다음을 통해 공유

제로 트러스트 원칙을 적용하여 네트워크 트래픽에 대한 가시성 확보

  • 아티클

이 문서에서는 Azure 환경에서 네트워크를 분할하기 위한 제로 트러스트 원칙을 적용하기 위한 지침을 제공합니다. 다음은 제로 트러스트 원칙입니다.

제로 트러스트 원칙 정의
명시적으로 확인 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다.
최소 권한 액세스 사용 JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다.
위반 가정 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다.

이 원칙은 분석을 사용하여 Azure 인프라의 네트워크 트래픽에 대한 가시성을 확보함으로써 충족됩니다.

이 문서는 Azure 네트워킹에 제로 트러스트 원칙을 적용하는 방법을 보여 주는 일련의 문서의 일부입니다.

이 문서에서 다루는 네트워크 트래픽 유형은 다음과 같습니다.

  • 중앙 집중식
  • Azure VNet(가상 네트워크)과 Azure 서비스 및 온-프레미스 네트워크 간의 트래픽 흐름인 동서 트래픽
  • Azure 환경과 인터넷 간의 트래픽 흐름인 남북

참조 아키텍처

다음 다이어그램에서는 온-프레미스와 Azure VNet 간, Azure VNet과 Azure 서비스 간, Azure 환경과 인터넷 간의 트래픽 검사에 대한 이 제로 트러스트 지침에 대한 참조 아키텍처를 보여 줍니다.

참조 아키텍처와 동서 및 남북 트래픽 흐름을 보여 주는 다이어그램

이 참조 아키텍처에는 다음이 포함됩니다.

  • Azure 가상 머신에서 실행되는 Azure IaaS 워크로드.
  • Azure 서비스.
  • Azure DDoS Protection, Azure FirewallWAF(Azure Web Application Firewall)가 포함된 인터넷 에지 VNet입니다.
  • 동서 및 남북 트래픽 흐름을 보여 주는 화살표입니다.

이 문서의 내용

제로 트러스트 원칙은 참조 아키텍처에 적용됩니다. 다음 표에서는 위반 가정 제로 트러스트 원칙에 대해 이 아키텍처 전체에서 네트워크 트래픽의 가시성을 보장하기 위한 권장 사항을 설명합니다.

단계 작업
1 중앙 집중식 트래픽 검사 지점을 구현합니다.
2 동서 교통 검사를 구현합니다.
3 남북 교통 검사를 구현합니다.

1단계: 중앙 집중식 트래픽 검사 지점 구현

중앙 집중식 트래픽 검사를 사용하면 네트워크 내/외부로 나가는 트래픽을 제어하고 시각화할 수 있습니다. 허브 및 스포크 VNet 및Azure Virtual WAN 은 Azure에서 가장 일반적인 두 가지 네트워크 토폴로지입니다. 네트워크에 연결하는 방법에는 다양한 기능과 기능이 있습니다. 두 디자인 모두에서 허브 VNet은 중앙 네트워크이며 워크로드를 허브 VNet에서 스포크 VNet으로 애플리케이션 및 워크로드로 분할하는 데 사용됩니다. 중앙 집중식 검사에는 남북, 동서 또는 둘 다 흐르는 트래픽이 포함됩니다.

허브 및 스포크 토폴로지

허브 및 스포크 모델의 특징 중 하나는 VNet이 모두 사용자가 관리한다는 것입니다. 고객 허브 관리형 VNet은 다른 스포크 VNet이 연결하는 공유 VNet 역할을 합니다. 이 중앙 집중식 VNet은 일반적으로 사용됩니다.

  • 온-프레미스 네트워크에 하이브리드 연결을 설정하려면
  • Azure Firewall 또는 타사 NVA(네트워크 가상 어플라이언스)를 사용한 트래픽 검사 및 세분화.
  • WAF를 사용하여 Azure 애플리케이션 Gateway와 같은 애플리케이션 배달 서비스 검사를 중앙 집중화합니다.

이 토폴로지에서는 허브 VNet에 Azure Firewall 또는 NVA를 배치하고 UDR(사용자 정의 경로)을 구성하여 스포크 VNet 및 온-프레미스 네트워크에서 허브 VNet으로 트래픽을 전달합니다. Azure Firewall 또는 NVA는 스포크 가상 네트워크 간에 트래픽을 라우팅하는 경로 엔진 역할을 할 수도 있습니다. 고객 관리형 VNet 허브 및 스포크 모델의 가장 중요한 기능 중 하나는 UDR을 사용하여 트래픽을 세분화하고 해당 경로의 라우팅, 세분화 및 전파를 수동으로 수정하는 기능입니다.

Azure 가상 WAN

Azure Virtual WAN은 모든 분기 및 모든 스포크에서 경로를 전파하는 것을 감독하는 내부적으로 Route Service 인스턴스를 포함하는 Azure 관리형 허브 VNet입니다. 이를 통해 모든 연결을 효과적으로 사용할 수 있습니다.

관리형 VNet(관리형 가상 허브라고 함)의 큰 차이점 중 하나는 라우팅 컨트롤의 세분성이 사용자에 대해 추상화된다는 것입니다. 몇 가지 주요 이점은 다음과 같습니다.

  • 네이티브 모든 연결을 사용하여 경로 관리를 간소화했습니다. 트래픽 격리가 필요한 경우 기본 경로 테이블 내에서 사용자 지정 경로 테이블 또는 정적 경로를 수동으로 구성할 수 있습니다.
  • Virtual Network 게이트웨이, Azure Firewall 및 승인된 NVA 또는 SD-WAN(소프트웨어 정의 WAN) 디바이스만 허브 내에 배포할 수 있습니다. DNS 및 Application Gateway와 같은 중앙 집중식 서비스는 일반 스포크 VNet에 있어야 합니다. 스포크는 VNet 피어링을 사용하여 가상 허브에 연결해야 합니다.

관리되는 VNet은 다음 작업에 가장 적합합니다.

  • 모든 위치 간에 트래픽 검사를 제공하는 전송 연결이 필요한 지역에 걸쳐 대규모 배포
  • 30개 이상의 분기 사이트 또는 100개 이상의 IPsec(인터넷 프로토콜 보안) 터널.

Virtual WAN의 가장 좋은 기능 중 일부는 확장성 라우팅 인프라 및 상호 연결입니다. 확장성의 예로는 허브당 50Gbps의 처리량과 1,000개의 분기 사이트가 있습니다. 더 확장하기 위해 여러 가상 허브를 상호 연결하여 더 큰 Virtual WAN 메시 네트워크를 만들 수 있습니다. Virtual WAN의 또 다른 이점은 단추 클릭으로 접두사를 삽입하여 트래픽 검사를 위한 라우팅을 간소화하는 기능입니다.

각 디자인에는 고유한 장점과 단점이 있습니다. 적절한 선택은 예상되는 향후 성장 및 관리 오버헤드 요구 사항에 따라 결정되어야 합니다.

2단계: 동서 교통 검사 구현

동서 트래픽 흐름에는 VNet-VNet 및 VNet-온-프레미스가 포함됩니다. 동서 간 트래픽을 검사하려면 허브 가상 네트워크에 Azure Firewall 또는 NVA를 배포할 수 있습니다. 이를 위해서는 검사를 위해 UDR이 프라이빗 트래픽을 Azure Firewall 또는 NVA로 전송해야 합니다. 동일한 VNet 내에서 액세스 제어를 위해 네트워크 보안 그룹을 활용할 수 있지만, 검사를 통해 더 심층적인 제어가 필요한 경우 UDR을 사용하여 허브 가상 네트워크에서 로컬 방화벽 또는 중앙 집중식 방화벽을 사용할 수 있습니다.

Azure Virtual WAN을 사용하면 중앙 집중식 라우팅을 위해 가상 허브 내에 Azure Firewall 또는 NVA를 사용할 수 있습니다. Azure Firewall Manager 또는 라우팅 의도를 활용하여 모든 프라이빗 트래픽을 검사할 수 있습니다. 검사를 사용자 지정하려는 경우 가상 허브에 Azure Firewall 또는 NVA를 사용하여 원하는 트래픽을 검사할 수 있습니다. Virtual WAN 환경에서 트래픽을 직접 전송하는 가장 쉬운 방법은 프라이빗 트래픽에 대한 라우팅 의도를 사용하도록 설정하는 것입니다. 이 기능은 허브에 연결된 모든 스포크에 개인 주소 접두사(RFC 1918)를 푸시합니다. 개인 IP 주소로 향하는 모든 트래픽은 검사를 위해 가상 허브로 전달됩니다.

각 메서드에는 고유한 장점과 단점을 가지고 있습니다. 라우팅 의도를 사용하는 이점은 UDR 관리를 간소화하는 것입니다. 그러나 연결당 검사를 사용자 지정할 수는 없습니다. 라우팅 의도 또는 방화벽 관리자를 사용하지 않는 장점은 검사를 사용자 지정할 수 있다는 것입니다. 단점은 지역 간 트래픽 검사를 수행할 수 없다는 것입니다.

다음 다이어그램은 Azure 환경 내의 동서 트래픽을 보여 줍니다.

Azure 환경 내에서 동서 트래픽이 있는 참조 아키텍처를 보여 주는 다이어그램

Azure 내의 네트워크 트래픽에 대한 가시성을 위해 VNet에서 Azure Firewall 또는 NVA 구현을 권장합니다. Azure Firewall은 네트워크 계층 및 애플리케이션 계층 트래픽을 모두 검사할 수 있습니다. 또한 Azure Firewall은 IDPS(침입 감지 및 방지 시스템), TLS(전송 계층 보안) 검사, URL 필터링 및 웹 범주 필터링과 같은 추가 기능을 제공합니다.

Azure 네트워크에 Azure Firewall 또는 NVA를 포함하는 것은 네트워킹에 대한 위반 제로 트러스트 가정 원칙을 준수하는 데 중요합니다. 데이터가 네트워크를 트래버스할 때마다 위반이 발생할 수 있다는 점을 감안할 때 대상에 도달하는 데 허용되는 트래픽을 이해하고 제어해야 합니다. Azure Firewall, UDR 및 네트워크 보안 그룹은 워크로드 간에 트래픽을 허용하거나 거부하여 보안 트래픽 모델을 사용하도록 설정하는 데 중요한 역할을 합니다.

VNet 트래픽 흐름에 대한 자세한 내용을 보려면 VNet 흐름 로그 또는 NSG 흐름 로그를 사용하도록 설정할 수 있습니다. 흐름 로그 데이터는 액세스하여 Azure Traffic Analytics와 같은 시각화 도구로 내보낼 수 있는 Azure Storage 계정에 저장됩니다. Azure Traffic Analytics를 사용하면 알 수 없거나 원치 않는 트래픽을 찾거나, 트래픽 수준 및 대역폭 사용량을 모니터링하거나, 특정 트래픽을 필터링하여 애플리케이션 동작을 파악할 수 있습니다.

3단계: 남북 교통 검사 구현

남북 트래픽에는 일반적으로 개인 네트워크와 인터넷 간의 트래픽이 포함됩니다. 허브 및 스포크 토폴로지에서 남북 트래픽을 검사하려면 UDR을 사용하여 트래픽을 Azure Firewall 인스턴스 또는 NVA로 보낼 수 있습니다. 동적 광고의 경우 BGP를 지원하는 NVA와 함께 Azure Route Server 를 사용하여 VNet에서 NVA로 모든 인터넷 바인딩된 트래픽을 보낼 수 있습니다.

Azure Virtual WAN에서 VNet에서 가상 허브에서 지원되는 Azure Firewall 또는 NVA로 남북 트래픽을 전달하려면 다음과 같은 일반적인 시나리오를 사용할 수 있습니다.

  • 라우팅 의도 또는 Azure Firewall Manager로 제어되는 가상 허브에서 NVA 또는 Azure Firewall을 사용하여 남북 트래픽을 전달합니다.
  • NVA가 가상 허브 내에서 지원되지 않는 경우 스포크 VNet에 배포하고 검사를 위해 UDR을 사용하여 트래픽을 보낼 수 있습니다. Azure Firewall도 마찬가지입니다. 또는 BGP가 가상 허브와 스포크에서 NVA를 피어하여 기본 경로(0.0.0.0/0)를 보급할 수도 있습니다.

다음 다이어그램은 Azure 환경과 인터넷 간의 남북 트래픽을 보여 줍니다.

Azure 환경과 인터넷 간의 참조 아키텍처 및 남북 트래픽을 보여 주는 다이어그램

Azure는 Azure 환경으로 들어오고 나가는 네트워크 트래픽에 대한 가시성을 제공하도록 설계된 다음 네트워킹 서비스를 제공합니다.

Azure DDoS 보호

공용 IP 리소스가 있는 모든 VNet에서 Azure DDoS Protection을 사용하도록 설정하여 가능한 DDoS(분산 서비스 거부) 공격을 모니터링하고 완화할 수 있습니다. 이 완화 프로세스에는 DDoS 정책의 미리 정의된 임계값에 대한 트래픽 사용률을 분석한 다음, 추가 검사를 위해 이 정보를 로깅하는 작업이 포함됩니다. 향후 인시던트에 더 잘 대비하기 위해 Azure DDoS Protection은 공용 IP 주소 및 서비스에 대한 시뮬레이션 을 수행하는 기능을 제공하여 DDoS 공격 중 애플리케이션의 복원력 및 대응에 대한 중요한 인사이트를 제공합니다.

Azure Firewall

Azure Firewall은 네트워크 트래픽을 모니터링, 감사 및 분석하는 도구 컬렉션을 제공합니다.

  • 로그 및 메트릭

    Azure Firewall은 Azure Log Analytics 작업 영역과 통합하여 자세한 로그를 수집합니다. KQL(Kusto 쿼리 언어) 쿼리를 사용하여 애플리케이션 및 네트워킹 규칙과 같은 주요 규칙 범주에 대한 추가 정보를 추출할 수 있습니다. 네트워킹 수준에서 위협 인텔리전스 및 IDPS 로그로 스키마 및 구조체를 확장하는 리소스별 로그를 검색할 수도 있습니다. 자세한 내용은 Azure Firewall 구조적 로그를 참조 하세요.

  • 통합 문서

    Azure Firewall은 시간 경과에 따른 활동 그래프를 사용하여 수집된 데이터를 제공하는 통합 문서를 제공합니다. 또한 이 도구를 사용하면 여러 Azure Firewall 리소스를 통합 인터페이스로 결합하여 시각화할 수 있습니다. 자세한 내용은 Azure Firewall 통합 문서 사용을 참조 하세요.

  • 정책 분석

    Azure Firewall Policy Analytics는 구현한 정책에 대한 개요를 제공하고 정책 인사이트, 규칙 분석 및 트래픽 흐름 분석을 기반으로 구현된 정책을 조정하고 수정하여 트래픽 패턴 및 위협에 맞게 조정합니다. 자세한 내용은 Azure Firewall Policy Analytics를 참조 하세요.

이러한 기능을 통해 Azure Firewall은 관리자에게 효과적인 네트워크 관리에 필요한 도구를 제공하여 네트워크 트래픽을 보호하기 위한 강력한 솔루션으로 유지됩니다.

Application Gateway

Application Gateway는 보안을 위해 트래픽을 모니터링, 감사 및 분석하는 중요한 기능을 제공합니다. 로그 분석을 사용하도록 설정하고 미리 정의된 또는 사용자 지정 KQL 쿼리를 사용하여 문제를 식별하는 데 중요한 4xx 및 5xx 범위의 코드를 포함하여 HTTP 오류 코드를수 있습니다.

또한 Application Gateway의 액세스 로그는 클라이언트 IP 주소, 요청 URI, HTTP 버전 및 SSL/TLS 관련 구성 값(예: 프로토콜, TLS 암호 그룹 및 SSL 암호화를 사용하는 경우)과 같은 주요 보안 관련 매개 변수에 대한 중요한 인사이트를 제공합니다.

Azure Front Door

Azure Front Door 는 Anycast TCP를 사용하여 트래픽을 가장 가까운 PoP(데이터 센터 지점)로 라우팅합니다. 기존 부하 분산 장치와 마찬가지로 Azure Front Door 백 엔드 풀(원본이라고도 함)에 Azure Firewall 또는 NVA를 배치할 수 있습니다. 유일한 요구 사항은 원본의 IP 주소가 공용이라는 것입니다.

요청을 받도록 Azure Front Door를 구성하면 Azure Front Door 프로필이 어떻게 동작하는지 보여 줄 트래픽 보고서를 생성합니다. Azure Front Door 프리미엄 계층을 사용하는 경우 보안 보고서를 사용하여 OWASP(Open Worldwide Application Security Project) 규칙, 봇 보호 규칙 및 사용자 지정 규칙을 비롯한 WAF 규칙과 일치하는 항목을 표시할 수도 있습니다.

Azure WAF

Azure WAF는 계층 7 트래픽을 검사하고 특정 계층을 사용하여 Application Gateway 및 Azure Front Door 모두에 대해 활성화할 수 있는 추가 보안 기능입니다. 이렇게 하면 Azure 내에서 시작되지 않는 트래픽에 대한 추가 보안 계층이 제공됩니다. OWASP 핵심 규칙 정의를 사용하여 방지 및 검색 모드 모두에서 WAF를 구성할 수 있습니다.

모니터링 도구

남북 트래픽 흐름에 대한 포괄적인 모니터링을 위해 NSG 흐름 로그, Azure Traffic Analytics 및 VNet 흐름 로그와 같은 도구를 사용하여 네트워크에 대한 가시성을 향상시킬 수 있습니다.

다음 단계

Azure 네트워킹에 제로 트러스트 적용하는 방법에 대한 자세한 내용은 다음을 참조하세요.

참조

이 문서에 언급된 다양한 서비스 및 기술에 대해 알아보려면 이러한 링크를 참조하세요.