Azure Firewall에 대한 Azure 잘 설계된 프레임워크 관점
Azure Firewall은 Azure에서 실행되는 클라우드 워크로드에 가장 적합한 위협 방지 기능을 제공하는 클라우드 네이티브 및 지능형 네트워크 방화벽 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 기본 제공되는 완전 상태 저장 관리형 방화벽 서비스입니다. Azure Firewall은 동서 및 남북 트래픽 검사를 모두 제공합니다.
이 문서에서는 설계자로서 가상 네트워크 보안 옵션을 검토하고 워크로드에 대한 네트워크 보안 서비스로 Azure Firewall을 선택했다고 가정합니다. 이 문서의 지침은 Azure Well-Architected Framework 핵심 요소의 원칙에 매핑되는 아키텍처 권장 사항을 제공합니다.
Important
이 가이드를 사용하는 방법
각 섹션에는 기술 범위로 지역화된 디자인 전략과 함께 중요한 아키텍처 영역을 제공하는 디자인 검사 목록이 있습니다.
또한 이러한 전략을 구체화하는 데 도움이 될 수 있는 기술 기능에 대한 권장 사항도 포함되어 있습니다. 권장 사항은 Azure Firewall 및 해당 종속성에 사용할 수 있는 모든 구성의 전체 목록을 나타내지 않습니다. 대신 디자인 관점에 매핑된 주요 권장 사항을 나열합니다. 권장 사항을 사용하여 개념 증명을 빌드하거나 기존 환경을 최적화합니다.
주요 권장 사항을 보여 주는 기본 아키텍처: Azure의 허브-스포크 네트워크 토폴로지.
기술 범위
이 검토는 다음 Azure 리소스에 대한 상호 연결된 결정에 중점을 둡니다.
- Azure Firewall
- Azure Firewall Manager
안정성
안정성 핵심 요소의 목적은 충분한 복원력과 오류로부터 빠르게 복구할 수 있는 기능을 구축하여 지속적인 기능을 제공하는 것입니다.
안정성 디자인 원칙은 개별 구성 요소, 시스템 흐름 및 시스템 전체에 적용되는 고급 디자인 전략을 제공합니다.
디자인 검사 목록
안정성에 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다. 사용하는 정책 및 아키텍처 유형을 염두에 두고 비즈니스 요구 사항과 관련성을 확인합니다. 필요에 따라 더 많은 접근 방식을 포함하도록 전략을 확장합니다.
Azure Firewall 의 알려진 문제 목록을 검토합니다. Azure Firewall 제품은 알려진 문제의 업데이트된 목록을 유지 관리합니다. 이 목록에는 디자인별 동작, 생성 중인 수정 사항, 플랫폼 제한 사항 및 가능한 해결 방법 또는 완화 전략에 대한 중요한 정보가 포함되어 있습니다.
Azure Firewall 정책이 Azure Firewall 제한 및 권장 사항을 준수하는지 확인합니다. 정책 구조에는 규칙 및 규칙 컬렉션 그룹 수, 총 정책 크기, 원본 대상 및 대상 대상을 포함하여 제한이 있습니다. 정책을 작성하고 문서화된 임계값 아래로 유지해야 합니다.
더 높은 SLA(서비스 수준 계약)를 위해 여러 가용성 영역에 Azure Firewall을 배포합니다 . Azure Firewall은 단일 가용성 영역 또는 여러 영역에 서비스를 배포하는지 여부에 따라 다른 SLA를 제공합니다. 자세한 내용은 온라인 서비스 SLA를 참조하세요.
다중 지역 환경의 각 지역에 Azure Firewall 인스턴스를 배포합니다. 기존 허브 및 스포크 아키텍처는 다중 지역 고려 사항을 참조 하세요. 보안 Azure Virtual WAN 허브의 경우 라우팅 의도 및 정책을 구성하여 허브 간 및 분기 간 통신을 보호합니다. 오류 방지 및 내결함성 워크로드의 경우 Azure Firewall 및 Azure Virtual Network의 인스턴스를 지역 리소스로 간주합니다.
Azure Firewall 메트릭 및 리소스 상태를 모니터링합니다. Azure Firewall은 Azure Resource Health와 통합됩니다. Resource Health 검사를 사용하여 Azure Firewall의 상태를 확인하고 Azure Firewall 리소스에 영향을 줄 수 있는 서비스 문제를 해결합니다.
허브 가상 네트워크 또는 Virtual WAN 허브의 일부로 Azure Firewall을 배포합니다.
참고 항목
네트워크 서비스의 가용성은 기존 허브 및 스포크 모델과 Virtual WAN 관리 보안 허브 모델 간에 다릅니다. 예를 들어 Virtual WAN 허브에서 Azure Firewall 공용 IP는 공용 IP 접두사에서 올 수 없으며 Azure DDoS Protection을 사용하도록 설정할 수 없습니다. 모델을 선택할 때 잘 설계된 프레임워크의 다섯 가지 핵심 요소에서 요구 사항을 고려합니다.
권장 사항
| 추천 | 장점 |
|---|---|
| 여러 가용성 영역에 Azure Firewall 을 배포합니다. | 여러 가용성 영역에 Azure Firewall을 배포하여 특정 수준의 복원력을 유지합니다. 한 영역에서 중단이 발생하는 경우 다른 영역은 계속해서 트래픽을 처리합니다. |
| Log Analytics 작업 영역에서 Azure Firewall 메트릭을 모니터링합니다. 처리량, 방화벽 상태, SNAT 포트 사용률 및 AZFW 대기 시간 프로브 메트릭과 같은 Azure Firewall 상태 상태를 나타내는 메트릭을 면밀히 모니터링합니다. Azure Service Health를 사용하여 Azure Firewall 상태를 모니터링합니다. |
리소스 메트릭 및 서비스 상태를 모니터링하여 서비스 상태가 저하되는 시기를 감지하고 오류를 방지하기 위한 사전 조치를 취할 수 있습니다. |
보안
보안 핵심 요소의 목적은 워크로드에 대해 기밀성, 무결성 및 가용성을 보증하는 데 있습니다.
보안 디자인 원칙은 Azure Firewall의 기술 디자인에 접근 방식을 적용하여 이러한 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공합니다.
디자인 검사 목록
보안에 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다. 보안 상태를 개선하기 위해 취약성 및 컨트롤을 식별합니다. 필요에 따라 더 많은 접근 방식을 포함하도록 전략을 확장합니다.
방화벽 또는 NVA(네트워크 가상 어플라이언스) 를 통해 워크로드의 모든 인터넷 트래픽을 보내 위협을 감지하고 차단합니다. Azure Firewall을 통해 트래픽을 강제로 적용하도록 UDR(사용자 정의 경로)을 구성합니다. 웹 트래픽의 경우 Azure Firewall을 명시적 프록시로 사용하는 것이 좋습니다.
이러한 공급자를 사용하여 아웃바운드 연결을 보호하려는 경우 Firewall Manager 내에서 지원되는 SaaS(Software as a Service) 보안 공급자를 구성합니다.
트래픽이 방화벽을 우회할 수 없도록 가상 머신에 직접 연결된 공용 IP 주소의 사용을 제한합니다. Azure 클라우드 채택 프레임워크 모델은 CORP 관리 그룹에 특정 Azure 정책을 할당합니다.
보안 요구 사항에 따라 검사 및 암호화 추가와 같은 웹 애플리케이션에 대한 제로 트러스트 접근 방식을 구현해야 하는 경우 Azure Firewall 및 Application Gateway에 대한 제로 트러스트 구성 가이드를 따릅니다. 이 가이드 에 따라 기존 허브 및 스포크 및 Virtual WAN 시나리오 모두에 Azure Firewall 및 Application Gateway를 통합합니다.
자세한 내용은 에지에서 방화벽 적용을 참조 하세요.
워크로드 세분화 전략의 일환으로 네트워크 경계를 설정하여 폭발 반경을 제어하고, 워크로드 리소스를 난독 분석하고, 예기치 않은, 금지된 안전하지 않은 액세스를 차단합니다. 최소 권한 액세스 기준에 따라 Azure Firewall 정책에 대한 규칙을 만듭니다.
강제 터널링 모드에서 Azure Firewall을 구성할 때 완전 프라이빗 데이터 평면을 배포하려면 공용 IP 주소를 None 으로 설정합니다. 이 방법은 Virtual WAN에 적용되지 않습니다.
관리를 간소화하기 위해 네트워크 규칙을 정의할 때 FQDN(정규화된 도메인 이름) 및 서비스 태그를 사용합니다.
탐지 메커니즘을 사용하여 위협 및 남용 징후를 부지런히 모니터링합니다. 플랫폼 제공 검색 메커니즘 및 측정값을 활용합니다. IDPS(침입 감지 및 방지 시스템)를 사용하도록 설정합니다. Azure DDoS Protection 계획을 허브 가상 네트워크와 연결합니다.
자세한 내용은 남용 감지를 참조하세요.
권장 사항
| 추천 | 장점 |
|---|---|
| 인터넷에 직접 연결하지 않고 모든 인터넷 바인딩 트래픽을 지정된 다음 홉으로 라우팅해야 하는 경우 강제 터널링 모드에서 Azure Firewall을 구성합니다. 이 권장 사항은 Virtual WAN에 적용되지 않습니다. Azure Firewall에 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 Border Gateway 프로토콜을 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 강제 터널링 모드에서 Azure Firewall을 구성해야 합니다. 강제 터널링 기능을 사용하여 Azure Firewall Management 서브넷에 대한 다른 /26 주소 공간을 추가할 수 있습니다. 서브넷 AzureFirewallManagementSubnet의 이름을 지정합니다. 강제 터널링 모드에서 다시 구성할 수 없는 기존 Azure Firewall 인스턴스가 있는 경우 0.0.0.0/0 경로가 있는 UDR을 만듭니다. NextHopType 값을 인터넷으로 설정합니다. 인터넷 연결을 유지하려면 UDR을 AzureFirewallSubnet과 연결합니다. 강제 터널링 모드에서 Azure Firewall을 구성할 때 완전 프라이빗 데이터 평면을 배포하려면 공용 IP 주소를 None 으로 설정합니다. 그러나 관리 평면에는 관리 목적으로만 공용 IP가 필요합니다. 가상 및 온-프레미스 네트워크의 내부 트래픽은 해당 공용 IP를 사용하지 않습니다. |
Azure 리소스를 인터넷에 직접 노출하지 않도록 강제 터널링을 사용합니다. 이 방법은 공격 노출 영역을 줄이고 외부 위협의 위험을 최소화합니다. 회사 정책 및 규정 준수 요구 사항을 보다 효과적으로 적용하려면 온-프레미스 방화벽 또는 NVA를 통해 모든 인터넷 바인딩 트래픽을 라우팅합니다. |
| 계층 구조에서 방화벽 정책에 대한 규칙을 만들어 중앙 기본 정책을 오버레이합니다. 자세한 내용은 Azure Firewall 정책을 사용하여 규칙을 처리하는 방법을 참조 하세요. 최소 권한 액세스 제로 트러스트 원칙에 따라 규칙 만들기 |
세분화된 정책이 특정 지역의 요구 사항을 충족할 수 있도록 계층 구조에서 규칙을 구성합니다. 각 정책에는 특정 우선 순위, 작업 및 처리 주문이 있는 서로 다른 DNAT(대상 네트워크 주소 변환), 네트워크 및 애플리케이션 규칙 집합이 포함될 수 있습니다. |
| 방화벽 관리자 내에서 지원되는 보안 파트너 공급자를 구성하여 아웃바운드 연결을 보호합니다. 이 시나리오에서는 IPsec 터널을 사용하여 공급자의 인프라에 연결하기 때문에 허브에 S2S VPN 게이트웨이가 있는 Virtual WAN이 필요합니다. 관리되는 보안 서비스 공급자는 추가 라이선스 요금을 부과하고 IPsec 연결에 대한 처리량을 제한할 수 있습니다. Zscaler Cloud Connector와 같은 대체 솔루션을 사용할 수도 있습니다. |
Azure Firewall의 보안 파트너 공급자가 인터넷 트래픽에 대한 고급 보호를 제공하는 최고의 클라우드 보안 제품을 활용할 수 있도록 합니다. 이러한 공급자는 전반적인 보안 상태를 향상시키는 전문적이고 사용자 인식 필터링 및 포괄적인 위협 탐지 기능을 제공합니다. |
| Azure Firewall DNS 프록시 구성을 사용하도록 설정합니다. 또한 DNS 쿼리를 전달하기 위해 사용자 지정 DNS를 사용하도록 Azure Firewall을 구성합니다. |
가상 네트워크의 클라이언트를 DNS 서버로 Azure Firewall로 가리키도록 이 기능을 사용하도록 설정합니다. 이 기능은 직접 액세스하고 노출되지 않는 내부 DNS 인프라를 보호합니다. |
| 스포크-스포크, 스포크-인터넷 및 스포크-하이브리드 연결을 위한 기존 허브 및 스포크 아키텍처에서 Azure Firewall을 통해 트래픽을 강제로 적용하도록 UDR을 구성합니다. Virtual WAN에서 허브에 통합된 Azure Firewall 인스턴스를 통해 프라이빗 트래픽 또는 인터넷 트래픽을 리디렉션하도록 라우팅 의도 및 정책을 구성합니다. UDR을 적용할 수 없고 웹 트래픽 리디렉션만 필요한 경우 아웃바운드 경로에서 Azure Firewall을 명시적 프록시 로 사용합니다. Azure Firewall을 프록시로 구성할 때 보내는 애플리케이션(예: 웹 브라우저)에서 프록시 설정을 구성할 수 있습니다. |
트래픽을 검사하고 악성 트래픽을 식별하고 차단하는 데 도움이 되도록 방화벽을 통해 트래픽을 보냅니다. 웹 트래픽이 방화벽의 개인 IP 주소에 도달하여 UDR을 사용하지 않고 방화벽에서 직접 송신되도록 Azure Firewall을 아웃바운드 트래픽에 대한 명시적 프록시로 사용합니다. 또한 이 기능을 사용하면 기존 네트워크 경로를 수정하지 않고도 여러 방화벽을 쉽게 사용할 수 있습니다. |
| 네트워크 규칙에서 FQDN 필터링을 사용합니다. 네트워크 규칙에서 FQDN을 사용하려면 Azure Firewall DNS 프록시 구성을 사용하도록 설정해야 합니다. | 관리자가 여러 IP 주소 대신 도메인 이름을 관리할 수 있도록 Azure Firewall 네트워크 규칙에서 FQDN을 사용하여 관리를 간소화합니다. 이 동적 해상도를 사용하면 도메인 IP가 변경되면 방화벽 규칙이 자동으로 업데이트됩니다. |
| 특정 IP 주소 대신 Azure Firewall 서비스 태그를 사용하여 Azure, Microsoft Dynamics 365 및 Microsoft 365의 특정 서비스에 대한 선택적 액세스를 제공합니다. | 네트워크 규칙에서 서비스 태그를 사용하여 보안 관리를 간소화하는 특정 IP 주소가 아닌 서비스 이름을 기반으로 액세스 제어를 정의할 수 있습니다. Microsoft는 IP 주소가 변경되면 이러한 태그를 자동으로 관리하고 업데이트합니다. 이 방법을 사용하면 방화벽 규칙이 수동 개입 없이 정확하고 효과적으로 유지됩니다. |
| 애플리케이션 규칙에서 FQDN 태그를 사용하여 특정 Microsoft 서비스 대한 선택적 액세스를 제공합니다. 애플리케이션 규칙에서 FQDN 태그를 사용하여 Microsoft 365, Windows 365 및 Microsoft Intune과 같은 특정 Azure 서비스에 대해 방화벽을 통해 필요한 아웃바운드 네트워크 트래픽을 허용할 수 있습니다. |
Azure Firewall 애플리케이션 규칙에서 FQDN 태그를 사용하여 잘 알려진 Microsoft 서비스 연결된 FQDN 그룹을 나타냅니다. 이 메서드는 네트워크 보안 규칙의 관리를 간소화합니다. |
| 경고 및 거부 모드에서 Azure Firewall에서 위협 인텔리전스를 사용하도록 설정합니다. | 위협 인텔리전스를 사용하여 새로운 위협에 대한 실시간 보호를 제공하여 사이버 공격의 위험을 줄입니다. 이 기능은 Microsoft 위협 인텔리전스 피드를 사용하여 알려진 악성 IP 주소, 도메인 및 URL의 트래픽을 자동으로 경고하고 차단합니다. |
| 경고 또는 경고 및 거부 모드에서 IDPS를 사용하도록 설정합니다. 이 기능의 성능 영향을 고려합니다. | Azure Firewall에서 IDPS 필터링을 사용하도록 설정하면 네트워크 트래픽을 실시간으로 모니터링하고 분석하여 악의적인 활동을 감지하고 방지할 수 있습니다. 이 기능은 서명 기반 검색을 사용하여 알려진 위협을 신속하게 식별하고 피해를 입히기 전에 차단합니다. 자세한 내용은 남용 감지를 참조하세요. |
| Azure Firewall Premium에서 TLS 검사를 사용할 때 내부 CA(엔터프라이즈 인증 기관)를 사용하여 인증서를 생성합니다. PoC(테스트 및 개념 증명) 용도로만 자체 서명된 인증서를 사용합니다. | Azure Firewall Premium이 TLS 연결을 종료하고 검사하여 HTTPS에서 악의적인 활동을 검색, 경고 및 완화하도록 TLS 검사를 사용하도록 설정합니다. |
| Firewall Manager를 사용하여 Azure DDoS Protection 계획을 만들고 허브 가상 네트워크와 연결합니다. 이 방법은 Virtual WAN에 적용되지 않습니다. | 방화벽 정책과 함께 DDoS 보호를 중앙에서 관리할 수 있도록 Azure DDoS Protection 계획을 구성합니다. 이 방법은 네트워크 보안을 관리하는 방법을 간소화하고 프로세스를 배포하고 모니터링하는 방법을 간소화합니다. |
비용 최적화
비용 최적화는 비즈니스 요구 사항을 충족하면서 지출 패턴을 감지하고, 중요한 영역에 대한 투자의 우선 순위를 지정하고, 조직의 예산을 충족하도록 다른 영역에서 최적화하는 데 중점을 둡니다.
비용 최적화 디자인 원칙은 이러한 목표를 달성하고 Azure Firewall 및 해당 환경과 관련된 기술 설계에서 필요에 따라 장단위를 만들기 위한 높은 수준의 디자인 전략을 제공합니다.
디자인 검사 목록
투자 비용 최적화를 위한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다. 워크로드가 워크로드에 할당된 예산에 맞게 조정되도록 디자인을 미세 조정합니다. 디자인은 적절한 Azure 기능을 사용하고, 투자를 모니터링하고, 시간이 지남에 따라 최적화할 기회를 찾아야 합니다.
배포할 Azure Firewall SKU를 선택합니다. 기본, 표준 및 프리미엄의 세 가지 Azure Firewall SKU 중에서 선택합니다. Azure Firewall Premium을 사용하여 결제 처리와 같은 매우 중요한 애플리케이션을 보호합니다. 워크로드에 계층 3에서 계층 7 방화벽이 필요하고 최대 30Gbps의 최대 트래픽 기간을 처리하기 위해 자동 크기 조정이 필요한 경우 Azure Firewall Standard를 사용합니다. SMB를 사용하고 최대 250Mbps의 처리량이 필요한 경우 Azure Firewall Basic을 사용합니다. 표준 SKU와 프리미엄 SKU 간에 다운그레이드하거나 업그레이드할 수 있습니다. 자세한 내용은 올바른 Azure Firewall SKU 선택을 참조하세요.
사용되지 않는 방화벽 배포를 제거하고 사용되지 않는 배포를 최적화합니다. 지속적으로 실행할 필요가 없는 Azure Firewall 배포를 중지합니다. 사용되지 않는 Azure Firewall 배포를 식별하고 삭제합니다. 운영 비용을 줄이려면 방화벽 인스턴스 사용량, Azure Firewall Manager 정책 구성 및 사용하는 공용 IP 주소 및 정책 수를 모니터링하고 최적화합니다.
Azure Firewall의 동일한 인스턴스를 공유합니다. 허브 가상 네트워크 또는 Virtual WAN 보안 허브에서 Azure Firewall의 중앙 인스턴스를 사용하고 동일한 지역에서 동일한 허브에 연결하는 스포크 가상 네트워크에서 동일한 Azure Firewall 인스턴스를 공유할 수 있습니다. 허브 및 스포크 토폴로지에서 예기치 않은 지역 간 트래픽이 없는지 확인합니다.
방화벽을 통해 트래픽을 최적화합니다. Azure Firewall에서 처리하는 트래픽을 정기적으로 검토합니다. 방화벽을 통과하는 트래픽의 양을 줄일 기회를 찾습니다.
저장하는 로그 데이터의 양을 줄입니다. Azure Firewall은 Azure Event Hubs를 사용하여 트래픽의 메타데이터를 포괄적으로 기록하고 Log Analytics 작업 영역, Azure Storage 또는 타사 솔루션으로 보낼 수 있습니다. 모든 로깅 솔루션은 데이터를 처리하고 스토리지를 제공하는 데 비용이 발생합니다. 많은 양의 데이터가 상당한 비용을 초래할 수 있습니다. Log Analytics에 대한 비용 효율적인 접근 방식과 대안을 고려하고 비용을 예측합니다. 모든 로깅 범주에 대한 트래픽 메타데이터를 기록해야 하는지 여부를 고려합니다.
권장 사항
| 추천 | 장점 |
|---|---|
| 지속적으로 실행할 필요가 없는 Azure Firewall 배포를 중지합니다. 업무 시간 중에만 사용하는 개발 또는 테스트 환경이 있을 수 있습니다. 자세한 내용은 Azure Firewall 할당 취소 및 할당을 참조하세요. | 사용량이 적거나 유휴 상태일 때 이러한 배포를 종료하여 불필요한 비용을 줄이지만 중요한 시기에 보안 및 성능을 유지합니다. |
| Azure Firewall이 처리하는 트래픽을 정기적으로 검토하고 원래 워크로드 최적화를 찾습니다. 지방 흐름 로그라고도 하는 상위 흐름 로그는 방화벽을 통해 가장 높은 처리량에 기여하는 상위 연결을 보여 줍니다. | 방화벽을 통해 가장 많은 트래픽을 생성하는 워크로드를 최적화하여 트래픽 볼륨을 줄여 방화벽의 부하를 줄이고 데이터 처리 및 대역폭 비용을 최소화합니다. |
| 사용되지 않는 Azure Firewall 배포를 식별하고 삭제합니다. 방화벽의 개인 IP를 가리키는 서브넷과 연결된 모니터링 메트릭 및 UDR을 분석합니다. 또한 환경 및 배포에 대한 다른 유효성 검사 및 내부 설명서를 고려합니다. 예를 들어 Azure Firewall에 대한 클래식 NAT, 네트워크 및 애플리케이션 규칙을 분석합니다. 설정을 고려해 보세요. 예를 들어 DNS 프록시 설정을 사용 안 함으로 구성할 수 있습니다. 자세한 내용은 Azure Firewall 모니터링을 참조하세요. |
이 방법을 사용하여 시간이 지남에 따라 비용 효율적인 배포를 검색하고 사용하지 않는 리소스를 제거하여 불필요한 비용을 방지합니다. |
| Firewall Manager 정책, 연결 및 상속을 신중하게 검토하여 비용을 최적화합니다. 정책에 대한 요금은 방화벽 연결을 기준으로 청구됩니다. 방화벽 연결이 0개 또는 1개인 정책은 무료입니다. 방화벽 연결이 여러 개인 정책은 고정 요율로 청구됩니다. 자세한 내용은 Firewall Manager 가격 책정을 참조 하세요. |
Firewall Manager 및 해당 정책을 적절하게 사용하여 운영 비용을 절감하고 효율성을 높이며 관리 오버헤드를 줄입니다. |
| 구성의 모든 공용 IP 주소를 검토하고 사용하지 않는 주소를 연결 해제하고 삭제합니다. IP 주소를 제거하기 전에 원본 SNAT(네트워크 주소 변환) 포트 사용량을 평가합니다. 자세한 내용은 Azure Firewall 로그 및 메트릭 및 SNAT 포트 사용 모니터링을 참조하세요. |
사용하지 않는 IP 주소를 삭제하여 비용을 절감합니다. |
운영 우수성
운영 우수성은 주로 개발 관행, 관찰성 및 릴리스 관리를 위한 절차에 중점을 둡니다.
운영 우수성 디자인 원칙은 워크로드의 운영 요구 사항에 대한 이러한 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공합니다.
디자인 검사 목록
Azure Firewall과 관련된 준수성, 테스트 및 배포에 대한 프로세스를 정의하기 위한 운영 우수성에 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다.
기존 허브 및 스포크 토폴로지 또는 Virtual WAN 네트워크 토폴로지와 함께 Firewall Manager를 사용하여 Azure Firewall 인스턴스를 배포하고 관리합니다. 트래픽 거버넌스 및 보호를 위해 네이티브 보안 서비스를 사용하여 허브 및 스포크 및 전이적 아키텍처를 만듭니다. 자세한 내용은 네트워크 토폴로지 및 연결을 참조 하세요.
Azure Firewall 클래식 규칙을 기존 배포에 대한 Firewall Manager 정책으로 마이그레이션합니다. Firewall Manager를 사용하여 방화벽 및 정책을 중앙에서 관리합니다. 자세한 내용은 Azure Firewall Premium으로 마이그레이션을 참조 하세요.
Azure Policy 아티팩트 정기 백업을 유지 관리합니다. 코드로서의 인프라 접근 방식을 사용하여 Azure Firewall 및 모든 종속성을 유지 관리하는 경우 Azure Firewall 정책의 백업 및 버전 관리가 있어야 합니다. 그렇지 않은 경우 외부 논리 앱을 기반으로 하는 도우미 메커니즘을 배포하여 효과적인 자동화된 솔루션을 제공할 수 있습니다.
Azure Firewall 로그 및 메트릭 모니터링 감사 작업을 위해 방화벽 모니터링 및 문제 해결 및 활동 로그에 대한 진단 로그를 활용합니다.
모니터링 데이터를 분석하여 시스템의 전반적인 상태를 평가합니다. 기본 제공 Azure Firewall 모니터링 통합 문서를 사용하고, KQL(Kusto 쿼리 언어) 쿼리를 숙지하고, 정책 분석 대시보드를 사용하여 잠재적인 문제를 식별합니다.
운영자가 신속하게 응답할 수 있도록 주요 이벤트에 대한 경고를 정의합니다.
Azure에서 플랫폼 제공 검색 메커니즘을 활용하여 남용을 검색합니다. 가능한 경우 Azure Firewall을 클라우드용 Microsoft Defender 및 Microsoft Sentinel과 통합합니다. 클라우드용 Defender 통합하여 Azure의 다른 지역에 있는 모든 가상 네트워크 및 가상 허브에서 Azure 네트워크 보안을 포함하여 네트워크 인프라 및 네트워크 보안의 상태를 한 곳에서 시각화할 수 있습니다. Microsoft Sentinel과 통합하여 위협 감지 및 방지 기능을 제공합니다.
권장 사항
| 추천 | 장점 |
|---|---|
| Azure Firewall에 대한 진단 로그를 사용하도록 설정합니다. 방화벽 로그 또는 통합 문서를 사용하여 Azure Firewall을 모니터링합니다. 또한 Azure Firewall 리소스에서 작업을 감사하려면 활동 로그를 사용할 수 있습니다. 구조적 방화벽 로그 형식을 사용합니다. 필요한 기존 도구가 있는 경우에만 이전 진단 로그 형식 을 사용합니다. 두 로깅 형식을 동시에 사용하도록 설정하지 마세요. |
진단 로그를 사용하도록 설정하여 Azure Firewall에 대한 모니터링 도구 및 전략을 최적화합니다. 구조화된 방화벽 로그를 사용하여 로그 데이터를 구성하여 쉽게 검색, 필터링 및 분석할 수 있습니다. 최신 모니터링 도구는 이러한 유형의 로그를 기반으로 하므로 종종 필수 구성 요소입니다. |
| 기본 제공 Azure Firewall 통합 문서를 사용합니다. | Azure Firewall 통합 문서를 사용하여 Azure Firewall 이벤트에서 중요한 인사이트를 추출하고, 애플리케이션 및 네트워크 규칙을 분석하고, URL, 포트 및 주소에서 방화벽 활동에 대한 통계를 검사합니다. |
| Azure Firewall 로그 및 메트릭을 모니터링하고 Azure Firewall 용량에 대한 경고를 만듭니다. 처리량, 방화벽 상태, SNAT 포트 사용률 및 AZFW 대기 시간 프로브 메트릭을 모니터링하는 경고를 만듭니다. | 잠재적인 문제가 발생하기 전에 운영자에게 알리고, 중단을 방지하고, 빠른 용량 조정을 시작하도록 주요 이벤트에 대한 경고를 설정합니다. |
| 정책 분석 대시보드를 정기적으로 검토하여 잠재적인 문제를 식별합니다. | 정책 분석을 사용하여 Azure Firewall 정책의 영향을 분석합니다. 정책 제한 충족, 부적절한 규칙 및 부적절한 IP 그룹 사용과 같은 정책의 잠재적인 문제를 식별합니다. 보안 상태 및 규칙 처리 성능을 개선하기 위한 권장 사항을 가져옵니다. |
| Azure Firewall 로그를 사용하여 문제를 신속하게 분석하고 해결할 수 있도록 KQL 쿼리를 이해합니다. Azure Firewall은 샘플 쿼리를 제공합니다. | KQL 쿼리를 사용하여 방화벽 내의 이벤트를 신속하게 식별하고 트리거되는 규칙 또는 요청을 허용하거나 차단하는 규칙을 확인합니다. |
성능 효율성
성능 효율성은 용량을 관리하여 부하 가 증가하는 경우에도 사용자 환경을 유지하는 것입니다. 이 전략에는 리소스 크기 조정, 잠재적인 병목 현상 식별 및 최적화, 최고 성능 최적화가 포함됩니다.
성능 효율성 디자인 원칙은 예상된 사용량에 대해 이러한 용량 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공합니다.
디자인 검사 목록
성능 효율성에 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다. Azure Firewall의 주요 성능 지표를 기반으로 하는 기준을 정의합니다.
잘 설계된 프레임워크 권장 사항에 따라 Azure Firewall 구성을 최적화하여 코드 및 인프라를 최적화하고 최대 작동을 보장합니다. 효율적이고 안전한 네트워크를 유지하려면 정기적으로 방화벽 규칙을 검토하고 최적화합니다. 이 방법은 방화벽 구성이 최신 보안 위협과 함께 효과적이고 최신 상태로 유지되도록 하는 데 도움이 됩니다.
정책 요구 사항을 평가하고 IP 범위 및 URL 목록을 요약할 기회를 찾습니다. 웹 범주를 사용하여 아웃바운드 액세스를 대량으로 허용하거나 거부하여 관리를 간소화하고 보안을 강화합니다. 이 구성이 네트워크 대기 시간 및 처리량에 영향을 줄 수 있으므로 경고 및 거부 모드에서 IDPS의 성능 영향을 평가합니다. SNAT 포트 요구 사항을 지원하도록 공용 IP 주소를 구성합니다. 이러한 사례를 따라 강력하고 확장 가능한 네트워크 보안 인프라를 만듭니다.
가상 네트워크 내 트래픽 제어에는 Azure Firewall을 사용하지 마세요. Azure Firewall을 사용하여 다음 유형의 트래픽을 제어합니다.
- 가상 네트워크를 통해 트래픽
- 가상 네트워크와 온-프레미스 네트워크 간의 트래픽
- 인터넷으로의 아웃바운드 트래픽
- 들어오는 비 HTTP 또는 비 HTTPS 트래픽
가상 네트워크 트래픽 제어의 경우 네트워크 보안 그룹을 사용합니다.
성능 테스트 전에 Azure Firewall을 제대로 준비합니다. 테스트 20분 전에 부하 테스트의 일부가 아닌 초기 트래픽을 만듭니다. 진단 설정을 사용하여 스케일 업 및 스케일 다운 이벤트를 캡처합니다. Azure Load Testing 서비스를 사용하여 초기 트래픽을 생성하여 Azure Firewall을 최대 인스턴스 수로 확장할 수 있습니다.
/26 주소 공간을 사용하여 Azure Firewall 서브넷을 구성합니다. Azure Firewall 전용 서브넷이 필요합니다. Azure Firewall은 크기가 조정됨에 따라 더 많은 용량을 프로비전합니다. /26 주소 공간을 통해 방화벽이 크기 조정을 수용할 수 있는 충분한 IP 주소를 갖게 됩니다. Azure Firewall에는 /26보다 큰 서브넷이 필요하지 않습니다. Azure Firewall 서브넷 AzureFirewallSubnet의 이름을 지정합니다.
필요하지 않은 경우 고급 로깅을 사용하도록 설정하지 마세요. Azure Firewall은 활성 상태로 유지하는 데 상당한 비용이 발생할 수 있는 몇 가지 고급 로깅 기능을 제공합니다. 대신 이러한 기능은 문제 해결 목적으로만 사용할 수 있으며 제한된 시간 동안 사용할 수 있습니다. 필요하지 않은 경우 기능을 사용하지 않도록 설정합니다. 예를 들어 최상위 흐름 및 흐름 추적 로그 는 비용이 많이 들고 Azure Firewall 인프라에서 과도한 CPU 및 스토리지 사용량이 발생할 수 있습니다.
권장 사항
| 추천 | 장점 |
|---|---|
| 정책 분석 대시보드를 사용하여 Azure Firewall 정책을 최적화하는 방법을 식별합니다. | 정책 분석을 사용하여 정책 제한 충족, 부적절한 규칙 및 부적절한 IP 그룹 사용과 같은 정책의 잠재적 문제를 식별합니다. 보안 상태 및 규칙 처리 성능을 개선하기 위한 권장 사항을 가져옵니다. |
| 그룹 초기에 자주 사용되는 규칙을 배치하여 큰 규칙 집합이 있는 Azure Firewall 정책의 대기 시간을 최적화합니다. 자세한 내용은 Azure Firewall 정책을 사용하여 규칙을 처리하는 방법을 참조 하세요. |
자주 사용하는 규칙을 규칙 집합에 높게 배치하여 처리 대기 시간을 최적화합니다. Azure Firewall은 규칙 유형, 상속, 규칙 컬렉션 그룹 우선 순위 및 규칙 컬렉션 우선 순위에 따라 규칙을 처리합니다. Azure Firewall은 우선 순위가 높은 규칙 컬렉션 그룹을 먼저 처리합니다. 규칙 컬렉션 그룹 내에서 Azure Firewall은 우선 순위가 가장 높은 규칙 컬렉션을 먼저 처리합니다. |
| IP 그룹을 사용하여 IP 주소 범위를 요약하고 고유한 원본 또는 고유한 대상 네트워크 규칙의 제한을 초과하지 않도록 합니다. Azure Firewall은 네트워크 규칙을 만들 때 IP 그룹을 단일 주소로 처리합니다. | 이 방법을 사용하면 제한을 초과하지 않고 처리할 수 있는 IP 주소 수가 효과적으로 증가합니다. 각 규칙에 대해 Azure는 IP 주소별로 포트를 곱합니다. 따라서 하나의 규칙에 4개의 IP 주소 범위와 5개의 포트가 있는 경우 20개의 네트워크 규칙을 사용합니다. |
| Azure Firewall 웹 범주 를 사용하여 공용 인터넷 사이트의 긴 목록을 명시적으로 빌드하고 유지 관리하는 대신 아웃바운드 액세스를 대량으로 허용하거나 거부합니다. | 이 기능은 웹 콘텐츠를 동적으로 분류하고 압축 애플리케이션 규칙을 만들 수 있으므로 운영 오버헤드가 줄어듭니다. |
| 경고 및 거부 모드에서 IDPS의 성능 영향을 평가합니다. 자세한 내용은 Azure Firewall 성능을 참조하세요. | 경고 및 거부 모드에서 IDPS를 사용하도록 설정하여 악의적인 네트워크 활동을 감지하고 방지합니다. 이 기능을 사용하면 성능 저하가 발생할 수 있습니다. 그에 따라 계획할 수 있도록 워크로드에 미치는 영향을 이해합니다. |
| SNAT 포트 고갈에 취약한 배포에 대해 최소 5개의 공용 IP 주소로 Azure Firewall 배포를 구성합니다. | Azure Firewall은 각 백 엔드 Azure Virtual Machine Scale Sets 인스턴스에서 사용하는 각 공용 IP 주소에 대해 2,496개의 포트를 지원합니다. 이 구성은 사용 가능한 SNAT 포트를 5배 증가합니다. 기본적으로 Azure Firewall은 각 흐름 대상 IP, 대상 포트 및 TCP 또는 UDP 프로토콜에 대해 4,992개의 포트를 지원하는 두 개의 Virtual Machine Scale Sets 인스턴스를 배포합니다. 방화벽은 최대 20개의 인스턴스까지 확장됩니다. |
Azure 정책
Azure는 Azure Firewall 및 해당 종속성과 관련된 광범위한 기본 제공 정책 집합을 제공합니다. 이전 권장 사항 중 일부는 Azure Policy를 통해 감사할 수 있습니다. 예를 들어 다음을 확인할 수 있습니다.
네트워크 인터페이스에는 공용 IP가 없어야 합니다. 이 정책은 공용 IP로 구성된 네트워크 인터페이스를 거부합니다. 공용 IP 주소를 사용하면 인터넷 리소스가 Azure 리소스에 대한 인바운드 통신을 허용하고, Azure 리소스는 인터넷에 아웃바운드로 통신할 수 있습니다.
모든 인터넷 트래픽은 배포된 Azure Firewall 인스턴스를 통해 라우팅되어야 합니다. Azure Security Center는 일부 서브넷이 차세대 방화벽으로 보호되지 않음을 식별합니다. 잠재적인 위협으로부터 서브넷을 보호합니다. Azure Firewall 또는 지원되는 차세대 방화벽을 사용하여 서브넷에 대한 액세스를 제한합니다.
포괄적인 거버넌스를 위해 Azure Firewall에 대한 Azure Policy 기본 제공 정의 및 네트워크 보안에 영향을 줄 수 있는 기타 정책을 검토합니다.
Azure Advisor 권장 사항
Azure Advisor 는 Azure 배포를 최적화하기 위한 모범 사례를 따르는 데 도움이 되는 개인 설정된 클라우드 컨설턴트입니다. 다음은 Azure Firewall의 안정성, 보안, 비용 효율성, 성능 및 운영 우수성을 개선하는 데 도움이 되는 몇 가지 권장 사항입니다.
다음 단계
이 문서의 권장 사항을 보여 주는 다음 리소스를 참조하세요.
다음 참조 아키텍처를 워크로드에 이 문서의 지침을 적용하는 방법의 예제로 사용합니다.
구현 전문 지식을 향상하려면 다음 리소스를 사용합니다.
다른 리소스를 참조하세요.