제로 트러스트 원칙을 적용하여 레거시 네트워크 보안 기술 중단
이 문서에서는 Azure 환경에서 레거시 네트워크 보안 기술을 중단하기 위한 제로 트러스트 원칙을 적용하기 위한 지침을 제공합니다. 다음은 제로 트러스트 원칙입니다.
제로 트러스트 원칙 | 정의 |
---|---|
명시적으로 확인 | 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. |
최소 권한 액세스 사용 | JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. |
위반 가정 | 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다. 더 높은 수준의 보안을 위해 레거시 네트워크 서비스를 제거하거나 업그레이드하여 Azure 환경에 대한 방어를 개선합니다. |
이 문서는 Azure 네트워킹에 제로 트러스트 원칙을 적용하는 방법을 보여 주는 일련의 문서의 일부입니다.
레거시 네트워크 보안 기술의 사용을 중단하기 위해 검토할 Azure 네트워킹 영역은 다음과 같습니다.
- 네트워킹 기본 서비스
- 부하 분산 및 콘텐츠 배달 서비스
- 하이브리드 연결 서비스
레거시 네트워크 보안 기술을 사용하지 않도록 전환하면 공격자가 환경에 액세스하거나 환경 간에 이동하여 광범위한 피해를 입힐 수 있습니다(위반 가정 제로 트러스트 원칙).
참조 아키텍처
다음 다이어그램에서는 Azure 환경의 구성 요소에 대한 레거시 네트워크 보안 기술을 중단하기 위한 이 제로 트러스트 지침에 대한 참조 아키텍처를 보여 줍니다.
이 참조 아키텍처에는 다음이 포함됩니다.
- Azure 가상 머신에서 실행되는 Azure IaaS 워크로드.
- Azure 서비스.
- Azure VPN Gateway 및 Azure 애플리케이션 Gateway를 포함하는 보안 VNet(가상 네트워크)입니다.
- Azure Load Balancer를 포함하는 인터넷 에지 VNet입니다.
- Azure 환경의 가장자리에 있는 Azure Front Door입니다.
이 문서의 내용
인터넷 또는 온-프레미스 네트워크의 사용자 및 관리자에서 Azure 환경 내에서 참조 아키텍처 전반에 제로 트러스트 원칙을 적용합니다. 다음 표에서는 위반 가정 제로 트러스트 원칙에 대해 이 아키텍처에서 레거시 네트워크 보안 기술을 중단하기 위한 주요 작업을 나열합니다.
Step | 작업 |
---|---|
1 | 네트워크 기반 서비스를 검토합니다. |
2 | 콘텐츠 배달 및 부하 분산 서비스를 검토합니다. |
3 | 하이브리드 연결 서비스를 검토합니다. |
1단계: 네트워크 기반 서비스 검토
네트워크 기반 서비스에 대한 검토에는 다음이 포함됩니다.
- 기본 공용 IP SKU에서 표준 공용 IP SKU로 이동합니다.
- 가상 머신 IP 주소가 명시적 아웃바운드 액세스를 사용하는지 확인합니다.
이 다이어그램은 참조 아키텍처에서 Azure 네트워크 기반 서비스를 업데이트하기 위한 구성 요소를 보여 줍니다.
기본 공용 IP SKU
IP 주소(공용 및 프라이빗)는 프라이빗 및 공용 리소스 간의 통신을 가능하게 하는 Azure의 IP 서비스의 일부입니다. 공용 IP는 VNet 게이트웨이, 애플리케이션 게이트웨이 및 인터넷에 대한 아웃바운드 연결이 필요한 다른 서비스와 연결됩니다. 프라이빗 IP를 사용하면 내부적으로 Azure 리소스 간에 통신할 수 있습니다.
기본 공용 IP SKU는 현재 레거시로 간주되며 표준 공용 IP SKU보다 더 많은 제한 사항이 있습니다. 기본 공용 IP SKU에 대한 제로 트러스트 주요 제한 사항 중 하나는 표준 공용 IP SKU에서 필수이지만 네트워크 보안 그룹을 사용할 필요는 없지만 권장된다는 것입니다.
표준 공용 IP SKU의 또 다른 중요한 기능은 Microsoft 글로벌 네트워크를 통한 라우팅과 같은 라우팅 기본 설정을 선택하는 기능입니다. 이 기능은 가능한 한 Microsoft 백본 네트워크 내의 트래픽을 보호하고 아웃바운드 트래픽은 가능한 한 서비스 또는 최종 사용자에 가깝게 종료됩니다.
자세한 내용은 Azure Virtual Network IP 서비스를 참조 하세요.
참고 항목
기본 공용 IP SKU는 2025년 9월에 사용 중지됩니다.
기본 아웃바운드 액세스
기본적으로 Azure는 인터넷에 대한 아웃바운드 액세스를 제공합니다. 리소스에서의 연결은 기본적으로 시스템 경로 및 네트워크 보안 그룹에 대한 기본 아웃바운드 규칙으로 부여됩니다. 즉, 명시적 아웃바운드 연결 방법이 구성되지 않은 경우 Azure는 기본 아웃바운드 액세스 IP 주소를 구성합니다. 그러나 명시적 아웃바운드 액세스가 없으면 특정 보안 위험이 발생합니다.
인터넷 트래픽에 가상 머신 IP 주소를 열어 두지 않는 것이 좋습니다. 기본 아웃바운드 IP 액세스 및 IP 주소는 해당 종속성과 함께 변경할 수 있습니다. 여러 NIC(네트워크 인터페이스 카드)가 장착된 가상 머신의 경우 모든 NIC IP 주소가 인터넷 아웃바운드 액세스 권한을 가지도록 허용하지 않는 것이 좋습니다. 대신 필요한 NIC에 대한 액세스만 제한해야 합니다.
다음 옵션 중 하나를 사용하여 명시적 아웃바운드 액세스를 설정하는 것이 좋습니다.
-
최대 원본 SNAT(네트워크 주소 변환) 포트의 경우 아웃바운드 연결을 위해 Azure NAT Gateway를 권장합니다.
표준 SKU Azure Load Balancer
이를 위해서는 Azure NAT 게이트웨이만큼 효율적이지 않을 수 있는 SNAT를 프로그래밍하기 위한 부하 분산 규칙이 필요합니다.
공용 IP 주소의 제한된 사용
가상 머신에 직접 공용 IP 주소를 할당하는 작업은 확장성 및 보안 고려 사항으로 인해 테스트 또는 개발 환경에 대해서만 수행해야 합니다.
2단계: 콘텐츠 배달 및 부하 분산 서비스 검토
Azure에는 웹 애플리케이션에 트래픽을 보내고 배포하는 데 도움이 되는 많은 애플리케이션 배달 서비스가 있습니다. 경우에 따라 서비스의 새 버전 또는 계층이 환경을 개선하고 최신 업데이트를 제공합니다. 각 애플리케이션 배달 서비스 내에서 마이그레이션 도구를 사용하여 최신 버전의 서비스로 쉽게 전환하고 새롭고 향상된 기능을 활용할 수 있습니다.
콘텐츠 배달 및 부하 분산 서비스에 대한 검토에는 다음이 포함됩니다.
- 클래식 계층에서 프리미엄 또는 표준 계층으로 Azure Front Door 계층 마이그레이션
- Azure 애플리케이션 게이트웨이를 WAF_v2 마이그레이션합니다.
- 표준 SKU Azure Load Balancer로 마이그레이션
이 다이어그램은 Azure 콘텐츠 배달 및 부하 분산 서비스를 업데이트하기 위한 구성 요소를 보여 줍니다.
Azure Front Door
Azure Front Door 에는 프리미엄, 표준 및 클래식의 세 가지 계층이 있습니다. 표준 및 프리미엄 계층은 Azure Front Door 클래식 계층, Azure Content Delivery Network 및 AZURE WAF(웹 애플리케이션 방화벽) 의 기능을 하나의 서비스로 결합합니다.
Microsoft는 이러한 새로운 기능과 업데이트를 즐길 수 있도록 클래식 Azure Front Door 프로필을 프리미엄 또는 표준 계층으로 마이그레이션하는 것이 좋습니다. 프리미엄 계층은 백 엔드 서비스에 대한 프라이빗 연결, Microsoft 관리 WAF 규칙 및 웹 애플리케이션에 대한 봇 보호와 같은 향상된 보안 기능에 중점을 둡니다.
향상된 기능 외에도 Azure Front Door Premium에는 추가 비용 없이 서비스에 기본 제공되는 보안 보고서가 포함되어 있습니다. 이러한 보고서는 WAF 보안 규칙을 분석하고 웹 애플리케이션에서 발생할 수 있는 공격 종류를 확인하는 데 도움이 됩니다. 또한 보안 보고서를 통해 다양한 차원별로 메트릭을 검사할 수 있으며, 이를 통해 트래픽의 원본 위치와 기준별 상위 이벤트 분석 결과를 파악할 수 있습니다.
Azure Front Door 프리미엄 계층은 클라이언트와 웹 애플리케이션 간에 가장 강력한 인터넷 보안 조치를 제공합니다.
Azure Application Gateway
Azure 애플리케이션 게이트웨이에는 두 가지 SKU 유형인 v1 및 v2와 두 SKU에 적용할 수 있는 WAF 버전이 있습니다. 성능 업그레이드 및 자동 크기 조정, 사용자 지정 WAF 규칙 및 Azure Private Link 지원과 같은 새로운 기능을 활용하려면 Azure 애플리케이션 Gateway를 WAF_v2 SKU로 마이그레이션하는 것이 좋습니다.
사용자 지정 WAF 규칙을 사용하면 Azure 애플리케이션 게이트웨이를 통과하는 모든 요청을 평가하는 조건을 지정할 수 있습니다. 이러한 규칙은 관리되는 규칙 집합의 규칙보다 우선 순위가 높으며 애플리케이션 및 보안 요구 사항에 맞게 사용자 지정할 수 있습니다. 사용자 지정 WAF 규칙은 IP 주소를 국가 코드와 일치시켜 국가 또는 지역별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다.
WAFv2로 마이그레이션하는 또 다른 이점은 다른 VNet 또는 다른 구독에서 액세스할 때 Azure Private Link 서비스를 통해 Azure 애플리케이션 Gateway에 연결할 수 있다는 것입니다. 이 기능을 사용하면 사용자 및 디바이스만 프라이빗 엔드포인트를 통해 액세스할 수 있도록 허용하면서 Azure 애플리케이션 게이트웨이에 대한 공용 액세스를 차단할 수 있습니다. Azure Private Link 연결을 사용하면 각 프라이빗 엔드포인트 연결을 승인해야 하므로 올바른 엔터티만 액세스할 수 있습니다. v1과 v2 SKU의 차이점에 대한 자세한 내용은 Azure 애플리케이션 Gateway v2를 참조하세요.
Azure Load Balancer
2025년 9월에 기본 공용 IP SKU가 사용 중지될 예정이면 기본 공용 IP SKU IP 주소를 사용하는 서비스를 업그레이드해야 합니다. Microsoft는 기본 SKU에 포함되지 않은 보안 조치를 구현하기 위해 현재 기본 SKU Azure Load Balancer를 표준 SKU Azure Load Balancer로 마이그레이션하는 것이 좋습니다.
표준 SKU Azure Load Balancer를 사용하면 기본적으로 안전합니다. 적용된 네트워크 보안 그룹의 규칙에 의해 허용되지 않는 한 공용 부하 분산 장치에 대한 모든 인바운드 인터넷 트래픽이 차단됩니다. 이 기본 동작은 준비가 되기 전에 실수로 가상 머신 또는 서비스에 대한 인터넷 트래픽을 허용하지 않도록 하고 리소스에 액세스할 수 있는 트래픽을 제어할 수 있도록 합니다.
표준 SKU Azure Load Balancer는 Azure Private Link를 사용하여 프라이빗 엔드포인트 연결을 만듭니다. 이 연결은 부하 분산 장치 뒤에 있는 리소스에 대한 프라이빗 액세스를 허용하지만 사용자가 해당 환경에서 액세스하도록 하려는 경우에 유용합니다.
3단계: 하이브리드 연결 서비스 검토
하이브리드 연결 서비스의 검토에는 Azure VPN Gateway에 대한 새로운 세대의 SKU 사용이 포함됩니다.
이 다이어그램은 참조 아키텍처에서 Azure 하이브리드 연결 서비스를 업데이트하기 위한 구성 요소를 보여 줍니다.
현재 Azure에서 하이브리드 네트워크를 연결하는 가장 효과적인 방법은 Azure VPN Gateway용 차세대 SKU를 사용하는 것입니다. 클래식 VPN 게이트웨이를 계속 사용할 수 있지만 오래되고 안정성이 떨어집니다. 클래식 VPN 게이트웨이는 최대 10개의 IPsec(인터넷 프로토콜 보안) 터널을 지원하는 반면, 최신 Azure VPN Gateway SKU는 최대 100개의 터널을 확장할 수 있습니다.
최신 SKU는 최신 드라이버 모델에서 작동하며 최신 보안 소프트웨어 업데이트를 통합합니다. 이전 드라이버 모델은 최신 워크로드에 적합하지 않은 오래된 Microsoft 기술을 기반으로 했습니다. 최신 드라이버 모델은 뛰어난 성능과 하드웨어를 제공할 뿐만 아니라 향상된 복원력을 제공합니다. VPN Gateway의 AZ SKU 집합은 가용성 영역에 배치할 수 있으며 여러 공용 IP 주소가 있는 활성-활성 연결을 지원하여 복원력을 향상시키고 재해 복구를 위한 향상된 옵션을 제공합니다.
또한 동적 라우팅 요구 사항의 경우 클래식 VPN Gateway는 BGP(Border Gateway Protocol)를 실행할 수 없으며 IKEv1만 사용했으며 동적 라우팅을 지원하지 않았습니다. 요약하면 클래식 SKU VPN 게이트웨이는 더 작은 워크로드, 낮은 대역폭 및 정적 연결을 위해 설계되었습니다.
클래식 VPN 게이트웨이에는 IPsec 터널의 보안 및 기능에도 제한이 있습니다. IKEv1 프로토콜 및 보안 위반에 더 취약한 제한된 암호화 및 해시 알고리즘 집합을 사용하는 정책 기반 모드만 지원합니다. 1단계 및 2단계 프로토콜에 대한 광범위한 옵션을 제공하는 새 SKU로 전환하는 것이 좋습니다. 주요 장점은 경로 기반 VPN Gateway가 IKEv1 및 IKEv2 기본 모드를 모두 사용하여 구현 유연성과 보다 강력한 암호화 및 해시 알고리즘을 제공할 수 있다는 것입니다.
기본 암호화 값보다 높은 보안이 필요한 경우 경로 기반 VPN Gateway를 사용하면 1단계 및 2단계 매개 변수를 사용자 지정하여 특정 암호 및 키 길이를 선택할 수 있습니다. 더 강력한 암호화 그룹에는 그룹 14(2048비트), 그룹 24(2048비트 MODP 그룹) 또는 ECP(타원 곡선 그룹) 256비트 또는 384비트(각각 그룹 19 및 그룹 20)가 포함됩니다. 또한 트래픽 선택기 설정을 사용하여 암호화된 트래픽을 보낼 수 있는 접두사 범위를 지정하여 무단 트래픽으로부터 터널 협상을 추가로 보호할 수 있습니다.
자세한 내용은 Azure VPN Gateway 암호화를 참조 하세요.
Azure VPN Gateway SKU는 P2S(지점 및 사이트 간) VPN 연결을 용이하게 하여 OpenVPN 및 SSTP(Secure Socket Tunneling Protocol)와 같은 SSL/TLS를 기반으로 하는 IKEv2 표준 및 VPN 프로토콜을 기반으로 하는 IPsec 프로토콜을 모두 활용합니다. 이 지원은 사용자에게 다양한 구현 방법을 제공하고 다른 디바이스 운영 체제를 사용하여 Azure에 연결할 수 있도록 합니다. 또한 Azure VPN Gateway SKU는 인증서 인증, Microsoft Entra ID 인증 및 AD DS(Active Directory 도메인 Services) 인증을 비롯한 많은 클라이언트 인증 옵션을 제공합니다.
참고 항목
클래식 IPSec 게이트웨이는 2024년 8월 31일에 사용 중지됩니다.
권장되는 교육
- Azure 관리자를 위한 가상 네트워크 구성 및 관리
- 네트워크 보안 그룹 및 서비스 엔드포인트를 사용하여 Azure 리소스에 대한 액세스 보호 및 격리
- Azure Front Door 소개
- Azure Application Gateway 소개
- Azure 웹 애플리케이션 방화벽 소개
- Azure Private Link 소개
- VPN Gateway를 사용하여 온-프레미스 네트워크를 Azure에 연결
다음 단계
Azure 네트워킹에 제로 트러스트 적용하는 방법에 대한 자세한 내용은 다음을 참조하세요.
- Azure 기반 네트워크 통신 암호화
- Azure 기반 네트워크 통신 분할
- 네트워크 트래픽에 대한 가시성 확보
- 제로 트러스트를 통한 네트워크 보호
- Azure의 스포크 가상 네트워크
- Azure의 허브 가상 네트워크
- Azure PaaS 서비스를 사용하는 스포크 가상 네트워크
- Azure 가상 WAN
참조
이 문서에 언급된 다양한 서비스 및 기술에 대해 알아보려면 이러한 링크를 참조하세요.