다음을 통해 공유

Azure Cosmos DB 계정에 대한 네트워크 보안 경계 구성

  • 아티클

적용 대상: NoSQL

이 문서에서는 Azure Cosmos DB 계정에서 네트워크 보안 경계를 구성하는 방법을 설명합니다.

Important

네트워크 보안 경계는 공개 미리 보기로 제공됩니다. 해당 기능은 별도의 서비스 수준 규약 없이 이용할 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.

기능 개요

네트워크 관리자는 Azure 네트워크 보안 경계를 사용하여 Azure Cosmos DB 계정과 Keyvault, SQL 및 기타 서비스 간의 통신을 허용하는 PaaS 서비스에 대한 네트워크 격리 경계를 정의할 수 있습니다. Azure 서비스에 대한 공용 액세스 보안은 다음과 같은 여러 가지 방법으로 수행할 수 있습니다.

  • 인바운드 연결 보안: 경계 내 리소스에 대한 수신 액세스 권한을 명시적으로 부여하여 Azure Cosmos DB 계정의 공개 노출을 제한합니다. 기본적으로 권한 없는 네트워크의 액세스가 거부되고 프라이빗 엔드포인트에서 구독의 경계 또는 리소스로의 액세스를 구성할 수 있습니다.
  • 서비스 간 통신 보안: 경계 내의 모든 리소스는 경계 내의 다른 리소스와 통신하여 데이터 반출을 방지할 수 있습니다.
  • 아웃바운드 연결 보안: 네트워크 보안 경계가 대상 테넌트 관리하지 않는 경우 한 테넌트에서 다른 테넌트로 데이터를 복사하려고 할 때 액세스를 차단합니다. 액세스 권한은 FQDN 또는 다른 네트워크 경계의 액세스에 따라 부여됩니다. 다른 모든 액세스 시도가 거부됩니다.

네트워크 서비스 경계를 보여 주는 스크린샷

이러한 모든 통신은 네트워크 보안 경계가 설정되면 자동으로 처리되며 사용자는 이를 관리할 필요가 없습니다. 통신을 사용하거나 가상 네트워크를 구성하기 위해 각 리소스에 대한 프라이빗 엔드포인트를 설정하는 대신 최상위 수준의 네트워크 보안 경계를 통해 이 기능을 사용할 수 있습니다.

참고 항목

Azure 네트워크 보안 경계는 경계 내의 프라이빗 리소스에 대한 액세스를 허용하는 프라이빗 엔드포인트 및 관리되는 VNet 제품이 경계 내의 리소스에 액세스할 수 있도록 하는 VNet 주입을 포함하여 현재 현재 적용된 기능을 보완합니다. 현재 Azure 네트워크 보안 경계, CMK(고객 관리형 키) 및 분석 저장소, 모든 버전 및 삭제 변경 피드 모드, 구체화된 뷰 및 특정 시점 복원과 같은 로그 저장소 기능의 조합은 지원되지 않습니다. Azure 네트워크 보안 경계를 사용하여 CMK 지원 계정에서 복원을 수행해야 하는 경우 키 자격 증명 모음의 경계 설정을 일시적으로 완화하여 Cosmos DB 계정에서 키에 액세스할 수 있도록 해야 합니다.

시작

Important

네트워크 보안 경계 를 설정하기 전에 Azure에서 관리 ID를 만듭니다.

  • Azure Portal의 리소스 목록에서 네트워크 보안 경계를 검색하고 만들기 +를 선택합니다.
  • 리소스 목록에서 경계와 연결할 리소스를 선택합니다.
  • 인바운드 액세스 규칙을 추가합니다. 원본 유형은 IP 주소 또는 구독일 수 있습니다.
  • 경계 내의 리소스가 인터넷 및 경계 외부의 리소스에 연결할 수 있도록 아웃바운드 액세스 규칙을 추가합니다.

기존 Azure Cosmos DB 계정이 있고 보안 경계를 추가하려는 경우:

  • 설정에서 네트워킹 선택

Azure 리소스에 NSP를 추가하는 방법을 보여 주는 스크린샷

  • 그런 다음 NSP 연결을 선택하여 이 리소스를 네트워크 보안 경계와 연결하여 지정한 연결만 허용하도록 공용 액세스를 제한하면서 동일한 경계의 다른 Azure 리소스와 통신할 수 있도록 합니다.

다음 단계