Azure Key Vault 방화벽 및 가상 네트워크 구성

이 문서에서는 Azure Key Vault 방화벽에 대한 다양한 구성에 대해 자세히 설명합니다. 이러한 설정을 구성하는 방법에 대한 단계별 지침을 따르려면 Azure Key Vault 네트워킹 설정 구성을 참조하세요.

자세한 내용은 Azure Key Vault의 가상 네트워크 서비스 엔드포인트를 참조하세요.

방화벽 설정

이 섹션에서는 Azure Key Vault 방화벽을 구성할 수 있는 다양한 방법을 설명합니다.

Key Vault 방화벽 사용 안 함(기본값)

기본적으로 새 키 자격 증명 모음을 만들 때 Azure Key Vault 방화벽이 사용하지 않도록 설정됩니다. 모든 애플리케이션 및 Azure 서비스는 키 자격 증명 모음에 액세스하고 키 자격 증명 모음으로 요청을 보낼 수 있습니다. 이 구성은 모든 사용자가 키 자격 증명 모음에 대한 작업을 수행할 수 있다는 의미는 아닙니다. 키 자격 증명 모음은 Microsoft Entra 인증 및 액세스 정책 권한을 요구하여 키 자격 증명 모음에 저장된 비밀, 키 및 인증서에 대한 액세스를 계속 제한합니다. 키 자격 증명 모음 인증을 자세히 이해하려면 Azure Key Vault에서 인증을 참조하세요. 자세한 내용은 방화벽 뒤에 있는 Azure Key Vault에 액세스를 참조하세요.

Key Vault 방화벽 사용(신뢰할 수 있는 서비스만 해당)

Key Vault 방화벽을 사용하도록 설정하면 '신뢰할 수 있는 Microsoft 서비스가 이 방화벽을 무시하도록 허용'하는 옵션이 제공됩니다. Azure 서비스 중 일부는 신뢰할 수 있는 서비스 목록에 없습니다. 예를 들어, Azure DevOps는 신뢰할 수 있는 서비스 목록에 없습니다. 신뢰할 수 있는 서비스 목록에 없는 서비스는 신뢰할 수 없거나 안전하지 않다는 의미가 아닙니다. 신뢰할 수 있는 서비스 목록에는 서비스에서 실행되는 모든 코드를 Microsoft가 제어하는 서비스가 포함됩니다. 사용자가 Azure DevOps 같은 Azure 서비스에서 사용자 지정 코드를 작성할 수 있기 때문에 Microsoft에서는 서비스에 대한 전면적 승인을 만드는 옵션을 제공하지 않습니다. 뿐만 아니라 신뢰할 수 있는 서비스 목록에 표시된다고 해서 모든 시나리오에 허용되는 것은 아닙니다.

사용하려는 서비스가 신뢰할 수 있는 서비스 목록에 있는지 확인하려면 Azure Key Vault에 대한 가상 네트워크 서비스 엔드포인트를 참조하세요. 방법 가이드는 포털, Azure CLI 및 PowerShell에 대한 지침을 따르세요.

Key Vault 방화벽 사용(IPv4 주소 및 범위 - 고정 IP)

Key Vault 방화벽을 통해 키 자격 증명 모음에 액세스하도록 특정 서비스에 권한을 부여하려면 해당 IP 주소를 키 자격 증명 모음 방화벽 허용 목록에 추가하면 됩니다. 이 구성은 고정 IP 주소 또는 잘 알려진 범위를 사용하는 서비스에 가장 적합합니다. 이 경우에는 1,000개의 CIDR 범위 제한이 있습니다.

웹앱 또는 논리 앱과 같은 Azure 리소스의 IP 주소 또는 범위를 허용하려면 다음 단계를 수행합니다.

1. Azure Portal에 로그인합니다.
2. 리소스(서비스의 특정 인스턴스)를 선택합니다.
3. 설정에서 속성 블레이드를 선택합니다.
4. IP 주소 필드를 찾습니다.
5. 이 값 또는 범위를 복사하여 키 자격 증명 모음 방화벽 허용 목록에 입력합니다.

Key Vault 방화벽을 통해 전체 Azure 서비스를 허용하려면 여기서 Azure에 대해 공개적으로 문서화된 데이터 센터 IP 주소 목록을 사용합니다. 원하는 지역에서 원하는 서비스와 연결된 IP 주소를 찾고 해당 IP 주소를 키 자격 증명 모음 방화벽에 추가합니다.

Key Vault 방화벽 사용(가상 네트워크 - 동적 IP)

키 자격 증명 모음을 통해 가상 머신과 같은 Azure 리소스를 허용하려 할 때 고정 IP 주소를 사용하지 못할 수 있으며, Azure Virtual Machines의 일부 IP 주소만 키 자격 증명 모음에 액세스하도록 허용하려는 경우가 있습니다.

이 경우 가상 네트워크 내에서 리소스를 만든 다음, 특정 가상 네트워크 및 서브넷의 트래픽이 키 자격 증명 모음에 액세스하도록 허용해야 합니다.

1. Azure Portal에 로그인합니다.
2. 구성하려는 키 자격 증명 모음을 선택합니다.
3. '네트워킹' 블레이드를 선택합니다.
4. '+ 기존 가상 네트워크 추가'를 선택합니다.
5. 키 자격 증명 모음 방화벽을 통해 허용할 가상 네트워크 및 서브넷을 선택합니다.

Key Vault 방화벽 사용(프라이빗 링크)

키 자격 증명 모음에서 프라이빗 링크 연결을 구성하는 방법을 이해하려면 여기 문서를 참조하세요.

Important

방화벽 규칙이 적용되면 사용자의 요청이 허용되는 가상 네트워크 또는 IPv4 주소 범위에서 시작되는 경우에만 사용자는 Key Vault 데이터 평면 작업을 수행할 수 있습니다. Azure Portal에서 Key Vault에 액세스하는 경우도 마찬가지입니다. 사용자가 Azure Portal에서 키 자격 증명 모음으로 이동할 수 있다고 해도 해당 클라이언트 머신이 허용 목록에 없는 경우 키, 비밀 또는 인증서를 나열하지 못할 수 있습니다. 다른 Azure 서비스에서 사용하는 Key Vault 선택기도 마찬가지입니다. 방화벽 규칙이 사용자의 클라이언트 머신을 금지하는 경우 해당 사용자는 키 자격 증명 모음 목록을 확인할 수 있지만 키를 나열하지는 못합니다.

참고

다음과 같은 구성 제한 사항을 고려해야 합니다.

• 최대 200개 가상 네트워크 규칙 및 1,000개 IPv4 규칙이 허용됩니다.
• IP 네트워크 규칙은 공용 IP 주소에 대해서만 허용됩니다. 프라이빗 네트워크용으로 예약된 IP 주소 범위(RFC 1918에 정의)는 IP 규칙에서 허용되지 않습니다. 개인 네트워크에는 10., 172.16-31 및 192.168.로 시작하는 주소가 포함됩니다.
• 현재 IPv4 주소만 지원됩니다.

퍼블릭 액세스 사용 안 함(프라이빗 엔드포인트에만 해당)

네트워크 보안을 강화하기 위해 퍼블릭 액세스를 비활성화하도록 자격 증명 모음을 구성할 수 있습니다. 이렇게 하면 모든 공용 구성이 거부되고 프라이빗 엔드포인트를 통한 연결만 허용됩니다.

네트워크 보안 경계(미리 보기)

네트워크 보안 경계 (미리 보기)를 사용하면 조직에서 조직의 가상 네트워크 외부에 배포된 PaaS 리소스(예: Azure Key Vault, Azure Storage 및 SQL Database)에 대한 논리적 네트워크 격리 경계를 정의할 수 있습니다. 경계 외부의 PaaS 리소스에 대한 공용 네트워크 액세스를 제한하며, 공용 인바운드 및 아웃바운드에 대한 명시적 액세스 규칙을 사용하여 액세스를 면제할 수 있습니다.

현재 네트워크 보안 경계는 리소스의 하위 집합에 대한 공개 미리 보기로 제공됩니다. 온보딩된 프라이빗 링크 리소스 및 네트워크 보안 경계의 제한 사항을 참조하세요. 자세한 내용은 네트워크 보안 경계로의 전환을 참조 하세요.

Important

프라이빗 엔드포인트 트래픽은 매우 안전한 것으로 간주되므로 네트워크 보안 경계 규칙의 적용을 받지 않습니다. 키 자격 증명 모음이 경계와 연결된 경우 신뢰할 수 있는 서비스를 포함한 다른 모든 트래픽에는 네트워크 보안 경계 규칙이 적용됩니다.

네트워크 보안 경계를 사용하는 경우:

• 경계 내의 모든 리소스는 경계 내의 다른 리소스와 통신할 수 있습니다.
• 외부 액세스는 다음 컨트롤에서 사용할 수 있습니다.
  • 공용 인바운드 액세스는 원본 IP 주소, 구독과 같은 클라이언트의 네트워크 및 ID 특성을 사용하여 승인할 수 있습니다.
  • 공용 아웃바운드는 외부 대상의 FQDN(정규화된 도메인 이름)을 사용하여 승인할 수 있습니다.
• 진단 로그는 감사 및 규정 준수를 위해 경계 내의 PaaS 리소스에 대해 사용하도록 설정됩니다.

제한 사항 및 고려 사항

• 공용 네트워크 액세스를 사용 안 함으로 설정하면 신뢰할 수 있는 서비스가 계속 허용됩니다. 공용 네트워크 액세스를 경계별 보안으로 전환한 다음 신뢰할 수 있는 서비스를 허용하도록 구성된 경우에도 신뢰할 수 있는 서비스를 금지합니다.
• Azure Key Vault 방화벽 규칙은 데이터 평면 작업에만 적용됩니다. 컨트롤 플레인 작업에는 방화벽 규칙에 지정된 제한 사항이 적용되지 않습니다.
• Azure Portal과 같은 도구를 사용하여 데이터에 액세스하려면 네트워크 보안 규칙을 구성할 때 설정하는 신뢰할 수 있는 경계 내의 컴퓨터에 있어야 합니다.
• Azure Key Vault에는 아웃바운드 규칙의 개념이 없으며, 키 자격 증명 모음을 아웃바운드 규칙과 경계에 연결할 수 있지만 키 자격 증명 모음은 이를 사용하지 않습니다.

키 자격 증명 모음과 네트워크 보안 경계 연결 - Azure PowerShell

네트워크 보안 경계를 Azure PowerShell의 키 자격 증명 모음과 연결하려면 다음 지침을 따릅니다.

키 자격 증명 모음과 네트워크 보안 경계 연결 - Azure CLI

네트워크 보안 경계를 Azure CLI의 키 자격 증명 모음과 연결하려면 다음 지침을 따릅니다.

네트워크 보안 경계 액세스 모드

네트워크 보안 경계는 연결된 리소스에 대해 두 가지 액세스 모드를 지원합니다.

모드	설명
학습 모드	기본 액세스 모드입니다. 학습 모드에서 네트워크 보안 경계는 경계가 강제 모드인 경우 거부되었을 검색 서비스에 대한 모든 트래픽을 기록합니다. 이를 통해 네트워크 관리자는 액세스 규칙 적용을 구현하기 전에 검색 서비스의 기존 액세스 패턴을 이해할 수 있습니다.
적용 모드	적용 모드에서 네트워크 보안 경계는 액세스 규칙에 의해 명시적으로 허용되지 않는 모든 트래픽을 기록하고 거부합니다.

네트워크 보안 경계 및 키 자격 증명 모음 네트워킹 설정

이 설정은 publicNetworkAccess 키 자격 증명 모음과 네트워크 보안 경계의 연결을 결정합니다.

• 학습 모드에서 설정은 publicNetworkAccess 리소스에 대한 공용 액세스를 제어합니다.

• 적용 모드 publicNetworkAccess 에서 설정은 네트워크 보안 경계 규칙에 의해 재정의됩니다. 예를 들어 설정이 있는 publicNetworkAccess 검색 서비스가 적용 모드의 enabled 네트워크 보안 경계와 연결된 경우 검색 서비스에 대한 액세스는 여전히 네트워크 보안 경계 액세스 규칙에 의해 제어됩니다.

네트워크 보안 경계 액세스 모드 변경

1. 포털에서 네트워크 보안 경계 리소스로 이동합니다.

2. 왼쪽 메뉴에서 리소스를 선택합니다.

3. 테이블에서 키 자격 증명 모음을 찾습니다.

4. 검색 서비스 행의 맨 오른쪽에 있는 세 개의 점을 선택합니다. 팝업에서 액세스 모드 변경을 선택합니다.

5. 원하는 액세스 모드를 선택하고 적용을 선택합니다.

로깅 네트워크 액세스 사용

네트워크 보안 경계에 대한 진단 로그를 참조하세요.

참조

• ARM 템플릿 참조: Azure Key Vault ARM 템플릿 참조
• Azure CLI 명령: az keyvault network-rule
• Azure PowerShell cmdlet: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

다음 단계

• Key Vault의 가상 네트워크 서비스 엔드포인트
• Azure Key Vault 보안 개요