이 섹션에서는 네트워크 제로 트러스트 구현을 구동하기 위해 랜딩 존 내에서 매우 안전한 내부 네트워크 분할을 제공하기 위한 주요 권장 사항을 살펴봅니다.
디자인 고려 사항
제로 트러스트 모델은 위반된 상태를 가정하고 각 요청이 제어되지 않는 네트워크에서 발생하는 것처럼 확인합니다.
고급 제로 트러스트 네트워크 구현은 완전히 분산된 수신 및 송신 클라우드 마이크로 경계와 심층적인 마이크로 세분화를 사용합니다.
네트워크 보안 그룹(NSG)은 Azure 서비스 태그를 사용할 수 있으며, 이를 통해 Azure PaaS(Platform as a Service) 솔루션에의 연결을 용이하게 할 수 있습니다.
ASG(애플리케이션 보안 그룹)는 가상 네트워크 전체에 걸치거나 그들을 보호하지 않습니다.
가상 네트워크 흐름 로그 사용하여 가상 네트워크를 통해 흐르는 트래픽을 검사합니다. 가상 네트워크 흐름 로그는 NSG 흐름 로그와 유사하지만 더 광범위한 사용 사례를 포함하는 기능을 제공합니다. 또한 가상 네트워크 수준에서 로깅을 사용하도록 설정할 수 있으므로 트래픽 모니터링 범위를 간소화합니다.
참고
2027년 9월 30일에 NSG(네트워크 보안 그룹) 흐름 로그가 사용 중지됩니다. 이 사용 중지의 일환으로 2025년 6월 30일부터 더 이상 새 NSG 흐름 로그를 만들 수 없습니다. NSG 흐름 로그의 제한 사항을 극복하는 가상 네트워크 흐름 로그 마이그레이션하는 것이 좋습니다. 사용 중지 날짜 이후에는 NSG 흐름 로그로 사용하도록 설정된 트래픽 분석이 더 이상 지원되지 않으며 구독의 기존 NSG 흐름 로그 리소스가 삭제됩니다. 그러나 NSG 흐름 로그 레코드는 삭제되지 않으며 해당 보존 정책을 계속 따릅니다. 자세한 내용은 사용 중지 알림참조하세요.
디자인 권장 사항
서브넷 만들기를 랜딩 존 소유자에게 위임합니다. 이렇게 하면 서브넷 간에 워크로드를 분할하는 방법을 정의할 수 있습니다(예: 단일 대형 서브넷, 다중 계층 애플리케이션 또는 네트워크 삽입 애플리케이션). 플랫폼 팀은 Azure Policy를 사용하여 특정 규칙이 있는 NSG(예: 인터넷에서 인바운드 SSH 또는 RDP 거부 또는 랜딩 존 간 트래픽 허용/차단)가 항상 거부 전용 정책이 있는 서브넷과 연결되도록 할 수 있습니다.
NSG를 사용하여 플랫폼 전체의 서브넷 및 동/서부 트래픽(랜딩 존 간 트래픽)을 보호합니다.
애플리케이션 팀은 서브넷 수준 NSG에서 애플리케이션 보안 그룹을 사용하여 랜딩 존 내의 다계층 VM을 보호해야 합니다.
애플리케이션 보안 그룹의 작동 방식을 보여주는 다이어그램
NSG 및 애플리케이션 보안 그룹을 사용하여 랜딩 존 내에서 트래픽을 마이크로 분할하고 중앙 NVA를 사용하여 트래픽 흐름을 필터링하지 마세요.
가상 네트워크 흐름 로그를 활성화하고 트래픽 분석을 사용하여 송수신 트래픽 흐름에 대한 인사이트를 얻으세요. 구독의 모든 중요한 가상 네트워크 및 서브넷(예: Windows Server Active Directory 도메인 컨트롤러 또는 중요한 데이터 저장소를 포함하는 가상 네트워크 및 서브넷)에서 흐름 로그를 사용하도록 설정합니다. 또한 흐름 로그를 사용하여 잠재적인 보안 인시던트, 규정 준수 및 모니터링을 검색 및 조사하고 사용량을 최적화할 수 있습니다.
현재 NSG 흐름 로그 구성을 계획하고 가상 네트워크 흐름 로그로 마이그레이션합니다. NSG 흐름 로그 마이그레이션을 참조하세요.
NSG를 사용하여 랜딩 존 간의 연결을 선택적으로 허용합니다.
Virtual WAN 토폴로지의 경우 조직에서 랜딩 존 간에 흐르는 트래픽에 대한 필터링 및 로깅 기능이 필요한 경우 Azure Firewall을 통해 랜딩 존 간에 트래픽을 라우팅합니다.
조직에서 온-프레미스에 기본 경로를 광고하는 강제 터널링을 구현하기로 결정한 경우, BGP 세션이 끊어졌을 경우 VNet에서 인터넷으로 직접 송신 트래픽을 거부하도록 다음 아웃바운드 NSG 규칙을 통합하는 것이 좋습니다.
참고
규칙 우선 순위는 기존 NSG 규칙 집합에 따라 조정되어야 합니다.
| 우선 순위 | 이름 | 원본 | 목적지 | 서비스 | 행동 | 주석 |
|---|---|---|---|---|---|---|
| 100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
정상 작업 중에 트래픽을 허용합니다. 강제 터널링을 사용하도록 설정하면 BGP가 ExpressRoute 또는 VPN Gateway로 이를 광고하는 동안 0.0.0.0/0는 VirtualNetwork 태그의 일부로 간주됩니다. |
| 110 | DenyInternet |
Any |
Internet |
Any |
Deny |
0.0.0.0/0 경로가 광고된 경로에서 철회되는 경우(예: 중단 또는 잘못된 구성으로 인해) 인터넷으로의 직접 트래픽을 거부합니다. |
주의
가상 네트워크에 삽입할 수 있는 Azure PaaS 서비스는 강제 터널링과 호환되지 않을 수 있습니다. 제어 평면 작업을 수행 시 서비스가 올바르게 작동하려면 특정 공용 IP 주소에 직접 연결해야 할 수 있습니다. 네트워킹 요구 사항에 대한 특정 서비스 문서를 확인하고, 최종적으로는 서비스 서브넷을 기본 경로 전파에서 제외하는 것이 좋습니다. UDR의 서비스 태그는 특정 서비스 태그가 제공되는 경우에만 기본 경로를 우회하고 제어 평면 트래픽만 리디렉션하는 데 사용할 수 있습니다.