새소식

자격증/Azure

MS Learn 파트 4-2 :: Azure의 보안 네트워크 연결 (AZ-900)

  • -

1. 외부 소스에서 들어올 수 있는 트래픽 제어

Azure Firewall을 사용하여 가상 네트워크 보호

방화벽: 들어오고 나가는 네트워크 트래픽을 모니터링하고 정의된 보안 규칙에 따라 특정 트래픽을 허용할지 아니면 차단할지를 결정하는 네트워크 보안 디바이스

Azure Firewall

  • Azure Virtual Network의 리소스 보호에 도움이 되는 관리형 클라우드 기반 네트워크 보안 서비스
  • '상태 저장' 방화벽. 네트워크 트래픽의 개별 패킷뿐만 아니라 네트워크 연결의 전체 컨텍스트 분석
  • 고가용성과 제약 없는 클라우드 스케일링 성능이 특징
  • 구독 및 가상 네트워크 전반에서 애플리케이션 및 네트워크 연결 정책을 만들고 적용하고 기록하는 중앙 위치 제공
  • Azure Firewall은 가상 네트워크 리소스에 대한 고정적인(변경되지 않는) 공용 IP 주소를 사용

기능

  • 기본 제공되는 고가용성
  • 제약 없는 클라우드 스케일링 성능
  • 인바운드 및 아웃바운드 필터링 규칙
  • 인바운드 DNAT(Destination Network Address Translation) 지원
  • Azure Monitor 로깅이 가능

2. Azure DDos Protection을 사용하여 DDos 공격으로부터 보호

DDos 공격

  • DDos 공격은 애플리케이션의 리소스에 과도한 부하를 걸어 고갈시키고 합법적인 사용자에게 애플리케이션이 느리게 응답하거나 응답하지 않게 만드는 공격

Azure DDos Protection

  • DDos 공격으로부터 Azure 리소스를 보호하는 데 도움 됨
  • 네트워크에 과도한 부하를 걸려고 하는 공격자의 시도를 식별하고 해당 트래픽이 Azure 리소스에 도달하는 것을 차단
  • 클라우드 소비량을 관리하는 데에도 도움
  • DDoS 공격 중에 늘어난 리소스에 대해 발생하는 모든 비용에 대한 크레딧을 받을 수도 있음

서비스 계층

DDoS Protection은 다음 서비스 계층을 제공

  • 기본: Azure 구독의 일부로 무료로 사용하도록 자동 설정
  • Standard: Azure Virtual Network 리소스에 맞게 특별히 조정된 추가적인 완화 기능을 제공

내부 네트워크 보호

네트워크 보안 그룹

  • Azure Virtual Network 내에서 Azure 리소스와 주고받는 네트워크 트래픽을 필터링 가능
  • 내부 방화벽
  • 각 NSG에는 원본 대상 IP 주소, 포트 및 프로토콜을 기준으로 리소스와 주고 받는 트래픽을 필터링할 수 있는 인바운드&아웃바운드 보안 규칙 포함 가능

NSG 규칙 지정

네트워크 보안 그룹 보안 규칙은 트래픽을 허용하거나 거부하는 5-tuple 정보를 사용하여 우선 순위에 따라 평가 됨(source, source port, dest, dest port, protocol)

Contents

포스팅 주소를 복사했습니다

이 글이 도움이 되었다면 공감 부탁드립니다.