Azure 네트워크 보안 모범 사례

이 문서에서는 네트워크 보안을 향상시키기 위한 Azure 모범 사례 컬렉션을 설명합니다. 이러한 모범 사례는 Azure 네트워킹에 대한 Microsoft의 경험 그리고 여러분 같은 고객의 경험에서 얻은 것입니다.

각 모범 사례에 대해 문서에 설명된 사항:

  • 각 모범 사례
  • 해당 모범 사례를 사용해야 하는 이유
  • 해당 모범 사례를 사용하지 않을 경우에 발생할 수 있는 결과
  • 해당 모범 사례를 대체할 수 있는 대안
  • 해당 모범 사례를 사용하는 방법을 알아보는 방법

이 모범 사례는 이 문서가 작성될 당시의 합의된 의견과 Azure 플랫폼 기능 및 특징 세트를 기반으로 합니다. 이 문서는 시간이 지남에 따라 변화하는 의견 및 기술을 반영하도록 주기적으로 업데이트 됩니다.

강력한 네트워크 제어 사용

Azure VM(가상 머신) 및 어플라이언스를 Azure 가상 네트워크에 배치하여 네트워크에 연결된 기타 디바이스에 연결할 수 있습니다. 즉, 가상 네트워크 인터페이스 카드를 가상 네트워크에 연결하여 네트워크 지원 디바이스 간에 TCP/IP 통신을 허용할 수 있습니다. Azure 가상 네트워크에 연결된 가상 머신은 동일한 가상 네트워크, 다른 가상 네트워크, 인터넷 또는 사용자 고유의 온-프레미스 네트워크에 있는 디바이스에 연결할 수 있습니다.

네트워크 및 네트워크 보안을 계획할 때 다음을 중앙 집중화하는 것이 좋습니다.

  • ExpressRoute, 가상 네트워크 및 서브넷 프로비저닝, IP 주소 지정 같은 핵심 네트워크 기능 관리.
  • ExpressRoute, 가상 네트워크 및 서브넷 프로비저닝, IP 주소 지정 등 네트워크 가상 어플라이언스 기능과 같은 네트워크 보안 요소의 거버넌스.

일반 관리 도구 세트를 사용하여 네트워크 및 네트워크 보안을 모니터링하는 경우 두 항목을 모두 분명히 파악할 수 있습니다. 간단한 통합 보안 전략을 통해 자동화에 관한 사용자의 이해와 안정성이 개선되므로 오류가 감소합니다.

서브넷을 논리적으로 분할

Azure 가상 네트워크는 온-프레미스 네트워크의 LAN과 비슷합니다. 모든 Azure 가상 머신을 배치할 수 있는 단일 프라이빗 IP 주소 공간 기반 네트워크를 만드는 것이 Azure 가상 네트워크의 기본 개념입니다. 사용 가능한 개인 IP 주소 공간은 클래스 A(10.0.0.0/8), 클래스 B(172.16.0.0/12) 및 클래스 C(192.168.0.0/16) 범위에 있습니다.

논리적으로 분할한 서브넷의 모범 사례는 다음과 같습니다.

모범 사례: 범위가 넓은 허용 규칙을 할당하지 마세요(예: 0.0.0.0~255.255.255.255 허용).
세부 정보: 문제 해결 절차에서는 이 유형의 규칙 설정을 권장하지 않거나 금지합니다. 이 허용 규칙은 보안 상태를 잘못 인식하게 하며 레드 팀에서 자주 발견하고 악용합니다.

모범 사례: 큰 주소 공간을 서브넷으로 분할합니다.
세부 정보: CIDR 기반 서브넷 지정 원칙을 사용하여 서브넷을 만듭니다.

모범 사례: 서브넷 간에 네트워크 액세스 제어를 만듭니다. 서브넷 간 라우팅은 자동으로 발생하므로 라우팅 테이블을 수동으로 구성할 필요가 없습니다. 기본적으로 Azure 가상 네트워크에서 만드는 서브넷 간에는 네트워크 액세스 제어가 없습니다.
세부 정보: 네트워크 보안 그룹을 사용하여 Azure 서브넷에 대한 무단 트래픽을 방지합니다. 네트워크 보안 그룹은 간단한 상태 저장 패킷 검사 디바이스로 5개 튜플 접근 방식(원본 IP, 원본 포트, 대상 IP, 대상 포트 및 계층 4 프로토콜)을 사용하여 네트워크 트래픽에 대한 허용/거부 규칙을 만듭니다. 단일 IP 주소 간의 트래픽, 여러 IP 주소 간의 트래픽 또는 전체 서브넷 간의 트래픽을 허용하거나 거부할 수 있습니다.

서브넷 간 네트워크 액세스 제어에 네트워크 보안 그룹을 사용하면 고유한 서브넷의 동일한 보안 영역 또는 역할에 속한 리소스를 배치할 수 있습니다.

모범 사례: 단순성과 유연성을 보장하려면 작은 가상 네트워크 및 서브넷을 피하세요.
세부 정보: 대부분 조직에서는 처음에 계획된 것 보다 많은 리소스를 추가하며 주소를 다시 할당하려면 많은 작업이 필요합니다. 작은 서브넷을 사용하면 제한된 보안 값이 추가되며 네트워크 보안 그룹을 각 서브넷에 매핑하면 오버헤드가 증가합니다. 유연하게 성장할 수 있도록 서브넷을 광범위하게 정의합니다.

모범 사례: 애플리케이션 보안 그룹을 정의하여 네트워크 보안 그룹 규칙 관리를 간소화합니다.
세부 정보: 나중에 변경되거나 많은 네트워크 보안 그룹에서 사용될 것으로 생각되는 IP 주소 목록의 애플리케이션 보안 그룹을 정의합니다. 다른 사용자가 콘텐츠와 목적을 이해할 수 있도록 애플리케이션 보안 그룹의 이름을 명확하게 지정해야 합니다.

제로 트러스트 접근 방식 채택

경계 기반 네트워크는 네트워크 내에 있는 모든 시스템을 신뢰할 수 있다고 가정하고 작동합니다. 하지만 오늘날 직원들은 어디서나 다양한 디바이스 및 앱으로 조직 리소스에 액세스하므로 경계 보안 제어가 상관 없게 됩니다. 리소스에 액세스할 수 있는 사용자에만 초점을 맞춘 액세스 제어 정책은 충분하지 않습니다. 보안과 생산성 간에 균형을 이루기 위해 보안 관리자는 리소스에 액세스하는 ‘방법’을 고려해야 합니다.

네트워크는 보안 위험에 취약할 수 있으므로 기존 방어에서 발전해야 합니다. 공격자는 신뢰할 수 있는 경계 내에서 단일 엔드포인트를 손상시킨 다음, 빠르게 전체 네트워크에서 발판을 확장할 수 있습니다. 제로 트러스트 네트워크는 경계 내에 있는 네트워크 위치를 기준으로 신뢰 개념을 제거합니다. 대신, 제로 트러스트 아키텍처는 디바이스 및 사용자 신뢰 클레임을 사용하여 조직 데이터 및 리소스에 대한 액세스를 제어합니다. 새 이니셔티브의 경우 액세스 시 신뢰의 유효성을 검사하는 제로 트러스트 접근 방식을 채택합니다.

모범 사례는 다음과 같습니다.

모범 사례: 디바이스, ID, 보증, 네트워크 위치 등을 기준으로 리소스에 대한 조건부 액세스를 제공합니다.
세부 정보: Azure AD 조건부 액세스를 사용하면 필요한 조건에 따라 자동화된 액세스 제어 결정을 구현하여 올바른 액세스 제어를 적용할 수 있습니다. 자세한 내용은 조건부 액세스를 사용하여 Azure 관리에 대한 액세스 관리를 참조하세요.

모범 사례: 워크플로 승인 후에만 포트 액세스를 사용합니다.
세부 정보: 클라우드용 Microsoft Defender의 Just-In-Time VM 액세스를 사용하여 Azure VM에 대한 인바운드 트래픽을 잠그고 공격에 대한 노출을 줄이면서 필요할 때 VM에 연결할 수 있는 쉬운 액세스를 제공할 수 있습니다.

모범 사례: 권한 있는 작업을 수행할 임시 권한을 부여하여 악의적 또는 권한이 없는 사용자가 권한이 만료된 후 액세스 권한을 획득하는 것을 방지합니다. 액세스 권한은 사용자에게 필요한 경우에만 부여됩니다.
세부 정보: Azure AD Privileged Identity Management 또는 타사 솔루션에서 Just-In-Time 액세스를 사용하여 권한 있는 작업을 수행할 권한을 부여합니다.

제로 트러스트는 네트워크 보안의 새로운 발전입니다. 사이버 공격 상태가 발생하면 조직은 “보안 위험 가정” 태도를 가지게 되지만, 이 접근 방식은 제한이 없어야 합니다. 제로 트러스트 네트워크는 회사 데이터 및 리소스를 보호하는 동시에 조직에서 언제 어디서나 모든 방법으로 생산성을 높이도록 직원의 역량을 강화하는 기술을 통해 최신 작업 공간을 빌드할 수 있도록 보장합니다.

라우팅 동작 제어

Azure 가상 네트워크에 가상 머신을 배치하면 다른 VM이 다른 서브넷에 있더라도 해당 VM은 동일한 가상 네트워크에 있는 다른 모든 가상 머신에 연결될 수 있습니다. 이 작업은 기본적으로 활성화된 시스템 경로 컬렉션이 이러한 통신 유형을 허용하므로 가능합니다. 이러한 기본 경로는 동일한 가상 네트워크에 있는 VM이 서로 그리고 인터넷(인터넷으로 나가는 아웃바운드 통신만)과의 연결을 시작하도록 허용합니다.

기본 시스템 경로가 여러 배포 시나리오에 유용하다고 해도 배포의 라우팅 구성을 사용자 지정하려는 경우가 많습니다. 특정 대상에 연결하도록 다음 홉 주소를 구성할 수 있습니다.

가상 네트워크 보안 어플라이언스를 배포할 경우는 사용자 정의 경로를 구성하는 것이 좋습니다. 이에 대해서는 나중에 가상 네트워크에 대해서만 중요한 Azure 서비스 리소스 보호라는 제목의 섹션에 설명되어 있습니다.

참고

사용자 정의 경로가 필요 없고 일반적으로 기본 시스템 경로로 충분합니다.

가상 네트워크 어플라이언스 사용

네트워크 보안 그룹 및 사용자 정의 라우팅은 OSI 모델의 네트워크 및 전송 계층에서 어느 정도의 네트워크 보안을 제공할 수 있습니다. 하지만 일부 상황에서는 높은 수준의 스택에서 보안을 사용하도록 설정해야 합니다. 이러한 상황에서는 Azure 파트너가 제공하는 가상 네트워크 보안 어플라이언스를 배포하는 것이 좋습니다.

Azure 네트워크 보안 어플라이언스는 네트워크 수준 제어에서 제공하는 것보다 강화된 보안을 제공할 수 있습니다. 가상 네트워크 보안 어플라이언스의 네트워크 보안 기능은 다음과 같습니다.

  • 방화벽
  • 침입 감지/침입 방지
  • 취약점 관리
  • 애플리케이션 제어
  • 네트워크 기반 이상 감지
  • 웹 필터링
  • 바이러스 백신
  • 봇 넷 보호

사용할 수 있는 Azure 가상 네트워크 보안 어플라이언스를 찾으려면 Azure Marketplace로 이동하여 “보안” 및 “네트워크 보안”을 검색하세요.

보안 영역에 대한 경계 네트워크 배포

경계 네트워크(DMZ이라고도 함)는 물리적 또는 논리적 네트워크 세그먼트로서 자산과 인터넷 사이에 추가 보안 계층을 제공합니다. 경계 네트워크의 가장자리에 있는 특수화된 네트워크 액세스 제어 디바이스는 가상 네트워크로 원하는 트래픽만 전송되도록 합니다.

경계 네트워크를 사용하면 Azure 가상 네트워크 가장 자리에 있는 디바이스에 대한 네트워크 액세스 제어 관리, 모니터링, 로깅 및 보고에 집중할 수 있으므로 아주 유용합니다. 경계 네트워크에서는 일반적으로 DDoS(분산 서비스 거부) 방지, 침입 감지/침입 방지 시스템(IDS/IPS), 방화벽 규칙 및 정책, 웹 필터링, 네트워크 맬웨어 방지 프로그램 등을 활성화합니다. 네트워크 보안 디바이스는 인터넷과 Azure 가상 네트워크 사이에 위치하며 두 네트워크의 인터페이스를 갖추고 있습니다.

이것이 경계 네트워크의 기본 설계이지만 백투백, 트라이홈, 멀티홈 등 다양한 설계가 있습니다.

앞에서 언급한 제로 트러스트 개념을 기반으로, 모든 고급 보안 배포에 경계 네트워크를 사용하여 Azure 리소스의 네트워크 보안 및 액세스 제어 수준 향상을 고려하는 것이 좋습니다. Azure 또는 타사 솔루션을 사용하여 자산과 인터넷 간에 추가적인 보안 계층을 제공할 수 있습니다.

  • Azure 네이티브 컨트롤. Azure FirewallApplication Gateway의 웹 애플리케이션 방화벽은 완전한 상태 저장 방화벽을 서비스로 사용하는 기본적인 보안, 기본 제공 고가용성, 제한 없는 클라우드 확장성, FQDN 필터링, OWASP 핵심 규칙 집합 지원 및 간단한 설정과 구성을 제공합니다.
  • 타사 제품. Azure Marketplace에서 친숙한 보안 도구와 상당히 향상된 네트워크 보안 수준을 제공하는 NGFW(차세대 방화벽) 및 기타 타사 제품을 검색합니다. 구성은 더 복잡할 수 있지만 타사 제품을 사용하면 기존 기능 및 기술 세트를 사용할 수 있습니다.

여러 조직에서 하이브리드 IT 경로를 선택했습니다. 하이브리드 IT에서 회사의 정보 자산 중 일부는 Azure에 있고 나머지는 온-프레미스에서 유지됩니다. 대부분의 경우 서비스의 구성 요소 중 일부는 Azure에서 실행되고 나머지 구성 요소는 온-프레미스에서 실행됩니다.

하이브리드 IT 시나리오에는 일반적으로 몇 가지 유형의 프레미스 간 연결이 있습니다. 크로스-프레미스 연결을 사용하면 회사가 온-프레미스 네트워크를 Azure 가상 네트워크에 연결할 수 있습니다. 다음과 같은 두 가지 크로스-프레미스 연결 솔루션이 제공됩니다.

  • 사이트 간 VPN. 신뢰할 수 있고 안정적이며 인정된 기술이지만 연결이 인터넷을 통해 이루어집니다. 대역폭이 최대 약 1.25Gbps로 제한됩니다. 일부 시나리오에서는 사이트 간 VPN이 권장되는 옵션입니다.
  • Azure ExpressRoute. 크로스-프레미스 연결에 대해ExpressRoute를 사용하는 것이 좋습니다. ExpressRoute를 사용하면 연결 공급자가 지원하는 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있습니다. ExpressRoute를 사용하면 Azure, Microsoft 365 및 Dynamics 365와 같은 Microsoft 클라우드 서비스에 대한 연결을 설정할 수 있습니다. ExpressRoute는 온-프레미스 위치 또는 Microsoft Exchange 호스팅 공급자 간에 설정된 전용 WAN 링크입니다. 이 연결은 telco 연결이기 때문에 데이터가 인터넷을 통해 전달되지 않으므로 인터넷 통신의 잠재적 위험에 노출되지 않습니다.

ExpressRoute 연결 위치는 방화벽 기능, 확장성, 안정성 및 네트워크 트래픽 가시성에 영향을 줄 수 있습니다. 기존(온-프레미스) 네트워크에서 ExpressRoute를 종료하는 위치를 식별해야 합니다. 다음을 수행할 수 있습니다.

  • 트래픽에 대한 가시성이 필요하거나, 데이터 센터를 격리하는 기존 사례를 계속해야 하거나, 단독으로 Azure에 엑스트라넷 리소스를 배치하는 경우에는 방화벽 외부에서 종료합니다(경계 네트워크 패러다임).
  • 방화벽 내부에서 종료합니다(네트워크 확장 패러다임). 이는 기본 권장 사항입니다. 다른 모든 경우에는 Azure를 n번째 데이터 센터로 취급하는 것이 좋습니다.

가동 시간 및 성능 최적화

서비스가 다운되면 정보에 액세스할 수 없습니다. 성능이 매우 좋지 않아 데이터를 사용할 수 없는 경우 해당 데이터를 액세스할 수 없는 것으로 간주할 수 있습니다. 보안의 관점에서 서비스의 가동 시간 및 성능을 최적화하기 위해 할 수 있는 모든 조치를 다해야 합니다.

가용성 및 성능을 향상하기 위해 널리 사용되는 효과적인 방법은 부하 분산입니다. 부하 분산은 서비스에 포함된 서버 간에 네트워크 트래픽을 분산하는 방법입니다. 예를 들어 프런트 엔드 웹 서버가 서비스에 포함되어 있으면 부하 분산을 사용하여 여러 프런트 엔드 웹 서버 간에 트래픽을 분산할 수 있습니다.

이렇게 트래픽을 분산하면 가용성이 향상됩니다. 웹 서버 중 하나를 사용할 수 없게 되면 부하 분산 장치가 해당 서버로 더 이상 트래픽을 보내지 않고 아직 온라인 상태인 서버로 리디렉션하기 때문입니다. 부하 분산은 성능 향상에도 도움이 됩니다. 요청을 처리하기 위한 프로세서, 네트워크 및 메모리 오버헤드가 모든 부하 분산 서버로 분산되기 때문입니다.

서비스에 적합하다면 되도록이면 부하 분산을 사용하는 것이 좋습니다. 다음은 각 수준에 대한 부하 분산 옵션과 함께 Azure 가상 네트워크 수준 및 글로벌 수준에서의 시나리오입니다.

시나리오: 다음과 같은 애플리케이션이 있습니다.

  • 동일한 사용자/클라이언트 세션의 요청이 동일한 백 엔드 가상 머신에 도달해야 합니다. 이 응용 프로그램의 예로는 쇼핑 카트 앱 및 웹 메일 서버입니다.
  • 보안 연결만 허용하므로 서버에 암호화되지 않은 통신은 허용할 수 있는 옵션이 아닙니다.
  • 다른 백 엔드 서버로 라우팅 또는 부하 분산되도록 동일한 장기 실행 TCP 연결에서 여러 HTTP 요청이 필요합니다.

부하 분산 옵션: HTTP 웹 트래픽 부하 분산 장치인 Azure Application Gateway를 사용합니다. Application Gateway에서 엔드투엔드 TLS 암호화 및 게이트웨이에서 TLS 종료를 지원합니다. 그러면, 웹 서버는 암호화 및 암호 해독 오버헤드 및 백 엔드 서버에 암호화되지 않은 트래픽 전송으로 인한 부담을 줄일 수 있습니다.

시나리오: Azure 가상 네트워크에 있는 여러 서버 간에 인터넷에서 들어오는 연결을 부하 분산해야 합니다. 시나리오는 다음과 같은 경우입니다.

  • 상태 비저장 애플리케이션이 인터넷에서 들어오는 요청을 허용하는 경우.
  • 고정 세션 또는 TLS 오프로드가 필요하지 않은 경우. 고정 세션이 서버 선호도를 달성하기 위해 애플리케이션 부하 분산을 사용하는 메서드인 경우.

부하 분산 옵션: Azure Portal을 사용하여 들어오는 요청을 높은 수준의 가용성을 제공하는 여러 VM에 분산하는 외부 부하 분산 장치를 만듭니다.

시나리오: 인터넷에 있지 않은 VM에서 연결을 부하 분산해야 합니다. 대부분의 경우 부하 분산이 허용되는 연결은 SQL Server 인스턴스 또는 인터넷 웹 서버와 같은 Azure 가상 네트워크의 디바이스에서 시작됩니다.
부하 분산 옵션: Azure Portal을 사용하여 들어오는 요청을 높은 수준의 가용성을 제공하는 여러 VM에 분산하는 내부 부하 분산 장치를 만듭니다.

시나리오: 다음과 같은 이유로 글로벌로 부하 분산해야 합니다.

  • 여러 지역에 넓게 분산돼 있으며, 가능한 가장 높은 수준의 가동 시간(가용성)이 필요한 클라우드 솔루션이 있기 때문입니다.
  • 전체 데이터 센터를 사용할 수 없게 되는 경우라도 서비스를 사용할 수 있도록 보장하기 위해 가능한 가장 높은 수준의 가동 시간이 필요하기 때문입니다.

부하 분산 옵션: Azure Traffic Manager를 사용합니다. Traffic Manager는 사용자의 위치에 따라 서비스에 대한 연결의 부하를 분산할 수 있습니다.

예를 들어 사용자가 EU에서 서비스 요청을 하는 경우 연결은 EU 데이터 센터에 있는 서비스로 전송됩니다. Traffic Manager 전역 부하 분산의 이러한 특징은 성능 개선에 도움이 됩니다. 가장 가까운 데이터 센터에 연결하는 것이 멀리 떨어진 데이터 센터에 연결하는 것보다 빠르기 때문입니다.

가상 머신에 대한 RDP/SSH 액세스 비활성화

RDP(원격 데스크톱 프로토콜)SSH(Secure Shell) 프로토콜을 사용하여 Azure 가상 머신에 연결할 수 있습니다. 이러한 프로토콜은 데이터 센터 컴퓨팅의 표준이며 원격 위치에서 VM 관리를 활성화합니다.

인터넷을 통해 이러한 프로토콜을 사용할 때 발생할 수 있는 보안 문제로, 공격자가 무차별 암호 대입(Brute Force) 기술을 사용하여 Azure 가상 머신에 대한 액세스 권한을 얻을 수 있습니다. 공격자가 액세스 권한을 얻은 후 사용자의 VM을 시작 지점으로 사용하여 가상 네트워크의 다른 머신을 손상시키거나 심지어 Azure 외부의 네트워크로 연결된 디바이스를 공격할 수 있습니다.

인터넷에서 Azure 가상 머신으로의 RDP 및 SSH 직접 액세스를 비활성화하는 것이 좋습니다. 인터넷에서의 RDP 및 SSH 직접 액세스를 비활성화하면 이러한 VM에 액세스하여 원격 관리에 사용할 수 있는 다른 옵션이 제공됩니다.

시나리오: 단일 사용자가 인터넷을 통해 Azure 가상 네트워크에 연결할 수 있도록 합니다.
옵션: 지점 및 사이트 간 VPN은 원격 액세스 VPN 클라이언트/서버 연결의 또 다른 용어입니다. 지점 및 사이트 간 연결이 설정되면 사용자는 지점 및 사이트 간 VPN을 통해 연결한 Azure 가상 네트워크의 모든 VM에 연결하기 위해 RDP 또는 SSH를 사용할 수 있습니다. 이는 사용자가 해당 VM에 연결할 권한이 있다는 전제 하에 성립합니다.

지점 및 사이트 간 VPN은 사용자가 VM에 연결하려면 두 번 인증해야 하므로 직접 RDP 또는 SSH 연결보다 안전합니다. 먼저 사용자는 지점 및 사이트 간 VPN 연결을 설정하려면 인증(및 권한 부여)가 필요합니다. 다음으로, 사용자는 RDP 또는 SSH 세션을 설정하려면 인증(및 권한 부여)가 필요합니다.

시나리오: 온-프레미스 네트워크의 사용자가 Azure 가상 네트워크에서 VM에 연결될 수 있도록 합니다.
옵션: 사이트 간 VPN은 인터넷을 통해 전체 네트워크를 또 다른 네트워크에 연결합니다. 사이트 간 VPN을 사용하여 온-프레미스 네트워크를 Azure 가상 네트워크에 연결할 수 있습니다. 온-프레미스 네트워크의 사용자는 사이트 간 VPN 연결을 통해 RDP 또는 SSH 프로토콜을 사용하여 연결합니다. 인터넷을 통한 RDP 또는 SSH 직접 액세스는 허용하지 않아야 합니다.

시나리오: 전용 WAN 링크를 사용하여 사이트 간 VPN과 비슷한 기능을 제공합니다.
옵션: ExpressRoute를 사용합니다. ExpressRoute는 사이트 간 VPN과 비슷한 기능을 제공합니다. 주요 차이점은 다음과 같습니다.

  • 전용 WAN 링크가 인터넷을 트래버스하지 않습니다.
  • 전용 WAN 링크가 일반적으로 더 안정적이고 성능이 뛰어납니다.

가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호합니다.

Azure Private Link를 사용하여 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS 서비스(예: Azure Storage 및 SQL Database)에 액세스합니다. 프라이빗 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다. 가상 네트워크에서 Azure 서비스로의 트래픽은 항상 Microsoft Azure 백본 네트워크에 유지됩니다. Azure PaaS 서비스를 사용하기 위해 더 이상 가상 네트워크를 공용 인터넷에 노출할 필요가 없습니다.

Azure Private Link는 다음과 같은 이점을 제공합니다.

  • Azure 서비스 리소스에 대한 개선된 보안: Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 Azure 서비스 리소스를 가상 네트워크에 보호할 수 있습니다. 가상 네트워크의 프라이빗 엔드포인트에 서비스 리소스를 보호하면 리소스에 대한 공용 인터넷 액세스를 완전히 제거하고 가상 네트워크의 프라이빗 엔드포인트에서 오는 트래픽만 허용하여 개선된 보안을 제공합니다.
  • Azure 플랫폼의 Azure 서비스 리소스에 프라이빗하게 액세스: 프라이빗 엔드포인트를 사용하여 Azure의 서비스에 가상 네트워크를 연결합니다. 공용 IP 주소가 필요하지 않습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다.
  • 온-프레미스 및 피어링된 네트워크에서 액세스: 프라이빗 엔드포인트를 사용하여 ExpressRoute 개인 피어링, VPN 터널 및 피어링된 가상 네트워크를 통해 온-프레미스에서 Azure에서 실행되는 서비스에 액세스합니다. 서비스에 연결하기 위해 ExpressRoute Microsoft 피어링을 구성하거나 인터넷을 트래버스할 필요가 없습니다. Private Link는 워크로드를 Azure로 안전하게 마이그레이션하는 방법을 제공합니다.
  • 데이터 유출 방지: 프라이빗 엔드포인트는 전체 서비스가 아닌 PaaS 리소스 인스턴스에 매핑됩니다. 소비자는 특정 리소스에만 연결할 수 있습니다. 서비스의 다른 리소스에 대한 액세스는 차단됩니다. 이 메커니즘은 데이터 유출 위험을 방지합니다.
  • 글로벌 환경: 다른 Azure 지역에서 실행되는 서비스에 비공개로 연결할 수 있습니다. 소비자의 가상 네트워크는 지역 A에 있을 수 있으며 지역 B의 서비스에 연결할 수 있습니다.
  • 간단한 설정 및 관리: IP 방화벽을 통해 Azure 리소스를 보호하기 위해 가상 네트워크에 더 이상 예약된 공용 IP 주소가 필요하지 않습니다. 프라이빗 엔드포인트를 설정하는 데 필요한 NAT 또는 게이트웨이 디바이스는 없습니다. 프라이빗 엔드포인트는 간단한 워크플로를 통해 구성됩니다. 서비스 측에서는 Azure 서비스 리소스에 대한 연결 요청을 쉽게 관리할 수도 있습니다. Azure Private Link는 다른 Azure Active Directory 테넌트에 속한 소비자 및 서비스에서도 작동합니다.

프라이빗 엔드포인트와 프라이빗 엔드포인트를 사용할 수 있는 Azure 서비스 및 지역에 대한 자세한 내용은 Azure Private Link를 참조하세요.

다음 단계

Azure 보안 모범 사례 및 패턴에서 Azure를 사용하여 클라우드 솔루션을 디자인하고, 배포하고, 관리할 때 사용할 수 있는 더 많은 보안 모범 사례를 참조하세요.