Azure Firewall Manager로 네트워크 보호
Azure Firewall Manager 작업
Azure Firewall Manager는 클라우드 기반 보안 경계에 대한 중앙 보안 정책 및 경로 관리를 제공하는 보안 관리 서비스입니다.
Azure Firewall Manager는 여러 Azure Firewall 인스턴스에서 트래픽 필터링을 위한 네트워크 및 애플리케이션 수준 규칙을 중앙에서 정의하는 프로세스를 간소화합니다. 트래픽 거버넌스 및 보호를 위해 허브 및 스포크 아키텍처의 다양한 Azure 지역 및 구독으로 범위를 확장할 수 있습니다.
여러 방화벽을 관리하는 경우 방화벽 규칙을 지속적으로 변경하면 방화벽을 동기화된 상태로 유지하기가 어렵습니다. 중앙 IT 팀은 기준 방화벽 정책을 정의하고 여러 사업부에서 이 정책을 적용하도록 할 방법이 있어야 합니다. 그와 동시에 DevOps 팀은 조직 전체에서 구현되는 자체 로컬 파생 방화벽 정책을 만들려고 합니다. Azure Firewall Manager는 이러한 문제를 해결하는 데 도움이 될 수 있습니다.
Firewall Manager는 다음 두 가지 네트워크 아키텍처 유형에 대한 보안 관리를 제공할 수 있습니다.
- 보안 가상 허브 - 보안 및 라우팅 정책이 연결된 경우 Azure Virtual WAN 허브에 지정된 이름입니다. Azure Virtual WAN Hub는 허브 및 스포크 아키텍처를 쉽게 만들 수 있는 Microsoft 관리 리소스입니다.
- 허브 가상 네트워크 - 보안 정책이 연결된 경우 표준 Azure 가상 네트워크에 지정된 이름입니다. 사용자가 직접 만들고 관리하는 표준 Azure 가상 네트워크입니다. 지금은 Azure Firewall Policy만 지원됩니다. 워크로드 서버 및 서비스가 포함된 스포크 가상 네트워크를 피어링할 수 있습니다. 또한 모든 스포크에 피어링되지 않는 독립 실행형 가상 네트워크에서 방화벽을 관리할 수 있습니다.
Azure Firewall Manager 기능
Azure Firewall Manager에서 제공하는 주요 기능은 다음과 같습니다.
중앙 Azure Firewall 배포 및 구성
여러 다른 Azure 지역 및 구독에 걸쳐 있는 여러 Azure Firewall 인스턴스를 중앙에서 배포하고 구성할 수 있습니다.
계층 구조 정책(글로벌 및 로컬)
Azure Firewall Manager를 사용하여 여러 보안 가상 허브에서 Azure Firewall 정책을 중앙에서 관리할 수 있습니다. 중앙의 IT 팀은 글로벌 방화벽 정책을 작성하여 팀 간에 조직 전체 방화벽 정책을 적용할 수 있습니다. 로컬로 작성된 방화벽 정책을 사용하면 DevOps 셀프 서비스 모델을 사용하여 민첩성을 강화할 수 있습니다.
고급 보안을 위해 타사 Security-as-a-Service와 통합
Azure Firewall 외에도 타사의 Security as a Service 공급자를 통합하여 VNet 및 분기 인터넷 연결에 대한 추가 네트워크 보호를 제공할 수 있습니다. 이 기능은 보안 가상 허브 배포에만 사용할 수 있습니다(위 내용 참조).
중앙 집중식 경로 관리
스포크 가상 네트워크에서 UDR(사용자 정의 경로)을 수동으로 설정하지 않고도 필터링 및 로깅을 위해 보안 허브로 트래픽을 쉽게 라우팅할 수 있습니다. 이 기능은 보안 가상 허브 배포에만 사용할 수 있습니다(위 내용 참조).
지역 가용성
지역 간에 Azure Firewall 정책을 사용할 수 있습니다. 예를 들어 미국 서부 지역에서 정책을 만들고, 미국 동부 지역에서 계속 사용할 수 있습니다.
DDoS 보호 계획
Azure Firewall Manager 내에서 가상 네트워크를 DDoS 보호 계획과 연결할 수 있습니다.
Web Application Firewall 정책 관리
Azure Front Door 및 Azure Application Gateway를 포함하여 애플리케이션 제공 플랫폼에 대한 WAF(Web Application Firewall) 정책을 중앙에서 만들고 연결할 수 있습니다.
Azure Firewall Manager 정책
방화벽 정책은 NAT, 네트워크, 애플리케이션 규칙 컬렉션 및 위협 인텔리전스 설정이 포함된 Azure 리소스입니다. 보안 가상 허브 및 허브 가상 네트워크의 여러 Azure Firewall 인스턴스에서 사용할 수 있는 글로벌 리소스입니다. 새 정책은 처음부터 새로 만들거나 기존 정책에서 상속할 수 있습니다. DevOps는 상속을 사용하여 조직에서 규정한 기본 정책에 따라 로컬 방화벽 정책을 만들 수 있습니다. 정책은 여러 지역 및 구독에서 작동합니다.
방화벽 정책을 만들어 Azure Firewall Manager와 연결할 수 있습니다. 하지만 REST API, 템플릿, Azure PowerShell, Azure CLI를 사용하여 정책을 만들고 관리할 수도 있습니다. 정책을 만든 후에는 Virtual WAN 허브의 방화벽과 연결하여 ‘보안 가상 허브’로 만들거나, 표준 Azure 가상 네트워크의 방화벽과 연결하여 ‘허브 가상 네트워크’로 만들 수 있습니다.
허브 가상 네트워크용 Azure Firewall Manager 배포
허브 가상 네트워크용 Azure Firewall Manager를 배포하기 위한 권장 프로세스는 다음과 같습니다.
방화벽 정책 만들기
정책을 새로 만들거나, 기본 정책을 기반으로 만들거나, 로컬 정책을 사용자 지정하거나, 기존 Azure Firewall에서 규칙을 가져올 수 있습니다. 여러 방화벽에 적용해야 하는 정책에서 NAT 규칙을 제거해야 합니다.
허브 및 스포크 아키텍처 만들기
이 작업을 수행하려면 Azure Firewall Manager를 사용하여 허브 가상 네트워크를 만들고 가상 네트워크 피어링을 사용하여 이 네트워크에 스포크 가상 네트워크를 피어링하거나, 가상 네트워크를 만들고 가상 네트워크 연결을 추가하고 가상 네트워크 피어링을 사용하여 이 네트워크에 스포크 가상 네트워크를 피어링합니다.
보안 공급자 선택 및 방화벽 정책 연결
현재 Azure Firewall만 지원되는 공급자입니다. 이는 허브 가상 네트워크를 만드는 동안 수행하거나, 기존 가상 네트워크를 허브 가상 네트워크로 변환하여 수행할 수 있습니다. 여러 가상 네트워크를 변환할 수도 있습니다.
허브 가상 네트워크 방화벽으로 트래픽을 라우팅하도록 사용자 정의 경로 구성
보안 가상 허브용 Azure Firewall Manager 배포
보안 가상 허브용 Azure Firewall Manager를 배포하는 권장 프로세스는 다음과 같습니다.
허브 및 스포크 아키텍처 만들기
이 작업을 수행하려면 Azure Firewall Manager를 사용하여 보안 가상 허브를 만들고 가상 네트워크 연결을 추가하거나, Virtual WAN 허브를 만들고 가상 네트워크 연결을 추가합니다.
보안 공급자 선택
보안 가상 허브를 만들거나 기존 Virtual WAN 허브를 보안 가상 허브로 변환하는 동안이 작업을 수행할 수 있습니다.
방화벽 정책 만들기 및 허브와 연결
이는 Azure Firewall을 사용하는 경우에만 적용됩니다. 타사 SECaaS(Security-as-a-service) 정책은 파트너 관리 환경을 통해 구성됩니다.
트래픽을 보안 가상 허브로 라우팅하는 경로 설정 구성
보안 가상 허브 경로 설정 페이지를 사용하여 스포크 가상 네트워크에서 UDR(사용자 정의 경로) 없이 필터링 및 로깅을 위해 보안 허브로 트래픽을 쉽게 라우팅할 수 있습니다.
지역별로 Virtual WAN당 허브를 두 개 이상 둘 수 없습니다. 그러나 그렇게 하려면 지역에 여러 Virtual WAN을 추가할 수 있습니다.
vWAN에서 허브의 IP 공간이 겹쳐서도 안 됩니다.
허브 VNet 연결은 허브와 같은 지역에 있어야 합니다.