MS Learn 파트 4-2 :: Azure의 보안 네트워크 연결 (AZ-900)

1. 외부 소스에서 들어올 수 있는 트래픽 제어

Azure Firewall을 사용하여 가상 네트워크 보호

방화벽: 들어오고 나가는 네트워크 트래픽을 모니터링하고 정의된 보안 규칙에 따라 특정 트래픽을 허용할지 아니면 차단할지를 결정하는 네트워크 보안 디바이스

Azure Firewall

• Azure Virtual Network의 리소스 보호에 도움이 되는 관리형 클라우드 기반 네트워크 보안 서비스
• '상태 저장' 방화벽. 네트워크 트래픽의 개별 패킷뿐만 아니라 네트워크 연결의 전체 컨텍스트 분석
• 고가용성과 제약 없는 클라우드 스케일링 성능이 특징
• 구독 및 가상 네트워크 전반에서 애플리케이션 및 네트워크 연결 정책을 만들고 적용하고 기록하는 중앙 위치 제공
• Azure Firewall은 가상 네트워크 리소스에 대한 고정적인(변경되지 않는) 공용 IP 주소를 사용

기능

• 기본 제공되는 고가용성
• 제약 없는 클라우드 스케일링 성능
• 인바운드 및 아웃바운드 필터링 규칙
• 인바운드 DNAT(Destination Network Address Translation) 지원
• Azure Monitor 로깅이 가능

2. Azure DDos Protection을 사용하여 DDos 공격으로부터 보호

DDos 공격

• DDos 공격은 애플리케이션의 리소스에 과도한 부하를 걸어 고갈시키고 합법적인 사용자에게 애플리케이션이 느리게 응답하거나 응답하지 않게 만드는 공격

Azure DDos Protection

• DDos 공격으로부터 Azure 리소스를 보호하는 데 도움 됨
• 네트워크에 과도한 부하를 걸려고 하는 공격자의 시도를 식별하고 해당 트래픽이 Azure 리소스에 도달하는 것을 차단
• 클라우드 소비량을 관리하는 데에도 도움
• DDoS 공격 중에 늘어난 리소스에 대해 발생하는 모든 비용에 대한 크레딧을 받을 수도 있음

서비스 계층

DDoS Protection은 다음 서비스 계층을 제공

• 기본: Azure 구독의 일부로 무료로 사용하도록 자동 설정
• Standard: Azure Virtual Network 리소스에 맞게 특별히 조정된 추가적인 완화 기능을 제공

내부 네트워크 보호

네트워크 보안 그룹

• Azure Virtual Network 내에서 Azure 리소스와 주고받는 네트워크 트래픽을 필터링 가능
• 내부 방화벽
• 각 NSG에는 원본 대상 IP 주소, 포트 및 프로토콜을 기준으로 리소스와 주고 받는 트래픽을 필터링할 수 있는 인바운드&아웃바운드 보안 규칙 포함 가능

NSG 규칙 지정

네트워크 보안 그룹 보안 규칙은 트래픽을 허용하거나 거부하는 5-tuple 정보를 사용하여 우선 순위에 따라 평가 됨(source, source port, dest, dest port, protocol)