1. 외부 소스에서 들어올 수 있는 트래픽 제어
Azure Firewall을 사용하여 가상 네트워크 보호
방화벽: 들어오고 나가는 네트워크 트래픽을 모니터링하고 정의된 보안 규칙에 따라 특정 트래픽을 허용할지 아니면 차단할지를 결정하는 네트워크 보안 디바이스
Azure Firewall
- Azure Virtual Network의 리소스 보호에 도움이 되는 관리형 클라우드 기반 네트워크 보안 서비스
- '상태 저장' 방화벽. 네트워크 트래픽의 개별 패킷뿐만 아니라 네트워크 연결의 전체 컨텍스트 분석
- 고가용성과 제약 없는 클라우드 스케일링 성능이 특징
- 구독 및 가상 네트워크 전반에서 애플리케이션 및 네트워크 연결 정책을 만들고 적용하고 기록하는 중앙 위치 제공
- Azure Firewall은 가상 네트워크 리소스에 대한 고정적인(변경되지 않는) 공용 IP 주소를 사용
기능
- 기본 제공되는 고가용성
- 제약 없는 클라우드 스케일링 성능
- 인바운드 및 아웃바운드 필터링 규칙
- 인바운드 DNAT(Destination Network Address Translation) 지원
- Azure Monitor 로깅이 가능
2. Azure DDos Protection을 사용하여 DDos 공격으로부터 보호
DDos 공격
- DDos 공격은 애플리케이션의 리소스에 과도한 부하를 걸어 고갈시키고 합법적인 사용자에게 애플리케이션이 느리게 응답하거나 응답하지 않게 만드는 공격
Azure DDos Protection
- DDos 공격으로부터 Azure 리소스를 보호하는 데 도움 됨
- 네트워크에 과도한 부하를 걸려고 하는 공격자의 시도를 식별하고 해당 트래픽이 Azure 리소스에 도달하는 것을 차단
- 클라우드 소비량을 관리하는 데에도 도움
- DDoS 공격 중에 늘어난 리소스에 대해 발생하는 모든 비용에 대한 크레딧을 받을 수도 있음
서비스 계층
DDoS Protection은 다음 서비스 계층을 제공
- 기본: Azure 구독의 일부로 무료로 사용하도록 자동 설정
- Standard: Azure Virtual Network 리소스에 맞게 특별히 조정된 추가적인 완화 기능을 제공
내부 네트워크 보호
네트워크 보안 그룹
- Azure Virtual Network 내에서 Azure 리소스와 주고받는 네트워크 트래픽을 필터링 가능
- 내부 방화벽
- 각 NSG에는 원본 대상 IP 주소, 포트 및 프로토콜을 기준으로 리소스와 주고 받는 트래픽을 필터링할 수 있는 인바운드&아웃바운드 보안 규칙 포함 가능
NSG 규칙 지정
네트워크 보안 그룹 보안 규칙은 트래픽을 허용하거나 거부하는 5-tuple 정보를 사용하여 우선 순위에 따라 평가 됨(source, source port, dest, dest port, protocol)