Azure Firewall Manager로 네트워크 보호

  • 10분

Azure Firewall Manager 작업

Azure Firewall Manager는 클라우드 기반 보안 경계에 대한 중앙 보안 정책 및 경로 관리를 제공하는 보안 관리 서비스입니다.

보안 허브 및 허브 VNet 배포 옵션을 보여 주는 Azure Firewall Manager의 다이어그램

Azure Firewall Manager는 여러 Azure Firewall 인스턴스에서 트래픽 필터링을 위한 네트워크 및 애플리케이션 수준 규칙을 중앙에서 정의하는 프로세스를 간소화합니다. 트래픽 거버넌스 및 보호를 위해 허브 및 스포크 아키텍처의 다양한 Azure 지역 및 구독으로 범위를 확장할 수 있습니다.

여러 방화벽을 관리하는 경우 방화벽 규칙을 똑같이 유지하기가 어려운 경우가 많습니다. 중앙 IT 팀은 기본 방화벽 정책을 정의하고 이를 여러 사업부에 시행할 방법이 필요합니다. 그와 동시에 DevOps 팀은 조직 전체에서 구현되는 자체 로컬 파생 방화벽 정책을 만들려고 합니다. Azure Firewall Manager는 이러한 문제를 해결하는 데 도움이 될 수 있습니다.

Firewall Manager는 다음 두 가지 네트워크 아키텍처 유형에 대한 보안 관리를 제공할 수 있습니다.

  • 보안 가상 허브. 이 이름은 연결된 보안 및 라우팅 정책이 있는 모든 Azure Virtual WAN 허브에 지정됩니다. Azure Virtual WAN 허브는 허브 및 스포크 아키텍처를 쉽게 만들 수 있게 해주는 Microsoft 관리되는 리소스입니다.
  • 허브 가상 네트워크. 이 이름은 연결된 보안 정책이 있는 모든 표준 Azure 가상 네트워크에 지정됩니다. 사용자가 직접 만들고 관리하는 표준 Azure 가상 네트워크입니다. 워크로드 서버 및 서비스가 포함된 스포크 가상 네트워크를 피어링할 수 있습니다. 어떤 스포크에도 피어링되지 않는 독립 실행형 가상 네트워크에서 방화벽을 관리할 수도 있습니다.

Azure Firewall Manager 기능

Azure Firewall Manager에서 제공하는 주요 기능은 다음과 같습니다.

  • 중앙 Azure Firewall 배포 및 구성. 여러 다른 Azure 지역 및 구독에 걸쳐 있는 여러 Azure Firewall 인스턴스를 중앙에서 배포하고 구성할 수 있습니다.

  • 계층적 정책(글로벌 및 로컬). Azure Firewall Manager를 사용하여 여러 보안 가상 허브에서 Azure Firewall 정책을 중앙에서 관리할 수 있습니다. 중앙의 IT 팀은 글로벌 방화벽 정책을 작성하여 팀 간에 조직 전체 방화벽 정책을 적용할 수 있습니다. 로컬로 작성된 방화벽 정책을 사용하면 DevOps 셀프 서비스 모델을 사용하여 민첩성을 강화할 수 있습니다.

  • 고급 보안을 위해 타사 SaaS(Security-as-a-Service)와 통합. Azure Firewall 외에도 타사의 Security as a Service 공급자를 통합하여 VNet 및 분기 인터넷 연결에 대한 추가 네트워크 보호를 제공할 수 있습니다. 이 기능은 보안 가상 허브 배포에만 사용할 수 있습니다.

  • 중앙화된 경로 관리. 스포크 가상 네트워크에서 UDR(사용자 정의 경로)을 수동으로 설정하지 않고도 필터링 및 로깅을 위해 보안 허브로 트래픽을 쉽게 라우팅할 수 있습니다. 이 기능은 보안 가상 허브 배포에만 사용할 수 있습니다.

  • 지역 가용성. 지역 간에 Azure Firewall 정책을 사용할 수 있습니다. 예를 들어 미국 서부 지역에서 정책을 만들고, 미국 동부 지역에서 계속 사용할 수 있습니다.

  • DDoS 보호 계획. Azure Firewall Manager 내에서 가상 네트워크를 DDoS 보호 계획과 연결할 수 있습니다.

  • Web Application Firewall 정책 관리. Azure Front Door 및 Azure Application Gateway를 포함하여 애플리케이션 제공 플랫폼에 대한 WAF(Web Application Firewall) 정책을 중앙에서 만들고 연결할 수 있습니다.

Azure Firewall Manager 정책

방화벽 정책은 NAT, 네트워크, 애플리케이션 규칙 컬렉션 및 위협 인텔리전스 설정이 포함된 Azure 리소스입니다. 보안 가상 허브 및 허브 가상 네트워크의 여러 Azure Firewall 인스턴스에서 사용할 수 있는 글로벌 리소스입니다. 새 정책은 처음부터 새로 만들거나 기존 정책에서 상속할 수 있습니다. DevOps는 상속을 사용하여 조직에서 규정한 기본 정책에 따라 로컬 방화벽 정책을 만들 수 있습니다. 정책은 여러 지역 및 구독에서 작동합니다.

방화벽 정책을 만들어 Azure Firewall Manager와 연결할 수 있습니다. 하지만 REST API, 템플릿, Azure PowerShell, Azure CLI를 사용하여 정책을 만들고 관리할 수도 있습니다. 정책을 만든 후에는 Virtual WAN 허브의 방화벽과 연결하여 ‘보안 가상 허브’로 만들거나, 표준 Azure 가상 네트워크의 방화벽과 연결하여 ‘허브 가상 네트워크’로 만들 수 있습니다.

정책이 적용된 서로 다른 허브 VNet에 배포된 3개의 방화벽이 있는 Azure Firewall Manager 다이어그램

허브 가상 네트워크용 Azure Firewall Manager 배포

허브 가상 네트워크용 Azure Firewall Manager를 배포하기 위한 권장 프로세스는 다음과 같습니다.

  1. 방화벽 정책을 만듭니다. 정책을 새로 만들거나, 기본 정책을 기반으로 만들거나, 로컬 정책을 사용자 지정하거나, 기존 Azure Firewall에서 규칙을 가져올 수 있습니다. 여러 방화벽에 적용해야 하는 정책에서 NAT 규칙을 제거해야 합니다.

  2. 허브 및 스포크 아키텍처 만들기. Azure Firewall Manager를 사용하여 허브 가상 네트워크를 만들고, 여기에 스포크 가상 네트워크를 피어링합니다. 또는 가상 네트워크를 만들고 가상 네트워크 연결과 피어링에 피어링 스포크 가상 네트워크를 추가합니다.

  3. 보안 공급자 선택 및 방화벽 정책 연결. 현재 Azure Firewall만 지원되는 공급자입니다. 허브 가상 네트워크를 만들거나 기존 가상 네트워크를 허브 가상 네트워크로 변환합니다. 여러 가상 네트워크를 변환할 수 있습니다.

  4. 허브 가상 네트워크 방화벽으로 트래픽을 라우팅하도록 사용자 정의 경로 구성.

보안 가상 허브용 Azure Firewall Manager 배포

보안 가상 허브용 Azure Firewall Manager를 배포하는 권장 프로세스는 다음과 같습니다.

  1. 허브 및 스포크 아키텍처를 만듭니다. Azure Firewall Manager를 사용하여 보안 가상 허브를 만들고 가상 네트워크 연결을 추가합니다. 또는 Virtual WAN 허브를 만들고 가상 네트워크 연결을 추가합니다.

  2. 보안 공급자를 선택합니다. 보안 가상 허브를 만들거나 기존 Virtual WAN 허브를 보안 가상 허브로 변환합니다.

  3. 방화벽 정책을 만들고 허브와 연결합니다. Azure Firewall을 사용하는 경우에만 적용됩니다. 타사 SECaaS(Security-as-a-service) 정책은 파트너 관리 환경을 통해 구성됩니다.

  4. 트래픽을 보안 가상 허브로 라우팅하는 경로 설정을 구성합니다. 보안 가상 허브 경로 설정 페이지를 사용하여 스포크 가상 네트워크에서 UDR(사용자 정의 경로) 없이 필터링 및 로깅을 위해 보안 허브로 트래픽을 쉽게 라우팅할 수 있습니다.

참고 항목

지역별로 Virtual WAN당 허브를 두 개 이상 둘 수 없습니다. 그러나 그렇게 하려면 지역에 여러 Virtual WAN을 추가할 수 있습니다. 허브 VNet 연결은 허브와 같은 지역에 있어야 합니다.