다음을 통해 공유

Azure Payment HSM 트래픽 검사

  • 아티클

Azure 결제 하드웨어 보안 모듈(결제 HSM 또는 PHSM)은 Azure 클라우드에서 실시간 및 중요한 결제 트랜잭션에 대한 암호화 키 작업을 제공하는 운영 체제 미설치 서비스입니다. 자세한 내용은 Azure Payment HSM이란?를 참조하세요.

Payment HSM이 배포되면 호스트 네트워크 인터페이스와 관리 네트워크 인터페이스가 함께 제공됩니다. 몇 가지 배포 시나리오가 있습니다.

  1. 동일한 VNet의 호스트 및 관리 포트 사용
  2. 다른 VNet의 호스트 및 관리 포트 사용
  3. 다른 VNet에 IP 주소가 있는 호스트 및 관리 포트 포함

위의 모든 시나리오에서 Payment HSM은 위임된 서브넷의 VNet 삽입 서비스입니다. hsmSubnetmanagementHsmSubnetMicrosoft.HardwareSecurityModules/dedicatedHSMs 서비스에 위임되어야 합니다.

Important

Payment HSM에 액세스해야 하는 모든 구독에 대해 FastPathEnabled 기능을 등록하고 승인해야 합니다. 또한 Payment HSM 위임 서브넷을 호스팅하는 VNet과 Payment HSM 디바이스에 대한 연결이 필요한 모든 피어링 VNet에서 fastpathenabled 태그를 사용하도록 설정해야 합니다.

fastpathenabled VNet 태그가 유효하려면 해당 VNet이 배포된 구독에서 FastPathEnabled 기능을 사용하도록 설정해야 합니다. 리소스가 Payment HSM 디바이스에 연결되도록 하려면 두 단계를 모두 완료해야 합니다. 자세한 내용은 FastPathEnabled를 참조하세요.

PHSM은 지원되는 토폴로지에 나열된 대로 vWAN 토폴로지 또는 지역 간 VNet 피어링과 호환되지 않습니다. Payment HSM에는 이러한 서브넷에 대한 몇 가지 정책 제한 사항이 있습니다. NSG(네트워크 보안 그룹) 및 UDR(사용자 정의 경로)은 현재 지원되지 않습니다.

현재 UDR 제한을 무시하고 Payment HSM으로 향하는 트래픽을 검사할 수 있습니다. 이 문서에서는 SNAT(원본 네트워크 주소 변환)가 포함된 방화벽과 역방향 프록시가 포함된 방화벽이라는 두 가지 방법을 제시합니다.

SNAT(원본 네트워크 주소 변환) 기능을 갖춘 방화벽

이 디자인은 전용 HSM 솔루션 아키텍처를 기초로 설계되었습니다.

방화벽은 트래픽을 PHSM NIC로 전달하기 전에 클라이언트 IP 주소를 SNAT하여 반환 트래픽이 자동으로 방화벽으로 다시 전달되도록 보장합니다. 이 디자인에서는 Azure Firewall 또는 타사 FW NVA를 사용할 수 있습니다.

SNAT를 사용한 방화벽의 아키텍처 다이어그램

필요한 경로 테이블:

  • 온-프레미스에서 PHSM으로: Payment HSM VNet 범위에 대한 UDR을 포함하고 중앙 허브 방화벽을 가리키는 경로 테이블이 GatewaySubnet에 적용됩니다.
  • 스포크 VNet에서 PHSM으로: 중앙 허브 방화벽을 가리키는 일반적인 기본 경로가 포함된 경로 테이블이 스포크 VNet 서브넷에 적용됩니다.

결과:

  • PHSM 서브넷에서 지원되지 않는 UDR은 클라이언트 IP에서 SNAT를 수행하는 방화벽에 의해 처리됩니다. 트래픽을 PHSM으로 전달할 때 반환 트래픽은 자동으로 방화벽으로 다시 지정됩니다.
  • PHSM 서브넷에서 NSG를 사용하여 적용할 수 없는 필터링 규칙은 방화벽에서 구성할 수 있습니다.
  • PHSM 환경에 대한 스포크 트래픽과 온-프레미스 트래픽이 모두 보호됩니다.

역방향 프록시가 포함된 방화벽

이 디자인은 네트워크 보안 팀의 승인을 받지 않은 방화벽에서 SNAT를 수행할 때 좋은 옵션입니다. 대신 방화벽을 통과하는 트래픽에 대해 원본 및 대상 IP를 변경하지 않고 유지해야 합니다.

이 아키텍처는 PHSM VNet의 전용 서브넷에 직접 배포되거나 피어링된 VNet에 배포된 역방향 프록시를 사용합니다. PHSM 디바이스로 트래픽을 보내는 대신 대상은 PHSM 위임 서브넷의 제한이 없는 서브넷에 있는 역방향 프록시 IP로 설정됩니다. NSG와 UDR을 모두 구성하고 중앙 허브에서 방화벽과 결합할 수 있습니다.

역방향 프록시를 갖춘 방화벽의 아키텍처 다이어그램

이 솔루션에는 다음과 같은 역방향 프록시가 필요합니다.

  • F5(Azure Marketplace, VM 기반)
  • NGINXaaS(Azure Marketplace, PaaS 완전 관리형)
  • NGINX를 사용하는 역방향 프록시 서버(VM 기반)
  • HAProxy를 사용하는 역방향 프록시 서버(VM 기반)

TCP 트래픽의 부하를 분산하기 위해 NGINX(VM 기반) 구성을 사용하는 역방향 프록시 서버의 예:

# Nginx.conf  
stream { 
    server { 
        listen 1500; 
        proxy_pass 10.221.8.4:1500; 
    } 

    upstream phsm { 
        server 10.221.8.5:443; 
    } 

    server { 
        listen 443; 
        proxy_pass phsm; 
        proxy_next_upstream on; 
    } 
} 

필요한 경로 테이블:

  • 온-프레미스에서 PHSM으로: Payment HSM VNet 범위에 대한 UDR을 포함하고 중앙 허브 방화벽을 가리키는 경로 테이블이 GatewaySubnet에 적용됩니다.
  • 스포크 VNet에서 PHSM으로: 중앙 허브 방화벽을 가리키는 일반적인 기본 경로가 포함된 경로 테이블이 스포크 VNet 서브넷에 적용됩니다.

Important

역방향 프록시 서브넷에서 게이트웨이 경로 전파를 사용하지 않도록 설정해야 하므로 0/0 UDR만으로도 방화벽을 통해 반환 트래픽을 강제로 적용할 수 있습니다.

결과:

  • PHSM 서브넷에서 지원되지 않는 UDR은 역방향 프록시 서브넷에서 구성될 수 있습니다.
  • 역방향 프록시는 클라이언트 IP를 SNAT합니다. 트래픽을 PHSM으로 전달할 때 반환 트래픽은 자동으로 역방향 프록시로 다시 지정됩니다.
  • PHSM 서브넷에서 NSG를 사용하여 적용할 수 없는 필터링 규칙은 방화벽 및/또는 역방향 프록시 서브넷에 적용된 NSG에서 구성할 수 있습니다.
  • PHSM 환경에 대한 스포크 트래픽과 온-프레미스 트래픽이 모두 보호됩니다.

다음 단계