네트워크 보안 경계란?
네트워크 보안 경계를 사용하면 조직에서 조직의 가상 네트워크 외부에 배포된 PaaS 리소스(예: Azure Storage 계정 및 SQL Database 서버)에 대한 논리적 네트워크 격리 경계를 정의할 수 있습니다. 경계 외부의 PaaS 리소스에 대한 공용 네트워크 액세스를 제한합니다. 공용 인바운드 및 아웃바운드에 대한 명시적 액세스 규칙을 사용하여 액세스를 제외할 수 있습니다.
가상 네트워크에서 PaaS 리소스로의 트래픽과 관련된 액세스 패턴은 Azure Private Link란?을 참조하세요.
네트워크 보안 경계의 기능은 다음과 같습니다.
- 리소스에서 경계 멤버 내에서 리소스 액세스 통신을 수행하여 권한이 없는 대상에 대한 데이터 반출을 방지합니다.
- 경계와 연결된 PaaS 리소스에 대한 명시적 규칙을 사용하여 외부 공용 액세스를 관리합니다.
- 감사 및 규정 준수를 위해 로그에 액세스합니다.
- PaaS 리소스에서 통합된 환경.
Important
네트워크 보안 경계는 공개 미리 보기로 제공되며 모든 Azure 퍼블릭 클라우드 지역에서 사용할 수 있습니다. 이 미리 보기 버전은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 사용하지 않는 것이 좋습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
네트워크 보안 경계의 구성 요소
네트워크 보안 경계에는 다음 구성 요소가 포함됩니다.
| 구성 요소 | 설명 |
|---|---|
| 네트워크 보안 경계 | PaaS 리소스를 보호하기 위해 논리 네트워크 경계를 정의하는 최상위 리소스입니다. |
| 프로필 | 프로필과 연결된 리소스에 적용되는 액세스 규칙의 컬렉션입니다. |
| 액세스 규칙 | 경계 외부에 대한 액세스를 허용하기 위해 경계의 리소스에 대한 인바운드 및 아웃바운드 규칙입니다. |
| 리소스 연결 | PaaS 리소스의 경계 멤버 자격입니다. |
| 진단 설정 | 경계의 모든 리소스에 대한 로그 및 메트릭을 수집하기 위해 Microsoft Insights에서 호스트하는 확장 리소스입니다. |
참고 항목
조직 및 정보 보호의 경우 네트워크 보안 경계 규칙 또는 기타 네트워크 보안 경계 구성에 개인 식별 가능 또는 중요한 데이터를 포함하지 않는 것이 좋습니다.
네트워크 보안 경계 속성
네트워크 보안 경계를 만들 때 다음 속성을 지정할 수 있습니다.
| 속성 | 설명 |
|---|---|
| 이름 | 리소스 그룹의 고유한 이름입니다. |
| 위치 | 리소스가 있는 지원되는 Azure 지역입니다. |
| 리소스 그룹 이름 | 네트워크 보안 경계가 있어야 하는 리소스 그룹의 이름입니다. |
네트워크 보안 경계의 액세스 모드
관리자는 리소스 연결을 만들어 PaaS 리소스를 경계에 추가합니다. 이러한 연결은 두 가지 액세스 모드로 만들 수 있습니다. 액세스 모드는 다음과 같습니다.
| 모드 | 설명 |
|---|---|
| 학습 모드 | - 기본 액세스 모드입니다. - 네트워크 관리자가 PaaS 리소스의 기존 액세스 패턴을 이해하는 데 도움이 됩니다. - 적용 모드로 전환하기 전에 권장되는 사용 모드입니다. |
| 적용 모드 | - 관리자가 설정해야 합니다. - 기본적으로 경계 내 트래픽을 제외한 모든 트래픽은 액세스 허용 규칙이 없는 한 이 모드에서 거부됩니다. |
네트워크 보안 경계 문서로 전환에서 학습 모드에서 적용 모드로 전환하는 방법에 대해 자세히 알아봅니다 .
네트워크 보안 경계를 사용하는 이유
네트워크 보안 경계는 가상 네트워크 외부에 배포된 PaaS 서비스의 통신을 위한 보안 경계를 제공합니다. 이를 통해 Azure PaaS 리소스에 대한 네트워크 액세스를 제어할 수 있습니다. 일반적인 사용 사례 중 일부는 다음과 같습니다.
- PaaS 리소스를 중심으로 보안 경계를 만듭니다.
- PaaS 리소스를 경계에 연결하여 데이터 반출을 방지합니다.
- 액세스 규칙을 사용하도록 설정하여 보안 경계 외부에 액세스 권한을 부여합니다.
- 단일 창에서 네트워크 보안 경계 내의 모든 PaaS 리소스에 대한 액세스 규칙을 관리합니다.
- 진단 설정을 사용하도록 설정하여 감사 및 규정 준수를 위해 경계 내에서 PaaS 리소스의 액세스 로그를 생성합니다.
- 다른 액세스 규칙 없이 프라이빗 엔드포인트 트래픽을 허용합니다.
네트워크 보안 경계는 어떻게 작동하나요?
네트워크 보안 경계가 생성되고 PaaS 리소스가 적용 모드에서 경계와 연결되면 기본적으로 모든 공용 트래픽이 거부되므로 경계 외부의 데이터 반출이 방지됩니다.
액세스 규칙을 사용하여 경계 외부의 퍼블릭 인바운드 및 아웃바운드 트래픽을 승인할 수 있습니다. 공용 인바운드 액세스는 원본 IP 주소, 구독과 같은 클라이언트의 네트워크 및 ID 특성을 사용하여 승인할 수 있습니다. 공용 아웃바운드 액세스는 외부 대상의 FQDN(정규화된 도메인 이름)을 사용하여 승인할 수 있습니다.
예를 들어 네트워크 보안 경계를 만들고 적용 모드에서 Azure Key Vault 및 SQL DB와 같은 PaaS 리소스 집합을 경계와 연결하면 들어오는 공용 트래픽과 나가는 모든 공용 트래픽이 기본적으로 이러한 PaaS 리소스에 거부됩니다. 경계 외부의 액세스를 허용하려면 필요한 액세스 규칙을 만들 수 있습니다. 동일한 경계 내에서 인바운드 및 아웃바운드 액세스 요구 사항 집합이 비슷한 PaaS 리소스를 그룹화하기 위해 프로필을 만들 수도 있습니다.
온보딩된 프라이빗 링크 리소스
네트워크 보안 경계 인식 프라이빗 링크 리소스는 네트워크 보안 경계와 연결할 수 있는 PaaS 리소스입니다. 현재 온보딩된 프라이빗 링크 리소스 목록은 다음과 같습니다.
| 프라이빗 링크 리소스 이름 | 리소스 종류 | 리소스 |
|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Log Analytics 작업 영역, Application Insights, 경고, 알림 서비스 |
| Azure AI 검색 | Microsoft.Search/searchServices | - |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | - |
| Event Hubs | Microsoft.EventHub/namespaces | - |
| Key Vault | Microsoft.KeyVault/vaults | - |
| SQL DB | Microsoft.Sql/servers | - |
| 스토리지 | Microsoft.Storage/storageAccounts | - |
참고 항목
네트워크 보안 경계의 제한 사항
지역 제한 사항
네트워크 보안 경계는 현재 모든 Azure 퍼블릭 클라우드 지역에서 사용할 수 있습니다. 그러나 네트워크 보안 경계에 대한 액세스 로그를 사용하도록 설정하는 동안 네트워크 보안 경계와 연결할 Log Analytics 작업 영역은 Azure Monitor 지원 지역 중 하나에 있어야 합니다. 현재 해당 지역은 미국 동부, 미국 동부 2, 미국 중북부, 미국 중남부, 미국 서부 및 미국 서부 2입니다.
참고 항목
PaaS 리소스 로그의 경우 스토리지 및 이벤트 허브를 동일한 경계에 연결된 모든 지역의 로그 대상으로 사용합니다.
규모 제한
네트워크 보안 경계 기능은 다음과 같은 확장 제한이 있는 일반적인 공용 네트워크 제어를 사용하여 PaaS 리소스의 배포를 지원하는 데 사용할 수 있습니다.
| 제한 사항 | 설명 |
|---|---|
| 네트워크 보안 경계 수 | 구독당 권장 한도로 최대 100까지 지원됩니다. |
| 네트워크 보안 경계당 프로필 | 권장 제한으로 최대 200개까지 지원합니다. |
| 프로필당 규칙 요소 수 | 하드 제한으로 최대 200개까지 지원합니다. |
| 동일한 네트워크 보안 경계와 연결된 구독의 PaaS 리소스 수 | 권장 제한으로 최대 1000까지 지원합니다. |
기타 제한 사항
네트워크 보안 경계에는 다음과 같은 다른 제한 사항이 있습니다.
| 제한 사항/문제 | 설명 |
|---|---|
| 여러 네트워크 보안 경계가 있는 경우 리소스 그룹 이동 작업을 수행할 수 없습니다. | 동일한 리소스 그룹에 여러 네트워크 보안 경계가 있는 경우 네트워크 보안 경계를 리소스 그룹/구독 간에 이동할 수 없습니다. |
| 네트워크 보안 경계를 삭제하기 전에 연결을 제거해야 합니다. | 강제 삭제 옵션은 현재 사용할 수 없습니다. 따라서 네트워크 보안 경계를 삭제하기 전에 모든 연결을 제거해야 합니다. 이전에 네트워크 보안 경계에서 제어한 액세스를 허용하기 위한 예방 조치를 취한 후에만 연결을 제거합니다. |
| 리소스 이름은 네트워크 보안 경계를 지원하기 위해 44자를 초과할 수 없습니다. | Azure Portal에서 만든 네트워크 보안 경계 리소스 연결의 형식 {resourceName}-{perimeter-guid}은 다음과 같습니다. 요구 사항 이름 필드에 맞게 80자를 초과할 수 없도록 하려면 리소스 이름을 44자로 제한해야 합니다. |
| 서비스 엔드포인트 트래픽은 지원되지 않습니다. | IaaS에서 PaaS 통신까지 프라이빗 엔드포인트를 사용하는 것이 좋습니다. 현재 인바운드 규칙에서 0.0.0.0/0을 허용하는 경우에도 서비스 엔드포인트 트래픽을 거부할 수 있습니다. |
참고 항목
각 서비스에 대한 각 제한 사항은 개별 PaaS 설명서를 참조하세요.