네트워킹 기준 만들기

  • 5분

Azure 네트워킹 서비스는 유연성, 가용성, 복원력, 보안 및 무결성 최대화를 고려하여 설계하였습니다. Azure에 있는 리소스 간, 온-프레미스 리소스와 Azure 호스팅 리소스 간, 인터넷과 Azure 간에 네트워크 연결이 가능합니다.

Azure 네트워킹 보안 권장 사항

다음 섹션에서는 CIS Microsoft Azure Foundations 보안 벤치마크 v. 1.3.0에 있는 Azure 네트워킹 권장 사항을 설명합니다. 각 권장 사항에는 Azure Portal에서 완료해야 하는 기본 단계가 포함되어 있습니다. 자신의 구독에 대해 이러한 단계를 완료하고 자신의 리소스를 사용하여 각 보안 권장 사항의 유효성을 검사해야 합니다. 수준 2 옵션은 일부 기능이나 작업을 제한할 수 있으므로, 적용할 보안 옵션을 신중하게 고려해야 합니다.

인터넷의 RDP 및 SSH 액세스 제한 - 수준 1

RDP(원격 데스크톱 프로토콜) 및 SSH(Secure Shell) 프로토콜을 사용하여 Azure VM에 연결할 수 있습니다. 이러한 프로토콜을 사용하여 원격 위치에서 VM을 관리할 수 있습니다. 프로토콜은 데이터 센터 컴퓨팅의 표준입니다.

인터넷을 통해 RDP 및 SSH를 사용할 때 발생할 수 있는 보안 문제로, 공격자가 무차별 암호 대입 기술을 사용하여 Azure VM에 대한 액세스 권한을 얻을 수 있습니다. 액세스 권한을 얻은 후 공격자는 사용자 VM을 발사대로 사용하여 가상 네트워크의 다른 머신을 손상시키거나 Azure 외부의 네트워크 디바이스를 공격할 수도 있습니다.

인터넷에서 Azure VM에 RDP 및 SSH 직접 액세스를 사용하지 않도록 설정하는 것이 좋습니다. Azure 구독의 각 VM에 대해 다음 단계를 완료합니다.

  1. Azure Portal에 로그인합니다. 가상 머신을 검색하여 선택합니다.

  2. 왼쪽 메뉴의 설정에서 네트워킹을 선택합니다.

  3. 네트워킹 창에서 인바운드 포트 규칙 탭에 RDP 규칙(예: port=3389, protocol = TCP, Source = Any or Internet)이 없는지 확인합니다.

  4. 인바운드 포트 규칙 탭에 SSH 규칙(예: port=22, protocol = TCP, Source = Any or Internet)이 없는지 확인합니다.

Screenshot the VM networking pane.

인터넷의 RDP 및 SSH 직접 액세스를 사용하지 않도록 설정한 경우 다음과 같은 옵션을 사용하여 원격 관리를 위해 VM에 액세스할 수 있습니다.

  • 지점 및 사이트 간 VPN
  • 사이트 간 VPN
  • Azure ExpressRoute
  • Azure Bastion 호스트

인터넷의 SQL Server 액세스 제한 - 수준 1

방화벽 시스템은 컴퓨터 리소스에 대한 무단 액세스를 방지합니다. 방화벽이 켜져 있지만 올바르게 구성되지 않은 경우에는 SQL Server 연결 시도가 차단될 수 있습니다.

방화벽을 통해 SQL Server 인스턴스에 액세스하려면 SQL Server를 실행하는 컴퓨터의 방화벽을 구성해야 합니다. IP 범위 0.0.0.0/0(시작 IP 0.0.0.0, 끝 IP 0.0.0.0)에 대해 수신을 허용하면 모든 트래픽에 대해 개방형 액세스가 허용되므로 SQL Server 데이터베이스가 공격에 취약해질 수 있습니다. 인터넷에서의 수신을 허용하는 SQL Server 데이터베이스가 없도록 합니다. 각 SQL Server 인스턴스에 대해 다음 단계를 완료합니다.

  1. Azure Portal에 로그인합니다. SQL 서버를 검색하여 선택합니다.

  2. 메뉴 창의 보안에서 네트워킹을 선택합니다.

  3. 네트워킹 창의 퍼블릭 액세스 탭에서 방화벽 규칙이 있는지 확인합니다. 시작 IP0.0.0.0이고 끝 IP0.0.0.0이거나 광범위한 공용 IP 범위에 대한 액세스를 허용하는 또 다른 조합을 사용하는 규칙이 없는지 확인합니다.

  4. 설정을 변경한 경우 저장을 선택합니다.

Screenshot that shows the Firewalls and virtual networks pane.

Network Watcher 사용 - 수준 1

NSG 흐름 로그는 NSG를 통해 IP 수신 및 송신 트래픽에 관한 정보를 제공하는 Azure Network Watcher 기능입니다. 흐름 로그는 JSON 형식으로 작성되며 다음을 표시합니다.

  • 규칙 단위 기반의 아웃바운드 및 인바운드 흐름
  • 흐름이 적용되는 NIC(네트워크 인터페이스)
  • 흐름에 대한 5 튜플 정보: 원본 및 대상 IP 주소, 원본 및 대상 포트 및 사용된 프로토콜
  • 트래픽이 허용 또는 거부되었는지 여부
  • 버전 2에서 바이트와 패킷 같은 처리량 정보

  1. Azure Portal에 로그인합니다. Network Watcher를 검색하고 선택합니다.

  2. 구독 및 위치에 대한 Network Watcher를 선택합니다.

  3. 구독에 대한 NSG 흐름 로그가 없는 경우 NSG 흐름 로그를 만듭니다.

NSG 흐름 로그 보존 기간을 90일이 이상으로 설정 - 수준 2

구독에서 가상 네트워크를 만들거나 업데이트하면 가상 네트워크 영역에서 Network Watcher가 자동으로 사용하도록 설정됩니다. 리소스는 영향을 받지 않으며 Network Watcher가 자동으로 사용하도록 설정되면 요금이 평가되지 않습니다.

NSG 흐름 로그를 사용하여 변칙을 확인하고 의심스러운 위반에 대한 인사이트를 얻을 수 있습니다.

  1. Azure Portal에 로그인합니다. Network Watcher를 검색하고 선택합니다.

  2. 왼쪽 메뉴의 로그에서 NSG 흐름 로그를 선택합니다.

    Screenshot that shows the N S G flow log pane.

  3. NSG 흐름 로그를 선택합니다.

  4. 보존 기간(일)이 90일보다 큰지 확인합니다.

  5. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.