스토리지 계정에 대한 네트워크 보안을 구현하기 전에 이 섹션의 중요한 제한 사항 및 고려 사항을 검토합니다.
일반 지침 및 제한 사항
Azure Storage 방화벽 규칙은 데이터 평면 작업에만 적용됩니다. 컨트롤 플레 인 작업에는 방화벽 규칙에 지정된 제한 사항이 적용되지 않습니다.
Azure Portal, Azure Storage Explorer 및 AzCopy와 같은 도구를 사용하여 데이터에 액세스하려면 네트워크 보안 규칙을 구성할 때 설정한 신뢰할 수 있는 경계 내의 컴퓨터에 있어야 합니다.
Blob 컨테이너 작업과 같은 일부 작업은 컨트롤 플레인과 데이터 평면 모두를 통해 수행할 수 있습니다. Azure Portal에서 컨테이너 나열과 같은 작업을 수행하려고 하면 다른 메커니즘에 의해 차단되지 않는 한 작업이 성공합니다. Azure Storage Explorer와 같은 애플리케이션에서 Blob 데이터에 액세스하려는 시도는 방화벽 제한 사항에 의해 제어됩니다.
데이터 평면 작업 목록은 Azure Storage REST API 참조를 참조하세요.
컨트롤 플레인 작업 목록은 Azure Storage 리소스 공급자 REST API 참조를 참조하세요.
네트워크 규칙은 REST 및 SMB를 포함해서 Azure Storage에 대한 모든 네트워크 프로토콜에 적용됩니다.
네트워크 규칙은 탑재 및 분리 작업 및 디스크 I/O를 포함하여 VM(가상 머신) 디스크 트래픽에 영향을 주지 않지만 페이지 Blob에 대한 REST 액세스를 보호하는 데 도움이 됩니다.
예외를 만들어 VM을 백업 및 복원하기 위해 적용된 네트워크 규칙과 함께 스토리지 계정에서 관리되지 않는 디스크를 사용할 수 있습니다. Azure에서 이미 관리하므로 방화벽 예외는 관리 디스크에 적용되지 않습니다.
가상 네트워크 규칙에 포함된 서브넷을 삭제하면 스토리지 계정에 대한 네트워크 규칙에서 제거됩니다. 이름이 같은 새 서브넷을 만드는 경우 스토리지 계정에 액세스할 수 없습니다. 액세스를 허용하려면 스토리지 계정에 대한 네트워크 규칙에서 새 서브넷에 명시적으로 권한을 부여해야 합니다.
클라이언트 애플리케이션에서 서비스 엔드포인트를 참조하는 경우 캐시된 IP 주소에 대한 종속성을 사용하지 않는 것이 좋습니다. 스토리지 계정 IP 주소는 변경될 수 있으며 캐시된 IP 주소를 사용하면 예기치 않은 동작이 발생할 수 있습니다. 또한 DNS 레코드의 TTL(수명)을 존중하고 이를 재정의하지 않는 것이 좋습니다. DNS TTL을 재정의하면 예기치 않은 동작이 발생할 수 있습니다.
기본적으로 신뢰할 수 있는 서비스의 스토리지 계정에 대한 액세스는 다른 네트워크 액세스 제한보다 우선순위가 높습니다. 이전에 선택한 가상 네트워크 및 IP 주소에서 사용으로 설정한공용 네트워크 액세스를사용 안 함으로 설정한 경우, 신뢰할 수 있는 서비스 목록에서 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용하는 것을 포함하여, 이전에 구성한 모든 리소스 인스턴스 및 예외가 계속 적용됩니다. 그 결과 이러한 리소스 및 서비스에서는 여전히 스토리지 계정에 액세스할 수 있습니다.
공용 네트워크 액세스를 비활성화하더라도, Microsoft Defender for Storage 또는 Azure Advisor로부터 가상 네트워크 규칙을 사용하여 액세스를 제한하라는 경고를 받을 수 있습니다. 템플릿을 사용하여 공용 액세스를 사용하지 않도록 설정하는 경우에 발생할 수 있습니다. PublicNetworkAccess 속성을 Disabled로 설정하더라도 defaultAction 속성은 Allow로 설정된 상태로 유지됩니다. PublicNetworkAccess 속성이 우선하는 반면 Microsoft Defender와 같은 도구는 defaultAction 속성의 값도 보고합니다. 이 문제를 해결하려면 템플릿을 사용하여 defaultAction 속성 거부 를 설정하거나 Azure Portal, PowerShell 또는 Azure CLI와 같은 도구를 사용하여 공용 액세스를 사용하지 않도록 설정합니다. 이러한 도구는 defaultAction 속성을 Deny 값으로 자동으로 변경합니다.
IP 네트워크 규칙에 대한 제한 사항
IP 네트워크 규칙은 공용 인터넷 IP 주소에 대해서만 허용됩니다.
개인 네트워크용으로 예약된 IP 주소 범위( RFC 1918에 정의됨)는 IP 규칙에서 허용되지 않습니다. 프라이빗 네트워크에는 10, 172.16~172.31 및 192.168로 시작하는 주소가 포함됩니다.
16.17.18.0/24 형식의 CIDR 표기법을 사용하거나 16.17.18.19와 같은 개별 IP 주소로 허용된 인터넷 주소 범위를 제공해야 합니다.
/31 또는 /32 접두사 크기를 사용하는 작은 주소 범위는 지원되지 않습니다. 개별 IP 주소 규칙을 사용하여 이러한 범위를 구성합니다.
스토리지 방화벽 규칙의 구성에는 IPv4 주소만 지원됩니다.
IP 네트워크 규칙을 사용하여 스토리지 계정과 동일한 Azure 지역의 클라이언트에 대한 액세스를 제한할 수 없습니다. IP 네트워크 규칙이 스토리지 계정과 동일한 Azure 지역에서 시작하는 요청에 영향을 주지 않습니다. 가상 네트워크 규칙을 사용하여 동일한 지역 요청을 허용합니다.
IP 네트워크 규칙을 사용하여 서비스 엔드포인트가 있는 가상 네트워크에 있는 쌍을 이루는 지역의 클라이언트에 대한 액세스를 제한할 수 없습니다.
IP 네트워크 규칙을 사용하여 스토리지 계정과 동일한 지역에 배포된 Azure 서비스에 대한 액세스를 제한할 수 없습니다.
스토리지 계정과 동일한 지역에 배포된 서비스는 통신을 위해 프라이빗 Azure IP 주소를 사용합니다. 따라서 퍼블릭 아웃바운드 IP 주소 범위에 따라 특정 Azure 서비스에 대한 액세스를 제한할 수 없습니다.
다음 단계
- Azure 네트워크 서비스 엔드포인트에 대해 자세히 알아봅니다.
- Azure Blob Storage에 대한 보안 권장 사항을 자세히 살펴봅니다.