네트워크 보안 경계를 사용하여 Azure Monitor 구성(미리 보기)
이 문서에서는 Azure Monitor 리소스에 대한 NSP(네트워크 보안 경계) 를 구성하는 프로세스를 제공합니다. 네트워크 보안 경계는 가상 네트워크 외부에 배포된 PaaS 서비스 간의 통신을 위한 보안 경계를 제공하는 네트워크 격리 기능입니다. 이러한 PaaS 서비스는 경계 내에서 서로 통신할 수 있으며 공용 인바운드 및 아웃바운드 액세스 규칙을 사용하여 경계 외부의 리소스와 통신할 수도 있습니다.
네트워크 보안 경계를 사용하면 지원되는 Azure Monitor 리소스에서 네트워크 격리 설정을 사용하여 네트워크 액세스를 제어할 수 있습니다. 네트워크 보안 경계가 구성되면 다음 작업을 수행할 수 있습니다.
- NSP에 정의된 인바운드 및 아웃바운드 액세스 규칙에 따라 지원되는 Azure Monitor 리소스에 대한 네트워크 액세스를 제어합니다.
- 지원되는 Azure Monitor 리소스에 대한 모든 네트워크 액세스를 기록합니다.
- NSP에 없는 서비스에 대한 데이터 반출을 차단합니다.
지역
Azure 네트워크 보안 경계는 현재 공개 미리 보기로 제공됩니다. Azure Monitor의 네트워크 보안 경계 기능은 현재 다음 6개 지역에서 사용할 수 있습니다.
- 미국 동부
- 미국 동부 2
- 미국 중북부
- 미국 중남부
- 미국 서부
- 미국 서부 2
지원되는 구성 요소
네트워크 보안 경계에서 지원되는 Azure Monitor의 구성 요소는 다음 표에 최소 API 버전으로 나열되어 있습니다.
| 리소스 | 리소스 종류 | API 버전 |
|---|---|---|
| DCE(데이터 수집 엔드포인트) | Microsoft.Insights/dataCollectionEndpoints | 2023-03-11 |
| Log Analytics 작업 영역 | Microsoft.OperationalInsights/workspaces | 2023-09-01 |
| 로그 쿼리 경고 | Microsoft.Insights/ScheduledQueryRules | 2022-08-01-preview |
| 작업 그룹 1 2 | Microsoft.Insights/actionGroups | 2023-05-01 |
1 NSP는 지역 작업 그룹에서만 작동합니다. 전역 작업 그룹은 기본적으로 공용 네트워크 액세스로 설정됩니다.
2 오늘 Eventhub는 NSP에 대해 유일하게 지원되는 작업 유형입니다. 다른 모든 작업은 기본적으로 공용 네트워크 액세스로 설정됩니다.
Azure Monitor 의 다음 구성 요소는 네트워크 보안 경계에서 지원되지 않습니다 .
- .NET 및 스냅샷 디버거용 Application Insights Profiler
- Log Analytics 고객 관리형 키
- NSP와 연결된 Log Analytics 작업 영역을 포함하는 리소스 간 쿼리
참고 항목
Application Insights의 경우 Application Insights 리소스에 사용되는 Log Analytics 작업 영역에 대해 NSP를 구성합니다.
네트워크 보안 경계 만들기
Azure Portal, Azure CLI 또는 PowerShell을 사용하여 네트워크 보안 경계를 만듭니다.
네트워크 보안 경계에 Log Analytics 작업 영역 추가
Azure Portal의 네트워크 보안 경계 메뉴에서 네트워크 보안 경계를 선택합니다.
리소스를 선택한 다음, 리소스를 기존 프로필과 연결>합니다.
Log Analytics 작업 영역 리소스와 연결할 프로필을 선택합니다.
연결을 선택한 다음 Log Analytics 작업 영역을 선택합니다.
화면의 왼쪽 아래 섹션에서 연결을 선택하여 NSP와의 연결을 만듭니다.
Important
리소스 그룹 또는 구독 간에 Log Analytics 작업 영역을 전송하는 경우 NSP(네트워크 보안 경계)에 연결하여 보안 정책을 유지합니다. 작업 영역이 삭제된 경우 NSP에서 해당 연결도 제거해야 합니다."
Log Analytics 작업 영역에 대한 액세스 규칙
NSP 프로필은 경계를 통한 액세스를 허용하거나 거부하는 규칙을 지정합니다. 경계 내에서 모든 리소스는 여전히 인증 및 권한 부여의 대상이 되지만 네트워크 수준에서 상호 액세스할 수 있습니다. NSP 외부의 리소스의 경우 인바운드 및 아웃바운드 액세스 규칙을 지정해야 합니다. 인바운드 규칙은 허용할 연결을 지정하고 아웃바운드 규칙은 허용되는 요청을 지정합니다.
참고 항목
네트워크 보안 경계와 연결된 모든 서비스는 관리 ID 및 역할 할당을 사용하여 해당 액세스가 인증될 때 동일한 네트워크 보안 경계와 연결된 다른 서비스에 대한 인바운드 및 아웃바운드 액세스를 암시적으로 허용합니다. 액세스 규칙은 네트워크 보안 경계 외부에서 액세스를 허용하거나 API 키를 사용하여 인증된 액세스에 대해서만 만들어야 합니다.
NSP 인바운드 액세스 규칙 추가
NSP 인바운드 액세스 규칙은 경계 외부의 인터넷 및 리소스가 경계 내의 리소스와 연결할 수 있도록 허용할 수 있습니다.
NSP는 다음 두 가지 유형의 인바운드 액세스 규칙을 지원합니다.
- IP 주소 범위입니다. IP 주소 또는 범위는 클래스리스 CIDR(도메인 간 라우팅) 형식이어야 합니다. CIDR 표기법의 예로는 8.8.8.0/24가 있습니다. 이는 8.8.8.0에서 8.8.8.255까지 범위의 IP를 나타냅니다. 이 유형의 규칙은 범위의 모든 IP 주소에서 인바운드를 허용합니다.
- 구독. 이 유형의 규칙은 구독의 관리 ID를 사용하여 인증된 인바운드 액세스를 허용합니다.
다음 프로세스를 사용하여 Azure Portal을 사용하여 NSP 인바운드 액세스 규칙을 추가합니다.
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
프로필을 선택한 다음, NSP에서 사용 중인 프로필을 선택합니다.
인바운드 액세스 규칙을 선택합니다.
인바운드 액세스 규칙 추가 또는 추가를 클릭합니다. 다음 값을 입력하거나 선택합니다.
설정 값 규칙 이름 인바운드 액세스 규칙의 이름입니다. 예를 들어 MyInboundAccessRule입니다. 확보 경로 유형 유효한 값은 IP 주소 범위 또는 구독입니다. 허용되는 원본 IP 주소 범위를 선택한 경우 인바운드 액세스를 허용하려는 CIDR 형식으로 IP 주소 범위를 입력합니다. Azure IP 범위는 Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드에서 사용할 수 있습니다. 구독을 선택한 경우 인바운드 액세스를 허용하려는 구독을 사용합니다. 추가를 클릭하여 인바운드 액세스 규칙을 만듭니다.
NSP 아웃바운드 액세스 규칙 추가
Log Analytics 작업 영역의 데이터 내보내기를 사용하면 작업 영역 의 특정 테이블에 대한 데이터를 지속적으로 내보낼 수 있습니다. 데이터가 Azure Monitor 파이프라인에 도착하면 Azure Storage 계정 또는 Azure Event Hubs로 내보낼 수 있습니다.
보안 경계 내의 Log Analytics 작업 영역은 동일한 경계의 스토리지 및 이벤트 허브에만 연결할 수 있습니다. 다른 대상에는 대상의 FQDN(정규화된 도메인 이름)을 기반으로 하는 아웃바운드 액세스 규칙이 필요합니다. 예를 들어 네트워크 보안 경계와 연결된 모든 서비스에서 mystorageaccount.blob.core.windows.net 같은 FQDN으로 아웃바운드 액세스를 허용합니다.
다음 프로세스를 사용하여 Azure Portal을 사용하여 NSP 아웃바운드 액세스 규칙을 추가합니다.
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
프로필을 선택한 다음, NSP에서 사용 중인 프로필을 선택합니다.
아웃바운드 액세스 규칙을 선택합니다.
아웃바운드 액세스 규칙 추가 또는 추가를 클릭합니다. 다음 값을 입력하거나 선택합니다.
설정 값 규칙 이름 아웃바운드 액세스 규칙의 이름입니다. 예를 들어 MyOutboundAccessRule입니다. 대상 형식 FQDN으로 둡니다. 허용되는 대상 아웃바운드 액세스를 허용하려는 FQDN의 쉼표로 구분된 목록을 입력합니다. 추가를 선택하여 아웃바운드 액세스 규칙을 만듭니다.
다음 단계
- Azure의 네트워크 보안 경계에 대해 자세히 알아보세요.