네트워크 보안 그룹 유효 규칙 결정
각 네트워크 보안 그룹과 정의된 보안 규칙은 독립적으로 평가됩니다. Azure는 구성의 각 가상 머신에 대해 정의된 각 규칙의 조건을 처리합니다.
- 인바운드 트래픽의 경우 Azure는 먼저 연결된 서브넷에 대한 네트워크 보안 그룹 보안 규칙을 처리한 다음 연결된 네트워크 인터페이스에 대한 보안 규칙을 처리합니다.
- 아웃바운드 트래픽의 경우에는 프로세스의 순서가 반대가 됩니다. Azure는 먼저 연결된 네트워크 인터페이스에 대한 네트워크 보안 그룹 보안 규칙을 평가한 뒤에 연결된 서브넷에 대한 보안 규칙을 평가합니다.
- 인바운드 및 아웃바운드 평가 프로세스 모두에 대해 Azure는 서브넷 내 트래픽에 대한 규칙을 적용하는 방법도 확인합니다. 인트라 서브넷 트래픽은 동일한 서브넷의 가상 머신을 나타냅니다.
Azure에서 가상 머신에 대해 정의된 보안 규칙을 적용하는 방법에 따라 규칙의 전반적인 효과가 달라집니다.
네트워크 보안 그룹 평가
네트워크 보안 그룹을 서브넷 및 네트워크 인터페이스에 둘 다 적용하면 각 네트워크 보안 그룹이 독립적으로 평가됩니다. 인바운드 및 아웃바운드 규칙은 모두 우선 순위 및 처리 순서에 따라 고려됩니다.
효과적인 규칙을 설정할 때 고려해야 할 사항
가상 네트워크의 머신에 대해 효과적인 보안 규칙을 만드는 것과 관련하여 다음 고려 사항을 검토합니다.
모든 트래픽 허용을 고려합니다. 가상 머신을 서브넷 내에 배치하거나 네트워크 인터페이스를 활용하는 경우 서브넷 또는 NIC를 네트워크 보안 그룹과 연결할 필요가 없습니다. 이 접근 방식은 기본 Azure 보안 규칙에 따라 서브넷 또는 NIC를 통한 모든 네트워크 트래픽을 허용합니다. 특정 수준에서 리소스에 대한 트래픽을 제어하는 데 관심이 없는 경우 해당 수준의 리소스를 네트워크 보안 그룹에 연결하지 마세요.
허용 규칙의 중요성을 고려합니다. 네트워크 보안 그룹을 만들 때 트래픽이 통과할 수 있도록 그룹의 서브넷 및 네트워크 인터페이스 모두에 대한 허용 규칙을 정의해야 합니다. 네트워크 보안 그룹에 서브넷 또는 NIC가 있는 경우 각 수준에서 허용 규칙을 정의해야 합니다. 그렇지 않으면 허용 규칙 정의를 제공하지 않는 모든 수준에 대해 트래픽이 거부됩니다.
서브넷 내 트래픽을 고려합니다. 서브넷에 연결된 네트워크 보안 그룹에 대한 보안 규칙은 서브넷의 모든 가상 머신 간의 트래픽에 영향을 줄 수 있습니다. 모든 인바운드 및 아웃바운드 트래픽을 거부하는 네트워크 보안 그룹 내 규칙을 정의하여 서브넷 내 트래픽을 금지할 수 있습니다. 이 규칙은 서브넷의 모든 가상 머신이 서로 통신하는 것을 방지합니다.
규칙 우선 순위를 고려합니다. 네트워크 보안 그룹에 대한 보안 규칙은 우선 순위에 따라 처리됩니다. 특정 보안 규칙이 항상 처리되도록 하려면 가능한 가장 낮은 우선 순위 값을 규칙에 할당합니다. 100, 200, 300 등과 같이 우선 순위 번호 매기기에 간격을 두는 것이 좋습니다. 번호 매기기에 간격을 두면 기존 규칙을 편집하지 않고도 새 규칙을 추가할 수 있습니다.
효과적인 보안 규칙 보기
여러 네트워크 보안 그룹이 있는데 어떤 보안 규칙이 적용되는지 확실하지 않은 경우 Azure Portal에서 유효한 보안 규칙 링크를 사용할 수 있습니다. 링크를 사용하여 컴퓨터, 서브넷 및 네트워크 인터페이스에 어떤 보안 규칙이 적용되는지 확인할 수 있습니다.
비고
Network Watcher 는 인프라 규칙에 대한 통합 보기를 제공합니다.