Azure에서 네트워크 보안 경계로 전환
이 문서에서는 다양한 액세스 모드 및 Azure에서 네트워크 보안 경계로 전환하는 방법에 대해 알아봅니다 . 액세스 모드는 리소스의 액세스 및 로깅 동작을 제어합니다.
리소스 연결의 액세스 모드 구성 지점
액세스 모드 구성 지점은 경계의 리소스 연결에 속하므로 경계 관리자가 설정할 수 있습니다.
리소스 연결에서 속성을 accessMode 설정하여 리소스의 공용 네트워크 액세스를 제어할 수 있습니다.
가능한 값 accessMode 은 현재 적용 및 학습입니다.
| 액세스 모드 | 설명 |
|---|---|
| 학습 | 기본 액세스 모드입니다. 이 모드의 평가에서는 네트워크 보안 경계 구성을 기준으로 사용하지만 일치하는 규칙을 찾지 못하는 경우 평가는 리소스 방화벽 구성으로 대체되어 기존 설정으로 액세스를 승인할 수 있습니다. |
| 적용 | 명시적으로 설정하면 리소스는 네트워크 보안 경계 액세스 규칙만 준수합니다. |
네트워크 보안 경계를 채택하는 동안 연결 중단 방지
학습 모드 사용
기존 PaaS 리소스에 네트워크 보안 경계를 채택하는 동안 원치 않는 연결 중단을 방지하고 보안 구성으로 원활하게 전환할 수 있도록 관리자는 학습 모드에서 PaaS 리소스를 네트워크 보안 경계에 추가할 수 있습니다. 이 단계에서는 PaaS 리소스를 보호하지 않지만 다음을 수행합니다.
- 네트워크 보안 경계 구성에 따라 연결을 설정할 수 있습니다. 또한 이 구성의 리소스는 네트워크 보안 경계 액세스 규칙에서 연결을 허용하지 않는 경우 리소스 정의 방화벽 규칙 및 신뢰할 수 있는 액세스 동작을 적용하도록 대체됩니다.
- 진단 로그를 사용하도록 설정하면 네트워크 보안 경계 구성 또는 리소스 구성에 따라 연결이 승인되었는지 여부를 자세히 설명하는 로그를 생성합니다. 그런 다음 관리자는 이러한 로그를 분석하여 액세스 규칙의 간격, 경계 멤버 자격 누락 및 원치 않는 연결을 식별할 수 있습니다.
Important
학습 모드에서 PaaS 리소스를 운영하는 것은 전환 단계로만 사용되어야 합니다. 악의적인 행위자는 보안되지 않은 리소스를 악용하여 데이터를 유출할 수 있습니다. 따라서 액세스 모드가 적용됨으로 설정된 상태에서 최대한 빨리 완전히 안전한 구성으로 전환하는 것이 중요합니다.
기존 리소스에 대한 적용 모드로 전환
공용 액세스를 완전히 보호하려면 네트워크 보안 경계에서 강제 모드로 이동해야 합니다. 강제 모드로 전환하기 전에 고려해야 할 사항은 공용, 프라이빗, 신뢰할 수 있는 및 경계 액세스에 미치는 영향입니다. 적용 모드에서는 다양한 유형의 PaaS 리소스에서 연결된 PaaS 리소스에 대한 네트워크 액세스 동작을 다음과 같이 요약할 수 있습니다.
- 공용 액세스: 공용 액세스는 공용 네트워크를 통해 수행된 인바운드 또는 아웃바운드 요청을 나타냅니다. 네트워크 보안 경계로 보호되는 PaaS 리소스는 기본적으로 인바운드 및 아웃바운드 공용 액세스를 사용하지 않도록 설정하지만 네트워크 보안 경계 액세스 규칙을 사용하여 일치하는 공용 트래픽을 선택적으로 허용할 수 있습니다.
- 경계 액세스: 경계 액세스는 동일한 네트워크 보안 경계의 리소스 부분 간의 인바운드 또는 아웃바운드 요청을 나타냅니다. 데이터 반입 및 반출을 방지하기 위해 강제 모드에서 원본 및 대상 모두에서 공용 트래픽으로 명시적으로 승인되지 않는 한 이러한 경계 트래픽은 경계 경계를 넘지 않습니다. 경계 액세스를 위해 리소스에 관리 ID를 할당해야 합니다.
- 신뢰할 수 있는 액세스: 신뢰할 수 있는 서비스 액세스는 원본이 신뢰할 수 있는 것으로 간주되는 특정 Azure 서비스인 경우 공용 네트워크를 통해 액세스할 수 있는 몇 가지 Azure 서비스를 나타냅니다. 네트워크 보안 경계는 신뢰할 수 있는 액세스보다 더 세부적인 제어를 제공하므로 신뢰할 수 있는 액세스는 강제 모드에서 지원되지 않습니다.
- 프라이빗 액세스: 프라이빗 링크를 통한 액세스는 네트워크 보안 경계의 영향을 받지 않습니다.
네트워크 보안 경계로 새 리소스 이동
네트워크 보안 경계는 호출SecuredbyPerimeter된 새 publicNetworkAccess 속성을 도입하여 기본적으로 보안을 지원합니다. 설정하면 공용 액세스를 잠그고 PaaS 리소스가 공용 네트워크에 노출되지 않도록 방지합니다.
리소스를 만들 때 설정SecuredByPerimeter되면 publicNetworkAccess 리소스는 경계와 연결되지 않은 경우에도 잠금 모드로 만들어집니다. 구성된 경우 프라이빗 링크 트래픽만 허용됩니다. 경계에 연결되면 네트워크 보안 경계가 리소스 액세스 동작을 제어합니다. 다음 표에는 다양한 모드 및 공용 네트워크 액세스 구성의 액세스 동작이 요약되어 있습니다.
| 연결 액세스 모드 | 연결되지 않음 | 학습 모드 | 적용 모드 |
|---|---|---|---|
| 공용 네트워크 액세스 | |||
| 활성화 | 인바운드: 리소스 규칙 아웃바운드 허용 |
인바운드: 네트워크 보안 경계 + 리소스 규칙 아웃바운드 네트워크 보안 경계 규칙 + 허용됨 |
인바운드: 네트워크 보안 경계 규칙 아웃바운드 네트워크 보안 경계 규칙 |
| 사용 안 함 | 인바운드: 거부된 아웃바운드: 허용됨 |
인바운드: 네트워크 보안 경계 규칙 아웃바운드: 네트워크 보안 경계 규칙 + 허용됨 |
인바운드: 네트워크 보안 경계 규칙 아웃바운드: 네트워크 보안 경계 규칙 |
| SecuredByPerimeter | 인바운드: 거부된 아웃바운드: 거부됨 |
인바운드: 네트워크 보안 경계 규칙 아웃바운드: 네트워크 보안 경계 규칙 |
- 인바운드: 네트워크 보안 경계 규칙 - 아웃바운드: 네트워크 보안 경계 규칙 |
publicNetworkAccess 및 accessMode 속성을 구성하는 단계
publicNetworkAccess 다음 단계에 따라 Azure Portal을 사용하여 속성과 accessMode 속성을 모두 설정할 수 있습니다.
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
설정>리소스를 선택하여 경계와 연결된 리소스 목록을 봅니다.
구성하려는 리소스 옆에 있는 ...(줄임표)를 선택합니다.
드롭다운 메뉴에서 공용 네트워크 액세스 구성을 선택한 다음 사용 가능한 세 가지 옵션인 Enabled, Disabled 또는 SecuredByPerimeter에서 원하는 액세스 모드를 선택합니다.
액세스 모드를 설정하려면 드롭다운 메뉴에서 액세스 모드 구성을 선택한 다음 사용 가능한 두 옵션인 학습 또는 적용에서 원하는 액세스 모드를 선택합니다.
