호합니다. Azure Firewall DNS 쿼리를 전달하는 데 사용할 사용자 지정 DNS를 사용하도록 구성해야 합니다.
Azure Firewall 통해 트래픽을 강제로 적용하도록 UDR(사용자 정의 경로)을 구성합니다. 기존 허브 & 스포크 아키텍처에서 , SpoketoInternetSpoketoHybrid 연결에 대한 SpoketoSpokeAzure Firewall 통해 트래픽을 강제로 적용하도록 UDR을 구성합니다. 대신 Azure Virtual WAN 허브에 통합된 Azure Firewall instance 통해 프라이빗 및/또는 인터넷 트래픽을 리디렉션하도록 라우팅 의도 및 정책을 구성합니다.
Virtual Machines 직접 연결된 공용 IP 주소의 사용 제한 트래픽이 방화벽을 우회하지 못하도록 하려면 공용 IP 주소를 VM 네트워크 인터페이스에 연결하도록 제한해야 합니다. CAF(Azure 클라우드 채택 프레임워크) 모델에서 특정 Azure Policy CORP 관리 그룹에 할당됩니다.
UDR을 적용할 수 없으며 웹 트래픽 리디렉션만 필요한 경우 Azure Firewall 명시적 프록시로 사용하는 것이 좋습니다. 아웃바운드 경로에서 명시적 프록시 기능을 사용하도록 설정하면 프록시로 구성된 Azure Firewall 사용하여 보내는 웹 애플리케이션(예: 웹 브라우저)에서 프록시 설정을 구성할 수 있습니다. 결과적으로 웹 트래픽은 방화벽의 개인 IP 주소에 도달하므로 UDR을 사용하지 않고 방화벽에서 직접 송신됩니다. 또한 이 기능을 사용하면 기존 네트워크 경로를 수정하지 않고도 여러 방화벽을 쉽게 사용할 수 있습니다.
이러한 솔루션을 사용하여 아웃바운드 연결을 보호하려는 경우 Firewall Manager 내에서 지원되는 타사 SaaS(Software as a Service) 보안 공급자를 구성합니다. 친숙한 최고의 타사 SECaaS 제품을 사용하여 사용자의 인터넷 액세스를 보호할 수 있습니다. 이 시나리오에서는 IPSec 터널을 사용하여 공급자의 인프라에 연결하기 때문에 허브의 S2S VPN Gateway 있는 Azure Virtual WAN 필요합니다. SECaaS 공급자는 추가 라이선스 요금을 부과하고 IPSec 연결에 대한 처리량을 제한할 수 있습니다. ZScaler Cloud Connector와 같은 대체 솔루션이 존재하며 더 적합할 수 있습니다.
네트워크 규칙에서 FQDN(정규화된 도메인 이름) 필터링을 사용합니다. Azure Firewall 및 방화벽 정책에서 DNS 확인을 기반으로 FQDN을 사용할 수 있습니다. 이 기능을 사용하면 임의의 TCP/UDP 프로토콜(NTP, SSH, RDP 등)을 사용하여 아웃바운드 트래픽을 필터링할 수 있습니다. 네트워크 규칙에서 FQDN을 사용하려면 Azure Firewall DNS 프록시 구성을 사용하도록 설정해야 합니다. 작동 방식을 알아보려면 네트워크 규칙에서 FQDN 필터링 Azure Firewall 참조하세요.
네트워크 규칙에서 서비스 태그를 사용하여 특정 Microsoft 서비스에 대한 선택적 액세스를 사용하도록 설정합니다. 서비스 태그는 보안 규칙 생성에 대한 복잡성을 최소화할 수 있는 IP 주소 접두사의 그룹을 나타냅니다. 네트워크 규칙에서 서비스 태그를 사용하면 광범위한 IP 주소를 열지 않고도 Azure, Dynamics 및 Office 365 특정 서비스에 대한 아웃바운드 액세스를 사용하도록 설정할 수 있습니다. Azure는 이러한 태그와 각 서비스에서 사용하는 기본 IP 주소 간의 매핑을 자동으로 유지 관리합니다. Azure Firewall 사용할 수 있는 서비스 태그 목록은 Az Firewall Service Tags에 나열되어 있습니다.
애플리케이션 규칙에서 FQDN 태그를 사용하여 특정 Microsoft 서비스에 대한 선택적 액세스를 사용하도록 설정합니다. FQDN 태그는 잘 알려진 Microsoft 서비스와 연결된 FQDN(정규화된 도메인 이름) 그룹을 나타냅니다. 애플리케이션 규칙에서 FQDN 태그를 사용하여 일부 특정 Azure 서비스, Office 365, Windows 365 및 Intune에 대해 방화벽을 통해 필요한 아웃바운드 네트워크 트래픽을 허용할 수 있습니다.
Azure Firewall Manager를 사용하여 DDoS 보호 계획을 만들고 허브 가상 네트워크와 연결합니다(Azure Virtual WAN 적용되지 않음). DDoS 보호 계획은 DDoS 공격으로부터 방화벽을 방어하는 향상된 완화 기능을 제공합니다. Azure Firewall Manager는 방화벽 인프라 및 DDoS 보호 계획을 만드는 통합 도구입니다. 자세한 내용은 Azure Firewall Manager를 사용하여 Azure DDoS Protection 계획 구성을 참조하세요.
엔터프라이즈 PKI를 사용하여 TLS 검사에 대한 인증서를 생성합니다. Azure Firewall Premium에서 TLS 검사 기능을 사용하는 경우 프로덕션 환경에 내부 CA(엔터프라이즈 인증 기관)를 활용하는 것이 좋습니다. 자체 서명된 인증서는 테스트/PoC 목적으로 만 사용해야 합니다.
Azure Firewall 및 Application Gateway 대한 Zero-Trust 구성 가이드 검토 보안 요구 사항에 따라 웹 애플리케이션(검사 및 암호화)에 대한 Zero-Trust 접근 방식을 구현해야 하는 경우 이 가이드를 따르는 것이 좋습니다. 이 문서에서는 기존 허브 & 스포크 및 Virtual WAN 시나리오 모두에서 Azure Firewall 및 Application Gateway 통합하는 방법을 설명합니다.

Azure Advisor는 업무상 중요한 애플리케이션의 연속성을 보장하고 향상시키는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.

정책 정의

Azure 네트워킹과 관련된 모든 기본 제공 정책 정의는 기본 제공 정책 - 네트워크에 나열됩니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다.

디자인 검사 목록

Azure Firewall 대한 디자인을 선택할 때 비용 최적화를 위한 디자인 원칙을 검토합니다.

  • 배포할 Azure Firewall SKU를 선택합니다.
  • 일부 인스턴스에 영구 24x7 할당이 필요하지 않은지 확인합니다.
  • 워크로드에서 방화벽 사용을 최적화할 수 있는 위치를 결정합니다.
  • 방화벽 인스턴스 사용량을 모니터링하고 최적화하여 비용 효율성을 확인합니다.
  • 필요한 공용 IP 주소 수와 사용된 정책을 검토하고 최적화합니다.
  • 로깅 요구 사항을 검토하고, 비용을 예측하고, 시간에 따른 제어를 수행합니다.

권장 사항

다음 권장 사항 표를 탐색하여 비용 최적화를 위해 Azure Firewall 구성을 최적화합니다.

권장 이점
적절한 Azure Firewall SKU를 배포합니다. Azure Firewall 기본, 표준프리미엄의 세 가지 SKU로 배포할 수 있습니다. Azure Firewall 프리미엄은 매우 중요한 애플리케이션(예: 결제 처리)을 보호하는 것이 좋습니다. Azure Firewall 표준은 계층 3-계층 7 방화벽을 찾는 고객에게 권장되며 최대 30Gbps의 최대 트래픽 기간을 처리하기 위해 자동 크기 조정이 필요합니다. Azure Firewall 기본은 처리량이 250Mbps인 SMB 고객에게 권장됩니다. 필요한 경우 여기에 설명된 대로 표준과 프리미엄 간에 다운그레이드 또는 업그레이드가 가능합니다.

자세한 내용은 필요에 맞게 올바른 Azure Firewall SKU 선택을 참조하세요.
24x7에 대해 실행할 필요가 없는 Azure Firewall 배포를 중지합니다. 업무 시간 동안에만 사용되는 개발 또는 테스트 환경이 있을 수 있습니다. 자세한 내용은 할당 취소 및 할당 Azure Firewall.
여러 워크로드 및 Azure Virtual Network에서 동일한 instance Azure Firewall 공유합니다. 허브 가상 네트워크에서 Azure Firewall 중앙 instance 사용하거나 보안 허브를 Virtual WAN 동일한 지역의 동일한 허브에 연결된 여러 스포크 가상 네트워크에서 동일한 방화벽을 공유할 수 있습니다. 허브-스포크 토폴로지의 일부로 예기치 않은 지역 간 트래픽이 없는지 확인합니다.
정기적으로 Azure Firewall 처리된 트래픽을 검토하고 원래 워크로드 최적화를 찾습니다. 상위 흐름 로그(업계에서 Fat Flows라고 함)는 방화벽을 통해 가장 높은 처리량에 기여하는 상위 연결을 보여 줍니다. Azure Firewall 처리된 트래픽을 정기적으로 검토하고 가능한 최적화를 검색하여 방화벽을 통과하는 트래픽의 양을 줄이는 것이 좋습니다.
활용률이 저조한 Azure Firewall 인스턴스를 검토합니다. 사용되지 않는 Azure Firewall 배포를 식별하고 삭제합니다. 사용되지 않는 Azure Firewall 배포를 식별하려면 먼저 방화벽의 개인 IP를 가리키는 서브넷과 연결된 모니터링 메트릭 및 UDR을 분석합니다. AZURE FIREWALL instance NAT, 네트워크 및 애플리케이션에 대한 규칙(클래식)이 있거나 DNS 프록시 설정이 사용 안 함으로 구성된 경우에도 환경 및 배포에 대한 내부 설명서와 같은 다른 유효성 검사와 해당 정보를 결합합니다. 시간이 지남에 따라 비용 효율적인 배포를 검색할 수 있습니다.

로그 및 메트릭 모니터링에 대한 자세한 내용은 Azure Firewall 로그 및 메트릭 모니터링 및SNAT 포트 사용률을 참조하세요.
Azure Firewall Manager 및 정책을 사용하여 운영 비용을 절감하고 효율성을 높이며 관리 오버헤드를 줄입니다. Firewall Manager 정책, 연결 및 상속을 신중하게 검토합니다. 정책에 대한 요금은 방화벽 연결을 기준으로 청구됩니다. 방화벽 연결이 없거나 하나인 정책은 무료입니다. 방화벽 연결이 여러 개인 정책은 고정 요율로 청구됩니다.

자세한 내용은 가격 책정 - Azure Firewall Manager를 참조하세요.
사용되지 않는 공용 IP 주소를 삭제합니다. 연결된 모든 공용 IP 주소가 사용 중인지 확인합니다. 사용하지 않는 경우 연결을 해제하고 삭제합니다. IP 주소를 제거하기 전에 SNAT 포트 사용률을 평가합니다.

방화벽에 필요한 공용 IP 수만 사용합니다. 자세한 내용은 Azure Firewall 로그 및 메트릭 모니터링 및SNAT 포트 사용률을 참조하세요.
로깅 요구 사항을 검토합니다. Azure Firewall Event Hubs를 통해 Log Analytics 작업 영역, 스토리지 또는 타사 솔루션에 표시되는 모든 트래픽의 메타데이터를 포괄적으로 기록할 수 있습니다. 그러나 모든 로깅 솔루션에는 데이터 처리 및 스토리지 비용이 발생합니다. 매우 많은 양에서 이러한 비용은 상당할 수 있으며, 비용 효율적인 접근 방식과 Log Analytics에 대한 대안을 고려하고 비용을 예상해야 합니다. 모든 로깅 범주에 대한 트래픽 메타데이터를 기록하고 필요한 경우 진단 설정에서 수정해야 하는지 여부를 고려합니다.

자세한 제안은 비용 최적화를 위한 디자인 검토 검사 목록을 참조하세요.

Azure Advisor는 업무상 중요한 애플리케이션의 연속성을 보장하고 향상시키는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.

운영 우수성

모니터링 및 진단은 매우 중요한 요소입니다. 성능 통계 및 메트릭을 측정하여 문제를 신속하게 해결하고 수정할 수 있습니다.

디자인 검사 목록

Azure Firewall 디자인 선택을 할 때 운영 우수성에 대한 디자인 원칙을 검토합니다.

  • Azure Firewall 구성 및 정책의 인벤토리 및 백업을 유지 관리합니다.
  • 방화벽 모니터링 및 문제 해결을 위해 진단 로그를 활용합니다.
  • Azure Firewall 모니터링 통합 문서를 활용합니다.
  • 정책 인사이트 및 분석을 정기적으로 검토합니다.
  • 클라우드 및 Microsoft Sentinel용 Microsoft Defender Azure Firewall 통합합니다.

권장 사항

운영 우수성을 위해 Azure Firewall 구성을 최적화하려면 다음 권장 사항 표를 살펴보세요.

권장 이점
VNet 내 트래픽 제어에 Azure Firewall 사용하지 마세요. Azure Firewall VNet 간, VNet과 온-프레미스 네트워크 간, 인터넷으로의 아웃바운드 트래픽 및 들어오는 비 HTTP/s 트래픽을 제어하는 데 사용해야 합니다. VNet 내 트래픽 제어의 경우 네트워크 보안 그룹을 사용하는 것이 좋습니다.
Azure Policy 아티팩트 정기 백업을 유지 관리합니다. IaC(Infrastructure-as-Code) 접근 방식을 사용하여 Azure Firewall 및 모든 종속성을 유지 관리하는 경우 Azure Firewall 정책의 백업 및 버전 관리가 이미 적용되어 있어야 합니다. 그렇지 않은 경우 외부 논리 앱을 기반으로 하는 도우미 메커니즘 을 배포하여 효과적인 솔루션을 자동화하고 제공할 수 있습니다.
Azure Firewall 진단 로그를 사용하도록 설정합니다. 진단 로그는 Azure Firewall 대한 많은 모니터링 도구 및 전략의 핵심 구성 요소이며 사용하도록 설정해야 합니다. 방화벽 로그 또는 통합 문서를 사용하여 Azure Firewall 모니터링할 수 있습니다. Azure Firewall 리소스에 대한 감사 작업에 활동 로그를 사용할 수도 있습니다.
구조적 방화벽 로그 형식을 사용합니다. 구조적 방화벽 로그 는 특정 새 형식으로 구성된 로그 데이터의 형식입니다. 미리 정의된 스키마를 사용하여 쉽게 검색, 필터링 및 분석할 수 있는 방식으로 로그 데이터를 구조화합니다. 최신 모니터링 도구는 이러한 유형의 로그를 기반으로 하므로 종종 필수 구성 요소입니다. 필수 구성 요소가 있는 기존 도구가 있는 경우에만 이전 진단 로그 형식 을 사용합니다. 두 로깅 형식을 동시에 사용하도록 설정하지 마세요.
기본 제공 Azure Firewall 모니터링 통합 문서를 사용합니다. 이제 Azure Firewall 포털 환경에 모니터링 섹션 UI 아래에 새 통합 문서가 포함되어 있으므로 별도의 설치가 더 이상 필요하지 않습니다. Azure Firewall 통합 문서를 사용하면 Azure Firewall 이벤트에서 중요한 인사이트를 추출하고, 애플리케이션 및 네트워크 규칙을 살펴보고, URL, 포트 및 주소에서 방화벽 활동에 대한 통계를 검사할 수 있습니다.
주요 메트릭을 모니터링하고 Azure Firewall 용량 사용률 지표에 대한 경고를 만듭니다. 적어도 처리량, 방화벽 상태, SNAT 포트 사용률AZFW 대기 시간 프로브 메트릭을 모니터링하려면 경고를 만들어야 합니다.
로그 및 메트릭 모니터링에 대한 자세한 내용은 Azure Firewall 로그 및 메트릭 모니터링을 참조하세요.
클라우드 및 Microsoft Sentinel용 Microsoft Defender Azure Firewall 통합을 구성합니다. 이러한 도구를 환경에서 사용할 수 있는 경우 클라우드용 Microsoft DefenderMicrosoft Sentinel 솔루션과의 통합을 활용하는 것이 좋습니다. 클라우드용 Microsoft Defender 통합을 사용하면 Azure의 여러 지역에 분산된 모든 VNet 및 Virtual Hubs의 Azure 네트워크 보안을 포함하여 네트워크 인프라 및 네트워크 보안의 모든 상태 한 곳에서 시각화할 수 있습니다. Microsoft Sentinel과 통합하면 위협 탐지 및 방지 기능이 제공됩니다.
정책 분석 dashboard 정기적으로 검토하여 잠재적인 문제를 식별합니다. 정책 분석은 Azure Firewall 정책의 영향에 대한 인사이트를 제공하는 새로운 기능입니다. 정책에서 잠재적인 문제(정책 제한에 도달, 낮은 사용률 규칙, 중복 규칙, 너무 일반적인 규칙, IP 그룹 사용 권장 사항)를 식별하고 보안 상태 및 규칙 처리 성능을 개선하기 위한 권장 사항을 제공합니다.
KQL(Kusto 쿼리 언어) 쿼리를 숙지하여 Azure Firewall 로그를 사용하여 빠른 분석 및 문제 해결을 허용합니다. 샘플 쿼리는 Azure Firewall 대해 제공됩니다. 이를 통해 방화벽 내에서 발생하는 작업을 신속하게 식별하고 검사 트리거된 규칙 또는 요청을 허용/차단하는 규칙을 확인할 수 있습니다.

Azure Advisor는 업무상 중요한 애플리케이션의 연속성을 보장하고 향상시키는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.

성능 효율성

성능 효율성은 워크로드를 스케일링하여 사용자가 요구하는 사항을 효율적으로 충족하는 기능입니다.

디자인 검사 목록

Azure Firewall 대한 디자인을 선택할 때 성능 효율성에 대한 디자인 원칙을 검토합니다.

  • 방화벽 규칙을 정기적으로 검토하고 최적화합니다.
  • 정책 요구 사항 및 기회를 검토하여 IP 범위 및 URL 목록을 요약합니다.
  • SNAT 포트 요구 사항을 평가합니다.
  • 부하 테스트를 계획하여 사용자 환경에서 자동 크기 조정 성능을 테스트합니다.
  • 필요하지 않은 경우 진단 도구 및 로깅을 사용하도록 설정하지 마세요.

권장 사항

성능 효율성을 위해 Azure Firewall 구성을 최적화하려면 다음 권장 사항 표를 살펴봅니다.

권장 이점
정책 분석 dashboard 사용하여 방화벽 정책에 대한 잠재적 최적화를 식별합니다. 정책 분석은 Azure Firewall 정책의 영향에 대한 인사이트를 제공하는 새로운 기능입니다. 정책에서 잠재적인 문제(정책 제한에 도달, 낮은 사용률 규칙, 중복 규칙, 너무 일반적인 규칙, IP 그룹 사용 권장 사항)를 식별하고 보안 상태 및 규칙 처리 성능을 개선하기 위한 권장 사항을 제공합니다.
규칙 집합이 있는 방화벽 정책의 경우 그룹 초기에 가장 자주 사용되는 규칙을 배치하여 대기 시간을 최적화합니다. 규칙은 규칙 유형, 상속, 규칙 컬렉션 그룹 우선 순위 및 규칙 컬렉션 우선 순위에 따라 처리됩니다. 우선 순위가 가장 높은 규칙 컬렉션 그룹이 가장 먼저 처리됩니다. 규칙 컬렉션 그룹 내에서 우선 순위가 가장 높은 규칙 컬렉션이 먼저 처리됩니다. 규칙 집합에서 가장 많이 사용되는 규칙을 더 높게 배치하면 처리 대기 시간이 최적화됩니다. 규칙이 처리되고 평가되는 방법은 이 문서에 설명되어 있습니다.
IP 그룹을 사용하여 IP 주소 범위를 요약합니다. IP 그룹을 사용하여 IP 범위를 요약할 수 있으므로 고유한 원본/대상 네트워크 규칙의 제한을 초과하지 않습니다. 각 규칙에 대해 Azure는 IP 주소별로 포트를 곱합니다. 따라서 4개의 IP 주소 범위와 5개의 포트가 있는 하나의 규칙이 있는 경우 20개의 네트워크 규칙을 사용합니다. IP 그룹은 네트워크 규칙을 만들기 위해 단일 주소로 처리됩니다.
아웃바운드 액세스를 대량으로 허용하거나 거부하려면 웹 범주 를 고려합니다. 공용 인터넷 사이트의 긴 목록을 명시적으로 빌드하고 유지 관리하는 대신 Azure Firewall 웹 범주를 사용하는 것이 좋습니다. 이 기능은 웹 콘텐츠를 동적으로 분류하고 압축된 애플리케이션 규칙을 만들 수 있도록 허용합니다.
경고 및 거부 모드에서 IDPS의 성능 영향을 평가합니다. IDPS 모드 경고 및 거부에서 작동하기 위해 Azure Firewall 필요한 경우 이 페이지에 설명된 대로 성능 영향을 신중하게 고려합니다.
잠재적 인 SNAT 포트 소모 문제를 평가합니다. Azure Firewall은 현재 백 엔드 가상 머신 확장 집합 인스턴스별로 공용 IP 주소당 포트 2496개를 지원합니다. 기본적으로 두 개의 가상 머신 확장 집합 인스턴스가 있습니다. 따라서 흐름 대상 IP, 대상 포트 및 프로토콜(TCP 또는 UDP)당 4992개 포트가 있습니다. 방화벽은 최대 20개의 인스턴스까지 확장됩니다. SNAT이 소모될 수 있는 배포에 대해 5개 이상의 공용 IP 주소로 Azure Firewall 배포를 구성하여 제한 사항을 해결할 수 있습니다.
성능 테스트 전에 Azure Firewall 제대로 준비합니다. 테스트 20분 전에 부하 테스트의 일부가 아닌 초기 트래픽을 만듭니다. 진단 설정을 사용하여 스케일 업 및 스케일 다운 이벤트를 캡처합니다. Azure Load Testing 서비스를 사용하여 초기 트래픽을 생성할 수 있습니다. Azure Firewall instance 인스턴스를 최대로 확장할 수 있습니다.
/26 주소 공간을 사용하여 Azure Firewall 서브넷(AzureFirewallSubnet)을 구성합니다. Azure Firewall 가상 네트워크의 전용 배포입니다. 가상 네트워크 내에서 Azure Firewall instance 전용 서브넷이 필요합니다. Azure Firewall 크기 조정에 따라 더 많은 용량을 프로비전합니다.
서브넷에 대한 /26 주소 공간은 방화벽에 크기 조정을 수용할 수 있는 충분한 IP 주소가 있는지 확인합니다. Azure Firewall에는 /26보다 큰 서브넷이 필요하지 않습니다. Azure Firewall 서브넷 이름은 AzureFirewallSubnet이어야 합니다.
필요하지 않은 경우 고급 로깅을 사용하도록 설정하지 마세요. Azure Firewall 항상 활성을 유지하는 데 비용이 많이 들 수 있는 몇 가지 고급 로깅 기능을 제공합니다. 대신 문제 해결 목적으로만 사용해야 하며 기간이 제한되면 더 이상 필요하지 않은 경우 사용하지 않도록 설정해야 합니다. 예를 들어 상위 흐름 및 흐름 추적 로그에 비용이 많이 들면 Azure Firewall 인프라에서 과도한 CPU 및 스토리지 사용량이 발생할 수 있습니다.

Azure Advisor는 업무상 중요한 애플리케이션의 연속성을 보장하고 향상시키는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.

Azure Advisor 권장 사항

Azure Advisor 는 Azure 배포를 최적화하기 위한 모범 사례를 따르는 데 도움이 되는 개인 설정된 클라우드 컨설턴트입니다. 아직 Azure Firewall 특정 Advisor 권장 사항이 없습니다. 안정성, 보안, 비용 효율성, 성능 및 운영 우수성을 개선하는 데 도움이 되는 몇 가지 일반적인 권장 사항을 적용할 수 있습니다.

추가 리소스

Azure 아키텍처 센터 지침

다음 단계

Azure Firewall instance 배포하여 작동 방식을 확인합니다.