Azure Firewall, Azure Firewall Manager 및 방화벽 정책을 계획, 구현, 관리합니다.
Azure Firewall은 Azure에서 실행되는 클라우드 워크로드에 대해 동급 최강의 위협 보호를 제공하는 클라우드 네이티브 및 지능형 네트워크 방화벽 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 동서 및 남북 트래픽 검사를 모두 제공합니다.
Azure Firewall은 Standard, Premium 및 Basic의 세 가지 SKU로 제공됩니다.
Azure Firewall Standard
Azure Firewall Standard는 Microsoft Cyber Security에서 직접 계층 3~7(L3-L7) 필터링 및 위협 인텔리전스 피드를 제공합니다. 위협 인텔리전스 기반 필터링은 새로운 공격으로부터 보호하기 위해 실시간으로 업데이트되는 알려진 악성 IP 주소 및 도메인에 대한 트래픽을 경고하고 거부할 수 있습니다.
Azure Firewall 프리미엄
Azure Firewall Premium은 특정 패턴을 찾아 공격을 신속하게 검색할 수 있는 서명 기반 IDPS(침입 검색 및 방지 시스템)를 포함한 고급 기능을 제공합니다. 이러한 패턴에는 네트워크 트래픽의 바이트 시퀀스 또는 맬웨어에서 사용하는 알려진 악성 명령 시퀀스가 포함될 수 있습니다. 50개 이상의 범주에 67,000개 넘는 서명이 있으며, 이 시그니처는 새롭게 등장하는 악용으로부터 보호하기 위해 실시간으로 업데이트됩니다. 악용 범주에는 맬웨어, 피싱, 코인 마이닝 및 트로이 목마 공격이 포함됩니다.
Azure Firewall Basic
Azure Firewall Basic은 SMB(중소 규모) 고객이 Azure 클라우드 환경을 보호하기 위한 용도로 사용합니다. 저렴한 가격대에서 고객이 필요로 하는 필수 보호 SMB를 제공합니다.
Azure Firewall 기본은 Firewall 표준과 비슷하지만 다음과 같은 주요 제한 사항이 있습니다.
- 위협 인텔 경고 모드만 지원합니다.
- 두 개의 가상 머신 백 엔드 인스턴스에서 서비스를 실행하는 배율 단위가 수정되었습니다.
- 예상 처리량이 250Mbps인 환경에 권장됩니다.
Azure Firewall Manager
Azure Firewall Manager는 클라우드 기반 보안 경계에 대한 중앙 보안 정책 및 경로 관리를 제공하는 보안 관리 서비스입니다.
Firewall Manager는 다음 두 가지 네트워크 아키텍처 유형에 대한 보안 관리를 제공할 수 있습니다.
보안 가상 허브
Azure Virtual WAN 허브는 허브 및 스포크 아키텍처를 쉽게 만들 수 있게 해주는 Microsoft 관리되는 리소스입니다. 보안 및 라우팅 정책이 이러한 허브와 연결된 경우에는 해당 허브를 보안 가상 허브라고도 합니다.
허브 가상 네트워크
이는 사용자가 직접 만들고 관리하는 표준 Azure 가상 네트워크입니다. 이러한 허브와 연결된 보안 정책을 보안 가상 허브라고도 합니다. 지금은 Azure Firewall Policy만 지원됩니다. 워크로드 서버 및 서비스가 포함된 스포크 가상 네트워크를 피어링할 수 있습니다. 어떤 스포크에도 피어링되지 않는 독립 실행형 가상 네트워크에서 방화벽을 관리할 수도 있습니다.
Azure Firewall Manager 기능
Azure Firewall Manager는 다음과 같은 기능을 제공합니다.
중앙 Azure Firewall 배포 및 구성
여러 다른 Azure 지역 및 구독에 걸쳐 있는 여러 Azure Firewall 인스턴스를 중앙에서 배포하고 구성할 수 있습니다.
계층 구조 정책(글로벌 및 로컬)
Azure Firewall Manager를 사용하여 여러 보안 가상 허브에서 Azure Firewall 정책을 중앙에서 관리할 수 있습니다. 중앙의 IT 팀은 글로벌 방화벽 정책을 작성하여 팀 간에 조직 전체 방화벽 정책을 적용할 수 있습니다. 로컬로 작성된 방화벽 정책을 사용하면 DevOps 셀프 서비스 모델을 사용하여 민첩성을 강화할 수 있습니다.
고급 보안을 위해 타사 Security-as-a-Service와 통합
Azure Firewall 외에도 타사의 SECaaS(Security as a Service) 공급자를 통합하여 VNet 및 분기 인터넷 연결에 대한 추가 네트워크 보호를 제공할 수 있습니다.
이 기능은 보안 가상 허브 배포에만 사용할 수 있습니다.
V2I(VNet과 인터넷 간) 트래픽 필터링
- 선호하는 타사 보안 공급자를 사용하여 아웃바운드 가상 네트워크 트래픽을 필터링합니다.
- Azure에서 실행되는 클라우드 워크로드에 고급 사용자 인식 인터넷 보호를 활용합니다.
- 선호하는 타사 보안 공급자를 사용하여 아웃바운드 가상 네트워크 트래픽을 필터링합니다.
B2I(분기와 인터넷 간) 트래픽 필터링
Azure 연결 및 글로벌 배포를 활용하여 분기와 인터넷 간 시나리오에 대해 타사 필터링을 쉽게 추가할 수 있습니다.
중앙 집중식 경로 관리
스포크 가상 네트워크에서 UDR(사용자 정의 경로)을 수동으로 설정하지 않고도 필터링 및 로깅을 위해 보안 허브로 트래픽을 쉽게 라우팅할 수 있습니다.
이 기능은 보안 가상 허브 배포에만 사용할 수 있습니다.
B2I(분기와 인터넷 간) 트래픽 필터링을 위한 타사 공급자를 B2V(분기와 VNet 간), V2V(VNet 간) 및 V2I(VNet과 인터넷 간)를 위한 Azure Firewall과 함께 사용할 수 있습니다.
DDoS 보호 계획
Azure Firewall Manager 내에서 가상 네트워크를 DDoS 보호 계획과 연결할 수 있습니다. 자세한 내용은 Azure Firewall Manager를 사용하여 Azure DDoS Protection 계획 구성을 참조하세요.
Web Application Firewall 정책 관리
Azure Front Door 및 Azure Application Gateway를 포함하여 애플리케이션 제공 플랫폼에 대한 WAF(Web Application Firewall) 정책을 중앙에서 만들고 연결할 수 있습니다. 자세한 내용은 Web Application Firewall 정책 관리를 참조하세요.
사용 가능 지역
Azure Firewall 정책은 여러 지역에 걸쳐 사용할 수 있습니다. 예를 들어, 미국 서부에서 만든 정책을 미국 동부에서 사용할 수 있습니다.