Azure Load Balancer에 대한 Azure 보안 기준
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0의 지침을 Azure Load Balancer 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 컨트롤 및 Azure Load Balancer 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
Azure Load Balancer 적용할 수 없는 기능이 제외되었습니다. Azure Load Balancer Microsoft 클라우드 보안 벤치마크에 완전히 매핑하는 방법을 보려면 전체 Azure Load Balancer 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필에는 Azure Load Balancer 영향이 큰 동작이 요약되어 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | 네트워킹 |
| 고객이 HOST/OS에 액세스할 수 있습니다. | 액세스 권한 없음 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | False |
| 미사용 고객 콘텐츠 저장 | False |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure Load Balancer 리소스가 Virtual Network 직접 배포되지는 않지만 내부 SKU는 대상 Azure Virtual Network 사용하여 하나 이상의 프런트 엔드 IP 구성을 만들 수 있습니다.
구성 지침: Azure는 표준 및 기본이라는 두 가지 유형의 Load Balancer 제품을 제공합니다. 내부 Azure Load Balancer를 사용하여 트래픽이 인터넷에 노출되지 않고 특정 가상 네트워크 또는 피어링된 가상 네트워크 내에서 리소스를 백 엔드하도록 허용합니다. SNAT(원본 네트워크 주소 변환)를 사용하여 외부 Load Balancer를 구현하여 직접 인터넷 노출로부터 보호하기 위해 백 엔드 리소스의 IP 주소를 가장합니다.
참조: 내부 Load Balancer 프런트 엔드 IP 구성
네트워크 보안 그룹 지원
설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: 사용자는 가상 네트워크에서 NSG를 구성할 수 있지만 Load Balancer 직접 구성할 수는 없습니다.
구성 지침: 네트워크 보안 그룹을 구현하고 애플리케이션의 신뢰할 수 있는 포트 및 IP 주소 범위에 대한 액세스만 허용합니다. 백 엔드 가상 머신의 백 엔드 서브넷 또는 NIC에 할당된 네트워크 보안 그룹이 없는 경우 트래픽은 부하 분산 장치에서 이러한 리소스에 액세스할 수 없습니다. 표준 Load Balancer는 네트워크 보안 그룹을 사용하여 아웃바운드 NAT를 정의하는 아웃바운드 규칙을 제공합니다. 이러한 아웃바운드 규칙을 검토하여 아웃바운드 연결의 동작을 조정합니다.
표준 Load Balancer는 기본적으로 보안을 유지하도록 설계되었으며 프라이빗 및 격리된 Virtual Network의 일부입니다. 네트워크 보안 그룹에서 열지 않는 한 인바운드 흐름에 대해 닫혀 있어서 허용된 트래픽을 명시적으로 허용하고 알려진 악성 IP 주소는 허용하지 않습니다. 가상 머신 리소스의 NIC 또는 서브넷에 있는 네트워크 보안 그룹이 Load Balancer 뒤에 존재하지 않는 한 이러한 리소스에는 트래픽이 도달할 수 없습니다.
참고: 표준 Load Balancer 사용하는 것이 프로덕션 워크로드에 권장되며 일반적으로 기본 Load Balancer 기본 형식이 기본적으로 인터넷의 연결에 열려 있고 작동을 위해 네트워크 보안 그룹이 필요하지 않기 때문에 테스트에만 사용됩니다.
참조: 프런트 엔드 IP 구성 Azure Load Balancer
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Network:
| Name (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: 서비스 구성은 Azure Policy 통해 모니터링하고 적용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Policy 사용하여 Azure 리소스에 대한 표준 보안 구성을 정의하고 구현합니다. 특정 Azure Load Balancer 리소스와 관련된 기본 제공 정책 정의를 할당합니다. 사용할 수 있는 기본 제공 정책 정의가 없는 경우 Azure Policy 별칭을 사용하여 'Microsoft.Network' 네임스페이스에서 Azure Load Balancer 리소스의 구성을 감사하거나 적용하는 사용자 지정 정책을 만들 수 있습니다.
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.