인바운드 및 아웃바운드 인터넷 연결 계획

  • 아티클

이 문서에는 Azure와 공용 인터넷 간의 인바운드 및 아웃바운드 연결에 대한 고려 사항과 권장 사항이 나와 있습니다.

디자인 고려 사항

  • Azure Firewall, Azure Application Gateway의 Azure WAF(Web Application Firewall), Azure Front Door와 같은 Azure 기본 네트워크 보안 서비스는 완전 관리형입니다. 대규모 인프라 구축의 운영 및 관리 비용과 복잡성은 발생하지 않습니다.

  • 조직에서 비 Azure 네트워크 NVA(가상 어플라이언스)를 사용하거나 네이티브 서비스가 특정 요구 사항을 충족하지 않는 경우 Azure 랜딩 존 아키텍처는 파트너 NVA와 완벽하게 호환됩니다.

  • Azure는 VM(가상 머신) 또는 가상 네트워크의 컴퓨팅 인스턴스에 대해 NAT(네트워크 주소 변환) 게이트웨이 또는 부하 분산 장치와 같은 몇 가지 직접 인터넷 아웃바운드 연결 방법을 제공합니다. Azure NAT 게이트웨이 는 운영상 설정이 가장 간단하고 Azure에서 사용할 수 있는 모든 아웃바운드 연결 방법 중에서 가장 확장 가능하고 효율적인 옵션이므로 아웃바운드 연결을 사용하도록 설정하는 기본값으로 권장됩니다. 자세한 내용은 Azure 아웃바운드 연결 방법을 참조하세요.

디자인 권장 사항

  • 인터넷에 대한 직접 아웃바운드 연결을 위해 Azure NAT Gateway를 사용합니다. NAT 게이트웨이는 확장 가능하고 주문형 SNAT를 제공하는 완전 관리형 복원력 높은 NAT 서비스입니다.

    • 다음을 위해 NAT 게이트웨이를 사용합니다.

      • 인터넷에 트래픽을 보내는 동적 또는 대규모 워크로드.
      • 아웃바운드 연결을 위한 고정 및 예측 가능한 공용 IP 주소. NAT 게이트웨이는 최대 16개 공용 IP 주소 또는 /28 공용 IP 접두사와 연결할 수 있습니다.
      • 부하 분산 장치 아웃바운드 규칙, Azure Firewall 또는 Azure App Services에서 일반적으로 발생하는 SNAT 포트 소모 문제에 대한 임시 조치.
      • 네트워크 내 리소스의 보안 및 프라이버시. 아웃바운드 및 반환 트래픽만 NAT 게이트웨이를 통과할 수 있습니다.

  • Azure Firewall을 사용하여 다음을 제어합니다.

    • 인터넷으로의 Azure 아웃바운드 트래픽.
    • 비 HTTP/S 인바운드 연결.
    • 동-서 트래픽 필터링(조직에서 요구하는 경우)

  • 다음과 같은 고급 방화벽 기능에 Azure Firewall Premium을 사용합니다.

    • TLS(전송 계층 보안) 검사
    • IDPS(네트워크 침입 감지 및 방지 시스템)
    • URL 필터링
    • 웹 범주

  • Azure Firewall ManagerAzure Virtual WAN 및 일반 가상 네트워크를 모두 지원합니다. Virtual WAN과 함께 Firewall Manager를 사용하여 Virtual WAN 허브 또는 허브 가상 네트워크에서 Azure Firewall을 배포하고 관리합니다.

  • Azure Firewall 규칙에서 여러 IP 주소 및 범위를 일관되게 사용하는 경우 Azure Firewall에서 IP 그룹을 설정합니다. Azure 지역 및 구독에 걸쳐 여러 방화벽에 대한 Azure Firewall DNAT, 네트워크, 애플리케이션 규칙에서 IP 그룹을 사용할 수 있습니다.

  • 사용자 지정 UDR(사용자 정의 경로)을 사용하여 Azure PaaS(Platform as a Service) 서비스에 대한 아웃바운드 연결을 관리하는 경우 서비스 태그를 주소 접두사로 지정합니다. 서비스 태그는 변경 내용을 포함하도록 기본 IP 주소를 자동으로 업데이트하고 경로 테이블에서 Azure 접두사 관리 오버헤드를 줄입니다.

  • 전역 네트워크 환경에서 보안 태세를 제어하는 전역 Azure Firewall 정책을 만듭니다. 모든 Azure Firewall 인스턴스에 정책을 할당합니다.

  • Azure 역할 기반 액세스 제어를 사용하여 증분 정책을 로컬 보안 팀에 위임하고 세부적인 정책이 특정 지역 요구 사항을 충족하도록 허용합니다.

  • 인터넷에서 인바운드 HTTP/S 트래픽을 보호하기 위해 랜딩 존 가상 네트워크 내에 WAF를 사용합니다.

  • Azure Front Door 및 WAF 정책을 사용하여 랜딩 존에 대한 인바운드 HTTP/S 연결을 위해 Azure 지역 간에 전체 보호를 제공합니다.

  • Azure Front Door 및 Azure Application Gateway를 사용하여 HTTP/S 애플리케이션을 보호하려면 Azure Front Door에서 WAF 정책을 사용합니다. Azure Front Door에서만 트래픽을 수신하도록 Azure Application Gateway를 잠급니다.

  • 인바운드 HTTP/S 연결에 파트너 NVA가 필요한 경우, 랜딩 존 가상 네트워크 내에 배포합니다. 또한 보호하고 인터넷에 노출하는 애플리케이션도 함께 배포합니다.

  • 아웃바운드 액세스의 경우 모든 시나리오에 Azure의 기본 인터넷 아웃바운드 액세스를 사용하지 마세요. 기본 아웃바운드 액세스에서 발생하는 문제는 다음과 같습니다.

    • SNAT 포트 소모 위험이 증가했습니다.
    • 기본적으로 안전하지 않습니다.
    • 기본 액세스 IP를 사용할 수 없습니다. 고객이 소유하지 않으며 변경될 수 있습니다.

  • 온라인 랜딩 존 또는 허브 가상 네트워크에 연결되지 않은 랜딩 존에 NAT 게이트웨이를 사용합니다. 아웃바운드 인터넷 액세스가 필요하고 Azure Firewall 표준이나 프리미엄 또는 타사 NVA의 보안이 필요하지 않은 컴퓨팅 리소스는 온라인 랜딩 존을 사용할 수 있습니다.

  • 조직에서 SaaS(Software-as-a-Service) 보안 공급자를 사용하여 아웃바운드 연결을 보호하려는 경우 Firewall Manager 내에서 지원되는 파트너를 구성합니다.

  • 동서 또는 남북 트래픽 보호 및 필터링에 파트너 NVA를 사용하는 경우:

    • Virtual WAN 네트워크 토폴로지의 경우 NVA를 별도의 NVA 가상 네트워크에 배포합니다. 가상 네트워크를 지역 Virtual WAN 허브 및 NVA에 액세스해야 하는 랜딩 존에 연결합니다. 자세한 내용은 시나리오: NVA를 통해 트래픽 라우팅을 참조하세요.
    • Virtual WAN이 아닌 네트워크 토폴로지의 경우 중앙 허브 가상 네트워크에 파트너 NVA를 배포합니다.

  • VM 관리 포트를 인터넷에 노출하지 마세요. 관리 작업의 경우:

    • Azure Policy를 사용하여 공용 IP로 VM 생성을 방지합니다.
    • Azure Bastion을 사용하여 jumpbox VM에 액세스합니다.

  • Azure DDoS Protection 보호 계획을 사용하여 가상 네트워크 내에서 호스트하는 퍼블릭 엔드포인트를 보호합니다.

  • 온-프레미스 경계 네트워크 개념 및 아키텍처를 Azure로 복제하려고 하지 않습니다. Azure에는 유사한 보안 기능이 있지만 구현 및 아키텍처는 클라우드에 맞게 조정됩니다.