프라이빗 엔드포인트로 향하는 트래픽을 검사하는 Azure Firewall 시나리오

  • 아티클

참고 항목

보안 가상 허브를 사용하여 Azure Virtual WAN의 프라이빗 엔드포인트로 트래픽을 보호하려면 Azure Virtual WAN의 프라이빗 엔드포인트로 향하는 보안 트래픽을 참조하세요.

Azure 프라이빗 엔드포인트는 Azure Private Link의 기본 구성 요소입니다. 프라이빗 엔드포인트를 사용하면 가상 네트워크에 배포된 Azure 리소스가 프라이빗 링크 리소스와 비공개로 통신할 수 있습니다.

프라이빗 엔드포인트를 사용하면 리소스가 가상 네트워크에 배포된 프라이빗 링크 서비스에 액세스할 수 있습니다. 가상 네트워크 피어링 및 온-프레미스 네트워크 연결을 통해 프라이빗 엔드포인트에 액세스하면 연결이 확장됩니다.

클라이언트에서 프라이빗 엔드포인트를 통해 노출된 서비스로 이동하는 트래픽을 검사하거나 차단해야 할 수 있습니다. Azure Firewall 또는 타사 네트워크 가상 어플라이언스를 사용하여 이 검사를 완료합니다.

다음과 같은 제한 사항이 적용됩니다.

  • 기본적으로 가상 네트워크의 서브넷에 대해 네트워크 정책을 사용하지 않도록 설정하여 NSG(네트워크 보안 그룹) 트래픽이 프라이빗 엔드포인트에서 무시됩니다. 사용자 정의 경로 및 네트워크 보안 그룹 지원과 같은 네트워크 정책을 활용하려면 서브넷에 대해 네트워크 정책 지원을 사용하도록 설정해야 합니다. 이 설정은 서브넷 내의 프라이빗 엔드포인트에만 적용됩니다. 이 설정은 서브넷 내의 모든 프라이빗 엔드포인트에 영향을 줍니다. 서브넷의 다른 리소스의 경우 네트워크 보안 그룹의 보안 규칙에 따라 액세스가 제어됩니다.

  • UDR(사용자 정의 경로) 트래픽은 프라이빗 엔드포인트에서 무시됩니다. 사용자 정의 경로를 사용하여 프라이빗 엔드포인트로 향하는 트래픽을 재정의할 수 있습니다.

  • 단일 경로 테이블을 서브넷에 연결할 수 있습니다.

  • 경로 테이블은 최대 400개의 경로를 지원합니다.

Azure Firewall은 다음 중 하나를 사용하여 트래픽을 필터링합니다.

Important

흐름 대칭을 기본 위해 프라이빗 엔드포인트로 향하는 트래픽을 검사할 때 네트워크 규칙을 통해 애플리케이션 규칙을 사용하는 것이 좋습니다. Azure Firewall은 항상 애플리케이션 규칙을 사용하여 트래픽을 SNATS하기 때문에 프라이빗 엔드포인트로 향하는 트래픽을 검사하기 위해 네트워크 규칙보다 애플리케이션 규칙을 사용하는 것이 좋습니다. 네트워크 규칙이 사용되거나 Azure Firewall 대신 NVA가 사용되는 경우 흐름 대칭성을 유지하기 위해 프라이빗 엔드포인트로 향하는 트래픽에 맞게 SNAT를 구성해야 합니다.

참고 항목

SQL FQDN 필터링은 프록시 모드에서만 지원됩니다(포트 1433). 프록시 모드는 리디렉션에 비해 더 많은 대기 시간이 발생할 수 있습니다. Azure 내에서 연결하는 클라이언트의 기본값인 리디렉션 모드를 계속 사용하려면 방화벽 네트워크 규칙에서 FQDN을 사용하여 액세스를 필터링할 수 있습니다.

시나리오 1: 허브 및 스포크 아키텍처 - 프라이빗 엔드포인트용 전용 가상 네트워크

Dedicated Virtual Network for Private Endpoints

이 시나리오는 프라이빗 엔드포인트를 사용하여 여러 Azure 서비스에 비공개로 연결하는 가장 확장 가능한 아키텍처입니다. 프라이빗 엔드포인트가 배포되는 네트워크 주소 공간을 가리키는 경로가 만들어집니다. 이처럼 구성하면 관리 오버헤드가 감소하고 400개의 경로 제한을 초과하는 것을 방지합니다.

클라이언트 가상 네트워크에서 허브 가상 네트워크의 Azure Firewall로 커넥트 가상 네트워크가 피어되는 경우 요금이 발생합니다. 커넥트 허브 가상 네트워크의 Azure Firewall에서 피어된 가상 네트워크의 프라이빗 엔드포인트로의 이션은 요금이 청구되지 않습니다.

피어된 가상 네트워크와의 연결과 관련된 요금에 대한 자세한 내용은 가격 책정 페이지의 FAQ 섹션을 참조하세요.

시나리오 2: 허브 및 스포크 아키텍처 - 프라이빗 엔드포인트 및 가상 머신에 대한 공유 가상 네트워크

Private Endpoints and Virtual Machines in same Virtual Network

이 시나리오는 다음과 같은 경우에 구현됩니다.

  • 프라이빗 엔드포인트에 대한 전용 가상 네트워크를 가질 수 없습니다.

  • 프라이빗 엔드포인트를 사용하여 가상 네트워크에 몇 개의 서비스만 노출되는 경우

가상 머신에는 각 프라이빗 엔드포인트를 가리키는 /32 시스템 경로가 있습니다. 프라이빗 엔드포인트당 하나의 경로는 Azure Firewall을 통해 트래픽을 라우팅하도록 구성됩니다.

서비스가 가상 네트워크에 노출되면 경로 테이블을 기본 관리 오버헤드가 증가합니다. 경로 제한에 도달할 가능성도 증가합니다.

전체 아키텍처에 따라 400개 경로 제한에 해당할 수 있습니다. 가능하면 시나리오 1을 사용하는 것이 좋습니다.

클라이언트 가상 네트워크에서 허브 가상 네트워크의 Azure Firewall로 커넥트 가상 네트워크가 피어되는 경우 요금이 발생합니다. 커넥트 허브 가상 네트워크의 Azure Firewall에서 피어된 가상 네트워크의 프라이빗 엔드포인트로의 이션은 요금이 청구되지 않습니다.

피어된 가상 네트워크와의 연결과 관련된 요금에 대한 자세한 내용은 가격 책정 페이지의 FAQ 섹션을 참조하세요.

시나리오 3: 단일 가상 네트워크

Single virtual network

허브 및 스포크 아키텍처로 마이그레이션할 수 없는 경우 이 패턴을 사용합니다. 시나리오 2와 동일한 고려 사항이 적용됩니다. 이 시나리오에서는 가상 네트워크 피어링 요금이 적용되지 않습니다.

시나리오 4: 프라이빗 엔드포인트에 대한 온-프레미스 트래픽

On-premises traffic to private endpoints

다음 중 하나를 사용하여 온-프레미스 네트워크와의 연결을 구성한 경우 이 아키텍처를 구현할 수 있습니다.

프라이빗 엔드포인트를 통해 노출된 서비스로 향하는 클라이언트 트래픽은 보안 어플라이언스를 통해 라우팅해야 하는 것이 보안 요구 사항인 경우, 이 시나리오를 배포합니다.

위의 시나리오 2와 동일한 고려 사항이 적용됩니다. 이 시나리오에서는 가상 네트워크 피어링 요금이 발생하지 않습니다. 온-프레미스 워크로드가 프라이빗 엔드포인트에 액세스할 수 있도록 DNS 서버를 구성하는 방법에 대한 자세한 내용은 DNS 전달자를 사용하여 온-프레미스 워크로드를 참조하세요.

다음 단계

이 문서에서는 Azure Firewall을 사용하여 가상 머신과 프라이빗 엔드포인트 간의 트래픽을 제한하는 데 사용할 수 있는 다양한 시나리오를 살펴보했습니다.

프라이빗 엔드포인트 로 향하는 트래픽을 검사하도록 Azure Firewall을 구성하는 방법에 대한 자습서는 자습서: Azure Firewall을 사용하여 프라이빗 엔드포인트 트래픽 검사

프라이빗 엔드포인트에 대해 자세히 알아보려면 Azure 프라이빗 엔드포인트란?을 참조하세요.