애플리케이션 보안 그룹 구현

  • 4분

Azure 가상 네트워크에서 애플리케이션 보안 그룹을 구현하여 가상 머신을 워크로드별로 논리적으로 그룹화할 수 있습니다. 그런 다음, 애플리케이션 보안 그룹에 따라 네트워크 보안 그룹 규칙을 정의할 수 있습니다.

애플리케이션 보안 그룹 사용에 대해 알아야 할 사항

애플리케이션 보안 그룹은 네트워크 보안 그룹과 동일한 방식으로 작동하지만 애플리케이션 중심으로 인프라를 살펴보는 방법을 제공합니다. 가상 머신을 애플리케이션 보안 그룹에 조인합니다. 그런 다음, 네트워크 보안 그룹 규칙에서 애플리케이션 보안 그룹을 원본 또는 대상으로 사용합니다.

온라인 소매점에 대한 구성을 만들어 애플리케이션 보안 그룹을 구현하는 방법을 살펴보겠습니다. 예제 시나리오에서는 애플리케이션 보안 그룹의 가상 머신에 대한 네트워크 트래픽을 제어해야 합니다.

Diagram that shows how application security groups combine with network security groups to protect applications.

시나리오 요구 사항

예제 구성에 대한 시나리오 요구 사항은 다음과 같습니다.

  • 구성에는 2개의 웹 서버와 2개의 데이터베이스 서버가 있는 6개의 가상 머신이 있습니다.
  • 고객은 웹 서버에서 호스트되는 온라인 카탈로그에 액세스합니다.
  • 웹 서버는 HTTP 포트 80 및 HTTPS 포트 443을 통해 인터넷에서 액세스할 수 있어야 합니다.
  • 인벤토리 정보는 데이터베이스 서버에 저장됩니다.
  • 데이터베이스 서버는 포트 1433을 통해 액세스할 수 있어야 합니다.
  • 우리 데이터베이스 서버에는 우리 웹 서버만 액세스할 수 있어야 합니다.

해결 방법

시나리오에서는 다음과 같은 구성을 빌드해야 합니다.

  1. 가상 머신에 대한 애플리케이션 보안 그룹을 만듭니다.

    1. WebASG라는 애플리케이션 보안 그룹을 만들어 웹 서버 머신을 그룹화합니다.

    2. DBASG라는 애플리케이션 보안 그룹을 만들어 데이터베이스 서버 머신을 그룹화합니다.

  2. 가상 머신에 대한 네트워크 인터페이스를 할당합니다.

    • 각 가상 머신 서버에 대해 해당 NIC를 적절한 애플리케이션 보안 그룹에 할당합니다.

  3. 네트워크 보안 그룹 및 보안 규칙을 만듭니다.

    • 규칙 1: 우선 순위를 100으로 설정합니다. HTTP 포트 80 및 HTTPS 포트 443에서 WebASG 그룹의 컴퓨터로 인터넷에서 액세스할 수 있도록 허용합니다.

      규칙 1의 우선 순위 값이 가장 낮으므로 그룹의 다른 규칙보다 우선합니다. 온라인 카탈로그에 대한 고객의 액세스는 디자인에서 가장 중요합니다.

    • 규칙 2: 우선 순위를 110으로 설정합니다. HTTPS 포트 1433을 통해 WebASG 그룹의 컴퓨터에서 DBASG 그룹의 컴퓨터로 액세스할 수 있도록 허용합니다.

    • 규칙 3: 우선 순위를 120으로 설정합니다. 어디에서도 HTTPS 포트 1433을 통해 DBASG 그룹의 컴퓨터로 액세스할 수 없도록 거부(X)합니다.

      규칙 2와 규칙 3을 조합하면 웹 서버만 데이터베이스 서버에 액세스할 수 있습니다. 이 보안 구성은 인벤토리 데이터베이스를 외부 공격으로부터 보호합니다.

애플리케이션 보안 그룹 사용 시 고려해야 할 사항

가상 네트워크에서 애플리케이션 보안 그룹을 구현하는 데는 몇 가지 이점이 있습니다.

  • IP 주소 유지 관리를 고려합니다. 애플리케이션 보안 그룹을 사용하여 네트워크 트래픽을 제어하는 경우 특정 IP 주소에 대한 인바운드 및 아웃바운드 트래픽을 구성할 필요가 없습니다. 구성에 가상 머신이 많은 경우 영향을 받는 모든 IP 주소를 지정하기 어려울 수 있습니다. 구성을 유지 관리하면 서버 수가 변경될 수 있습니다. 이러한 변경 내용을 적용하려면 보안 규칙에서 다른 IP 주소를 지원하는 방법을 수정해야 할 수 있습니다.

  • 서브넷을 사용하지 않는 것을 고려합니다. 가상 머신을 애플리케이션 보안 그룹으로 구성하면 특정 서브넷을 통해 서버를 배포할 필요가 없습니다. 애플리케이션 및 목적에 따라 서버를 정렬하여 논리적 그룹화를 수행할 수 있습니다.

  • 간소화된 규칙을 고려합니다. 애플리케이션 보안 그룹을 사용하면 여러 규칙 집합이 필요하지 않습니다. 각 가상 머신에 대해 별도의 규칙을 만들 필요가 없습니다. 지정된 애플리케이션 보안 그룹에 동적으로 새 규칙을 적용할 수 있습니다. 새 보안 규칙은 애플리케이션 보안 그룹의 모든 VM에 자동으로 적용됩니다.

  • 워크로드 지원을 고려합니다. 애플리케이션 보안 그룹을 구현하는 구성은 조직이 워크로드 사용량을 기반으로 하기 때문에 쉽게 유지 관리하고 이해할 수 있습니다. 애플리케이션 보안 그룹은 애플리케이션, 서비스, 데이터 스토리지 및 워크로드에 대한 논리적 준비를 제공합니다.