Azure Bastion을 사용해야 하는 경우

  • 5분

이 단원에서는 Azure Bastion 사용법을 살펴보고 원격 VM에 안전하게 연결하는 데 적합한지 확인합니다. 다음 기준에 따라 Azure Bastion을 평가합니다.

  • 보안
  • 편리한 관리
  • 다른 앱과 통합

관리자는 VM 및 해당 VM에 설치된 앱을 포함하는 조직의 Azure 리소스 유지 관리를 위해 원격 관리를 사용해야 합니다. 이러한 리소스와 앱을 인터넷에 공개하지 않고도 안전하게 연결할 수 있는 기능을 고려하는 것이 중요합니다. Azure Bastion을 사용하여 관리 포트를 인터넷에 공개하지 않고도 호스트된 VM을 원격으로 연결하고 관리할 수 있습니다. 그러나 일부 관리자는 점프 상자라고도 불리는 점프 서버를 사용하여 이 요구 사항을 해결했습니다. 이 단원에서는 Azure Bastion이 보안 원격 관리 액세스를 제공하기 위한 방법으로 점프 상자를 대체할 수 있는지 확인합니다.

참고

점프 상자는 인터넷에서 액세스할 수 있는 공용 IP 주소를 가진 Azure VM입니다.

일반적인 점프 상자 시나리오에서 다음을 수행합니다.

  • 조직의 VM은 개인 IP 주소를 통해서만 구성되며 인터넷에서 직접 액세스할 수 없습니다.
  • 점프 상자는 관리자가 RDP 및 SSH를 사용하여 원격으로 관리하려는 VM과 동일한 가상 네트워크에 배포됩니다.
  • 인터넷, 점프 상자, 대상 VM 간의 네트워크 트래픽 흐름은 NSG에서 관리됩니다.
  • 관리자는 공용 IP를 사용하여 RDP를 통해 점프 상자에 연결합니다.

중요

공용 IP에서 RDP를 사용하여 점프 상자에 연결하므로 점프 상자 보안이 손상될 수 있습니다.

점프 상자는 서버 운영 체제를 실행하는 VM이므로 다음을 수행해야 합니다.

  • 패치 및 기타 업데이트로 VM을 최신 상태로 유지합니다.
  • 점프 상자와 대상 VM 간의 가상 네트워크 내에서 트래픽 흐름을 보호하기 위해 적절한 NSG를 구성합니다.

의사 결정 기준

점프 상자 또는 Azure Bastion이 조직의 Azure 리소스를 원격으로 관리하는 데 더 적합한 옵션인지 확인하려면 보안, 관리 용이성 및 통합과 같은 기준을 고려하세요. 다음은 이러한 기준에 대한 분석입니다.

조건 분석
보안 Azure Bastion은 해당 공용 IP에 RDP/SSH를 공개하지 않습니다. 점프 상자와 달리 Azure Bastion은 Azure Portal의 TLS로 보호된 연결만 지원합니다. Azure Bastion에서는 트래픽 흐름을 보호하기 위해 NSG를 구성할 필요가 없습니다.
편리한 관리 Azure Bastion은 완전 관리형 PaaS 서비스입니다. 기본 업데이트가 필요한 점프 상자와 같은 VM이 아닙니다. Azure Bastion을 사용하는 클라이언트 또는 에이전트가 필요하지 않으며 패치 및 업데이트를 적용하지 않아도 됩니다. 또한 관리 콘솔에 다른 소프트웨어를 설치하거나 유지 관리할 필요가 없습니다.
통합 Azure Firewall과 같은 Azure의 다른 기본 보안 서비스와 Azure Bastion을 통합할 수 있습니다. 점프 서버에는 이 옵션이 없습니다.

참고

구독, 계정 또는 VM이 아닌 가상 네트워크 또는 피어링된 가상 네트워크당 Azure 방호를 배포합니다.

조건 적용

Azure Bastion은 호스트된 VM의 보안 원격 관리를 사용하도록 설정하는 주요 목표를 해결합니다. 관리 서비스로서 Azure Bastion을 업데이트하거나 NSG 및 관련 설정을 수동으로 구성할 필요가 없습니다. Azure Bastion은 Azure 호스트 VM의 안전한 원격 관리를 가능하게 하는 최상의 솔루션입니다.

관리할 원격 Azure 호스트 VM이 있는 경우 Azure Bastion 사용을 고려하고 다음을 수행합니다.

  • RDP/SSH를 사용하여 해당 VM에 연결해야 합니다.
  • 이러한 원격 VM에 연결하는 방법을 유지하고 싶지 않습니다.
  • 원격 관리를 사용하도록 NSG 설정을 구성하고 싶지 않습니다.
  • 점프 상자를 사용하지 않으려 합니다.

배포할 Azure Bastion 호스트 수를 결정할 때 가상 네트워크 또는 피어링된 가상 네트워크당 하나씩 필요합니다. VM 당 또는 서브넷별로 Azure Bastion을 배포할 필요가 없습니다.