네트워크 보안 그룹 유효 규칙 결정
각 네트워크 보안 그룹과 정의된 보안 규칙은 독립적으로 평가됩니다. Azure는 구성의 각 가상 머신에 대해 정의된 각 규칙의 조건을 처리합니다.
- 인바운드 트래픽의 경우 Azure는 먼저 연결된 서브넷에 대한 네트워크 보안 그룹 보안 규칙을 처리한 다음 연결된 네트워크 인터페이스에 대한 보안 규칙을 처리합니다.
- 아웃바운드 트래픽의 경우에는 프로세스의 순서가 반대가 됩니다. Azure는 먼저 연결된 네트워크 인터페이스에 대한 네트워크 보안 그룹 보안 규칙을 평가한 뒤에 연결된 서브넷에 대한 보안 규칙을 평가합니다.
- 인바운드 및 아웃바운드 평가 프로세스 모두에 대해 Azure는 서브넷 내 트래픽에 대한 규칙을 적용하는 방법도 확인합니다.
Azure에서 가상 머신에 대해 정의된 보안 규칙을 적용하는 방법에 따라 규칙의 전반적인 효과가 달라집니다.
효과적인 보안 규칙에 대해 알아야 할 사항
효과적인 규칙을 생성하기 위해 가상 네트워크 내에서 네트워크 보안 그룹 규칙을 정의하고 처리하는 방법을 살펴보겠습니다.
VM(가상 머신)에 대한 트래픽을 제어하는 NSG(네트워크 보안 그룹)를 보여 주는 다음 가상 네트워크 구성을 고려합니다. 이러한 구성에는 네트워크 인터페이스를 사용하여 TCP 포트 80을 통해 인터넷으로 들고 나는 네트워크 트래픽을 관리하는 보안 규칙이 필요합니다.
이 가상 네트워크 구성에는 서브넷이 세 개 있습니다. 서브넷 1에는 VM 1 및 VM 2라는 가상 머신이 두 개 포함되어 있습니다. 서브넷 2와 서브넷 3에는 VM 3 및 VM 4라는 가상 머신이 하나씩 포함되어 있습니다. 각 VM에는 NIC(네트워크 인터페이스 카드)가 있습니다.
Azure는 각 NSG 구성을 평가하여 효과적인 보안 규칙을 결정합니다.
| 평가 | 서브넷 NSG | NIC NSG | 인바운드 규칙 | 아웃바운드 규칙 |
|---|---|---|---|---|
| VM 1 | 서브넷 1 NSG 1 |
NIC NSG 2 |
NSG 1 서브넷 규칙이 NSG 2 NIC 규칙보다 우선합니다. | NSG 2 NIC 규칙이 NSG 1 서브넷 규칙보다 우선합니다. |
| VM 2 | 서브넷 1 NSG 1 |
NIC 없음 |
NSG 1 서브넷 규칙은 서브넷과 NIC 둘 다에 적용됩니다. | Azure 기본 규칙이 NIC에 적용되고 NSG 1 서브넷 규칙은 서브넷에만 적용됩니다. |
| VM 3 | 서브넷 2 없음 |
NIC NSG 2 |
Azure 기본 규칙이 서브넷에 적용되고 NSG 2 규칙은 NIC에 적용됩니다. |
NSG 2 NIC 규칙이 NIC 및 서브넷에 적용됩니다. |
| VM 4 | 서브넷 3 없음 |
NIC 없음 |
Azure 기본 규칙이 서브넷과 NIC 둘 다에 적용되고 모든 인바운드 트래픽이 허용됩니다. |
Azure 기본 규칙이 서브넷과 NIC 둘 다에 적용되고 모든 아웃바운드 트래픽이 허용됩니다. |
인바운드 트래픽 유효 규칙
Azure는 구성 내 모든 VM의 인바운드 트래픽에 대한 규칙을 처리합니다. Azure는 VM이 NSG의 멤버인지 여부 및 VM에 연결된 서브넷 또는 NIC가 있는지 여부를 식별합니다.
NSG가 생성되면 Azure는 그룹에 대한 기본 보안 규칙
DenyAllInbound를 만듭니다. 기본 동작은 인터넷의 모든 인바운드 트래픽을 거부하는 것입니다. NSG에 서브넷 또는 NIC가 있는 경우 서브넷 또는 NIC에 대한 규칙이 기본 Azure 보안 규칙보다 우선할 수 있습니다.VM의 서브넷에 대한 NSG 인바운드 규칙은 동일한 VM 내 NIC에 대한 NSG 인바운드 규칙보다 우선합니다.
아웃바운드 트래픽 유효 규칙
Azure는 먼저 모든 VM에서 NIC에 대한 NSG 연결을 검사하여 아웃바운드 트래픽에 대한 규칙을 처리합니다.
NSG가 생성되면 Azure는 그룹에 대한 기본 보안 규칙
AllowInternetOutbound를 만듭니다. 기본 동작은 인터넷에 대한 모든 아웃바운드 트래픽을 허용하는 것입니다. NSG에 서브넷 또는 NIC가 있는 경우 서브넷 또는 NIC에 대한 규칙이 기본 Azure 보안 규칙보다 우선할 수 있습니다.VM의 NIC에 대한 NSG 아웃바운드 규칙은 동일한 VM 내 서브넷에 대한 NSG 아웃바운드 규칙보다 우선합니다.
효과적인 역할을 만들 때 고려해야 할 사항
가상 네트워크의 머신에 대해 효과적인 보안 규칙을 만드는 것과 관련하여 다음 고려 사항을 검토합니다.
모든 트래픽 허용을 고려합니다. 가상 머신을 서브넷 내에 배치하거나 네트워크 인터페이스를 활용하는 경우 서브넷 또는 NIC를 네트워크 보안 그룹과 연결할 필요가 없습니다. 이 접근 방식은 기본 Azure 보안 규칙에 따라 서브넷 또는 NIC를 통한 모든 네트워크 트래픽을 허용합니다. 특정 수준에서 리소스에 대한 트래픽을 제어하는 데 관심이 없는 경우 해당 수준의 리소스를 네트워크 보안 그룹에 연결하지 마세요.
허용 규칙의 중요성을 고려합니다. 네트워크 보안 그룹을 만들 때 트래픽이 통과할 수 있도록 그룹의 서브넷 및 네트워크 인터페이스 모두에 대한 허용 규칙을 정의해야 합니다. 네트워크 보안 그룹에 서브넷 또는 NIC가 있는 경우 각 수준에서 허용 규칙을 정의해야 합니다. 그렇지 않으면 허용 규칙 정의를 제공하지 않는 모든 수준에 대해 트래픽이 거부됩니다.
서브넷 내 트래픽을 고려합니다. 서브넷에 연결된 네트워크 보안 그룹에 대한 보안 규칙은 서브넷의 모든 가상 머신 간의 트래픽에 영향을 줄 수 있습니다. 기본적으로 Azure는 동일한 서브넷의 가상 머신이 서로 간에 트래픽을 보낼 수 있도록 허용합니다(서브넷 내 트래픽이라고 함). 모든 인바운드 및 아웃바운드 트래픽을 거부하는 네트워크 보안 그룹 내 규칙을 정의하여 서브넷 내 트래픽을 금지할 수 있습니다. 이 규칙은 서브넷의 모든 가상 머신이 서로 통신하는 것을 방지합니다.
규칙 우선 순위를 고려합니다. 네트워크 보안 그룹에 대한 보안 규칙은 우선 순위에 따라 처리됩니다. 특정 보안 규칙이 항상 처리되도록 하려면 가능한 가장 낮은 우선 순위 값을 규칙에 할당합니다. 100, 200, 300 등과 같이 우선 순위 번호 매기기에 간격을 두는 것이 좋습니다. 번호 매기기에 간격을 두면 기존 규칙을 편집하지 않고도 새 규칙을 추가할 수 있습니다.
효과적인 보안 규칙 보기
여러 네트워크 보안 그룹이 있는데 어떤 보안 규칙이 적용되는지 확실하지 않은 경우 Azure Portal에서 유효한 보안 규칙 링크를 사용할 수 있습니다. 링크를 사용하여 컴퓨터, 서브넷 및 네트워크 인터페이스에 어떤 보안 규칙이 적용되는지 확인할 수 있습니다.
