Azure Firewall Manager란?
Azure Firewall Manager는 클라우드 기반 보안 경계에 대한 중앙 보안 정책 및 경로 관리를 제공하는 보안 관리 서비스입니다.
Firewall Manager는 다음 두 가지 네트워크 아키텍처 유형에 대한 보안 관리를 제공할 수 있습니다.
보안 가상 허브
Azure Virtual WAN 허브는 허브 및 스포크 아키텍처를 쉽게 만들 수 있게 해주는 Microsoft 관리되는 리소스입니다. 보안 및 라우팅 정책이 이러한 허브와 연결된 경우에는 보안 가상 허브라고도 합니다.
허브 가상 네트워크
이는 사용자가 직접 만들고 관리하는 표준 Azure 가상 네트워크입니다. 이러한 허브와 연결된 보안 정책을 허브 가상 네트워크라고 합니다. 지금은 Azure Firewall Policy만 지원됩니다. 워크로드 서버 및 서비스가 포함된 스포크 가상 네트워크를 피어링할 수 있습니다. 어떤 스포크에도 피어링되지 않는 독립 실행형 가상 네트워크에서 방화벽을 관리할 수도 있습니다.
보안 가상 허브 및 허브 가상 네트워크 아키텍처에 대한 자세한 비교는 Azure Firewall Manager 아키텍처 옵션이란?을 참조하세요.
Azure Firewall Manager 기능
Azure Firewall Manager는 다음과 같은 기능을 제공합니다.
중앙 Azure Firewall 배포 및 구성
여러 다른 Azure 지역 및 구독에 걸쳐 있는 여러 Azure Firewall 인스턴스를 중앙에서 배포하고 구성할 수 있습니다.
계층 구조 정책(전역 및 로컬)
Azure Firewall Manager를 사용하여 여러 보안 가상 허브에서 Azure Firewall 정책을 중앙에서 관리할 수 있습니다. 중앙의 IT 팀은 글로벌 방화벽 정책을 작성하여 팀 간에 조직 전체 방화벽 정책을 적용할 수 있습니다. 로컬로 작성된 방화벽 정책을 사용하면 DevOps 셀프 서비스 모델을 사용하여 민첩성을 강화할 수 있습니다.
고급 보안을 위해 파트너 보안 서비스로 통합
Azure Firewall 외에도 SECaaS(파트너 보안 서비스) 공급자를 통합하여 가상 네트워크 및 분기 인터넷 연결에 대한 더 많은 네트워크 보호를 제공할 수 있습니다.
이 기능은 보안 가상 허브 배포에만 사용할 수 있습니다.
V2I(가상 네트워크-인터넷) 트래픽 필터링
- 선호하는 파트너 보안 공급자를 사용하여 아웃바운드 가상 네트워크 트래픽을 필터링합니다.
- Azure에서 실행되는 클라우드 워크로드에 고급 사용자 인식 인터넷 보호를 사용합니다.
B2I(분기와 인터넷 간) 트래픽 필터링
Azure 연결 및 글로벌 배포를 사용하여 분기에 대한 파트너 필터링을 인터넷 시나리오에 쉽게 추가합니다.
보안 파트너 공급자에 대한 자세한 내용은 Azure Firewall Manager 보안 파트너 공급자란?을 참조하세요.
중앙 집중식 경로 관리
스포크 가상 네트워크에서 UDR(사용자 정의 경로)을 수동으로 설정하지 않고도 필터링 및 로깅을 위해 보안 허브로 트래픽을 쉽게 라우팅할 수 있습니다.
이 기능은 보안 가상 허브 배포에만 사용할 수 있습니다.
B2I(분기-인터넷) 트래픽 필터링을 위해 파트너 공급자를 B2V(분기-가상 네트워크), V2V(가상 네트워크 간) 및 V2I(가상 네트워크-인터넷)에 대한 Azure Firewall과 나란히 사용할 수 있습니다.
DDoS 보호 계획
Azure Firewall Manager 내에서 가상 네트워크를 DDoS 보호 계획과 연결할 수 있습니다. 자세한 내용은 Azure Firewall Manager를 사용하여 Azure DDoS Protection 계획 구성을 참조하세요.
Web Application Firewall 정책 관리
Azure Front Door 및 Azure Application Gateway를 포함하여 애플리케이션 제공 플랫폼에 대한 WAF(Web Application Firewall) 정책을 중앙에서 만들고 연결할 수 있습니다. 자세한 내용은 Web Application Firewall 정책 관리를 참조하세요.
사용 가능 지역
Azure Firewall 정책은 여러 지역에 걸쳐 사용할 수 있습니다. 예를 들어, 미국 서부에서 만든 정책을 미국 동부에서 사용할 수 있습니다.
알려진 문제
Azure Firewall Manager에는 다음과 같이 알려진 문제가 있습니다.
| 문제 | 설명 | 완화 |
|---|---|---|
| 트래픽 분할 | Microsoft 365 및 Azure Public PaaS 트래픽 분할은 현재 지원되지 않습니다. 따라서 V2I 또는 B2I에 대한 파트너 공급자를 선택하면 파트너 서비스를 통해 모든 Azure 공용 PaaS 및 Microsoft 365 트래픽도 전송됩니다. | 허브에서 트래픽 분할을 조사 중입니다. |
| 기본 정책은 로컬 정책과 동일한 지역에 있어야 합니다. | 기본 정책과 동일한 지역에 모든 로컬 정책을 만듭니다. 보안 허브의 한 지역에 생성된 정책을 다른 지역에서 계속 적용할 수 있습니다. | 조사하는 중 |
| 보안 가상 허브 배포에서 허브 간 트래픽 필터링 | 보안 가상 허브에서 보안 가상 허브로의 통신 필터링은 라우팅 의도 기능에서 지원됩니다. | 허브 간을 Azure Firewall Manager에서 사용으로 설정하여 Virtual WAN Hub에서 라우팅 의도를 사용하도록 설정합니다. 이 기능에 대한 자세한 내용은 라우팅 의도 설명서를 참조하세요. |
| 프라이빗 트래픽 필터링이 활성화된 분기 간 트래픽 | 라우팅 의도가 사용되는 경우 보안 허브 시나리오에서 Azure Firewall 분기 간 트래픽을 검사할 수 있습니다. | 허브 간을 Azure Firewall Manager에서 사용으로 설정하여 Virtual WAN Hub에서 라우팅 의도를 사용하도록 설정합니다. 이 기능에 대한 자세한 내용은 라우팅 의도 설명서를 참조하세요. |
| 동일한 가상 WAN을 공유하는 모든 보안 Virtual Hubs는 동일한 리소스 그룹에 있어야 합니다. | 이 동작은 현재 Virtual WAN Hubs에 맞춰 조정됩니다. | 여러 Virtual WAN을 만들어 다른 리소스 그룹에서 보안 Virtual Hubs를 만들 수 있도록 합니다. |
| 대량 IP 주소 추가 실패 | 여러 공용 IP 주소를 추가하면 보안 허브 방화벽이 실패한 상태가 됩니다. | 더 작은 공용 IP 주소 증분을 추가합니다. 예를 들어 한 번에 10개를 추가합니다. |
| DDoS Protection은 보안 가상 허브에서 지원되지 않습니다. | DDoS Protection은 vWAN과 통합되지 않습니다. | 조사하는 중 |
| 활동 로그가 완전히 지원되지 않습니다. | 방화벽 정책은 현재 활동 로그를 지원하지 않습니다. | 조사하는 중 |
| 완전히 지원되지 않는 규칙에 대한 설명 | 방화벽 정책에는 ARM 내보내기의 규칙에 대한 설명이 표시되지 않습니다. | 조사하는 중 |
| Azure Firewall Manager 가상 WAN 허브에서 가동 중지 시간을 발생시키는 정적 및 사용자 지정 경로를 덮어씁니다. | Azure Firewall Manager를 사용하여 사용자 지정 또는 정적 경로로 구성된 배포에서 설정을 관리해서는 안 됩니다. Firewall Manager에서 업데이트하면 정적 또는 사용자 지정 경로 설정을 덮어쓸 수 있습니다. | 정적 또는 사용자 지정 경로를 사용하는 경우 Virtual WAN 페이지를 사용하여 보안 설정을 관리하고 Azure Firewall Manager를 통한 구성을 방지합니다. 자세한 내용은 시나리오: Azure Firewall - 사용자 지정을 참조하세요. |