Azure Firewall이란?

완료됨

여기서는 Azure Firewall과 Azure Firewall Manager의 기본 사항에 대해 알아봅니다. 이 개요는 Azure Firewall 및 Azure Firewall Manager가 Contoso의 네트워크 보안 전략에 적합한지 여부를 결정하는 데 도움이 됩니다.

Azure Firewall 개요

Azure Firewall은 들어오는 위협 및 나가는 위협으로부터 Azure Virtual Network 리소스를 보호하는 클라우드 기반 보안 서비스입니다. 다음 몇 개 섹션에서는 Azure Firewall의 기본 및 주요 기능에 대해 알아봅니다.

방화벽이란?

방화벽은 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크(예: 인터넷) 사이에 있는 네트워크 보안 기능입니다. 방화벽의 작업은 들어오고 나가는 모든 네트워크 트래픽을 분석하는 것입니다. 이 분석에 따라 방화벽은 트래픽 통과를 허용하거나 트래픽을 거부합니다. 이상적으로 방화벽은 맬웨어 및 침입 시도와 같은 악성 트래픽을 거부하는 동시에 모든 합법적인 트래픽을 허용합니다.

기본적으로 대부분의 방화벽은 들어오고 나가는 트래픽을 모두 거부합니다. 방화벽에서 네트워크 트래픽을 분석하는 경우 트래픽 통과를 허용하기 전에 특정 조건이 충족되는지 확인합니다. 이러한 조건은 지정된 IP 주소, FQDN, 네트워크 포트, 네트워크 프로토콜 또는 이러한 항목의 조합일 수 있습니다.

이러한 조건은 모두 방화벽 ‘규칙’을 정의합니다. 방화벽에는 단일 규칙만 포함될 수 있지만 대부분의 방화벽은 많은 규칙으로 구성됩니다. 방화벽 규칙의 조건을 충족하는 네트워크 트래픽만 통과하도록 허용됩니다.

일부 방화벽은 하드웨어를 기준으로 하며 방화벽으로 작동하도록 작성된 디바이스 내에 상주합니다. 다른 방화벽은 범용 컴퓨팅 장치에서 실행되는 소프트웨어 프로그램에 해당합니다.

Azure Firewall이란?

Azure Firewall은 클라우드 기반 방화벽 서비스입니다. 대부분의 구성에서 Azure Firewall은 허브 가상 네트워크 내에서 프로비저닝됩니다. 스포크 가상 네트워크와 온-프레미스 네트워크 간 트래픽은 방화벽을 트래버스하여 허브 네트워크로 이동합니다.

인터넷에서 들어오고 나가는 모든 트래픽은 기본적으로 거부됩니다. 구성된 방화벽 규칙과 같은 다양한 테스트를 통과하는 경우에만 트래픽이 허용됩니다.

참고 항목

Azure Firewall은 인터넷에서 들어오고 나가는 트래픽 뿐만 아니라 내부적인 트래픽에도 작동합니다. 내부 트래픽 필터링에는 온-프레미스 네트워크와 Azure 가상 네트워크 간의 스포크-스포크 트래픽 및 하이브리드 클라우드 트래픽이 포함됩니다.

Azure Firewall 표준의 주요 기능

다음 표에는 Azure Firewall 표준의 주요 기능이 나열되어 있습니다.

기능	설명
아웃바운드 SNAT(Source Network Address Translation)	모든 아웃바운드 트래픽은 Azure Firewall 인스턴스의 프라이빗 IP 주소로 전송됩니다. 각 원본 가상 머신의 IP 주소는 Azure Firewall 인스턴스의 고정 공용 IP 주소로 변환됩니다. 모든 외부 대상에 대한 네트워크 트래픽은 단일 공용 IP 주소에서 오는 것처럼 보입니다.
DNAT(Destination Network Address Translation)	외부 원본의 모든 인바운드 트래픽이 Azure Firewall 인스턴스의 공용 IP 주소로 전송됩니다. 허용된 트래픽은 가상 네트워크의 대상 리소스에 대한 개인 IP 주소로 변환됩니다.
애플리케이션 규칙	아웃바운드 트래픽을 FQDN 목록으로 제한하는 규칙입니다. 예를 들어, 아웃바운드 트래픽이 지정된 SQL Database 인스턴스의 FQDN에 액세스하도록 허용할 수 있습니다.
네트워크 규칙	네트워크 매개 변수를 기준으로 하는 들어오고 나가는 트래픽에 대한 규칙입니다. 이러한 매개 변수는 대상 또는 원본 IP 주소, 네트워크 포트 및 네트워크 프로토콜을 포함합니다.
위협 인텔리전스	알려진 악성 IP 주소 및 도메인 이름을 정의하는 Microsoft 위협 인텔리전스 규칙에 따라 들어오고 나가는 트래픽을 필터링합니다. 트래픽이 위협 인텔리전스 규칙을 준수하지 못할 경우 경고하는 모드와 사용자에게 경고하고 트래픽을 거부하는 모드의 두 가지 위협 인텔리전스 모드 중 하나를 사용하여 Azure Firewall을 구성할 수 있습니다.
상태 저장	단지 개별적으로가 아니라 컨텍스트에 따라 네트워크 패킷을 검사합니다. 현재 트래픽에서 하나 이상의 패킷이 예기치 않게 도착하면 Azure Firewall은 패킷을 악성으로 취급하고 거부합니다.
강제 터널링	Azure Firewall에서 모든 아웃바운드 트래픽을 인터넷으로 직접 전달하는 대신 지정된 네트워크 리소스로 라우팅할 수 있도록 합니다. 네트워크 리소스는 온-프레미스 하드웨어 방화벽이나, 트래픽이 네트워크를 통과하도록 허용하기 전에 트래픽을 처리하는 네트워크 가상 어플라이언스일 수 있습니다.
태그 지원	Azure Firewall은 규칙 구성을 용이하게 하기 위한 서비스 태그 및 FQDN 태그를 지원합니다. 서비스 태그는 Azure 서비스를 나타내는 텍스트 엔터티입니다. 예를 들어, AzureCosmosDB는 Azure Cosmos DB 서비스에 대한 서비스 태그입니다. FQDN 태그는 인기 있는 Microsoft 서비스와 연결된 도메인 이름 그룹을 나타내는 텍스트 엔터티입니다. 예를 들어, WindowsVirtualDesktop은 Azure Virtual Desktop 트래픽용 FQDN 태그입니다.
DNS 프록시	DNS 프록시를 사용하도록 설정하면 Azure Firewall에서 Virtual Network에서 원하는 DNS 서버로 DNS 쿼리를 처리하고 전달할 수 있습니다.
사용자 지정 DNS	자체 DNS 서버를 사용하도록 Azure Firewall을 구성할 수 있으며, 방화벽 아웃바운드 종속성이 Azure DNS로 계속 확인되도록 할 수 있습니다.
웹 범주	웹 범주 기능을 사용하면 관리자가 도박 웹 사이트, 소셜 미디어 웹 사이트 등의 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부할 수 있습니다.
모니터링	Azure Firewall은 들어오고 나가는 모든 네트워크 트래픽을 기록하며, Azure Monitor, Power BI, Excel 및 기타 도구를 사용하여 결과 로그를 분석할 수 있습니다.

Azure Firewall 프리미엄이란?

Azure Firewall 프리미엄은 결제 및 의료 서비스 산업과 같은 매우 민감하고 규제된 환경의 요구 사항을 충족하는 고급 위협 방지를 제공합니다.

Azure Firewall 프리미엄의 주요 기능

다음 표에는 Azure Firewall 프리미엄의 주요 기능이 나열되어 있습니다.

기능	설명
TLS 검사	아웃바운드 트래픽의 암호를 해독하고 데이터를 처리한 후 데이터를 암호화하고 대상으로 보냅니다.
IDPS	네트워크 IDPS(침입 탐지 및 방지 시스템)를 사용하면 네트워크 활동에서 악의적인 활동이 있는지 모니터링하고 이 활동에 대한 정보를 로그하고 보고하며 필요에 따라 해당 활동 차단을 시도할 수 있습니다.
URL 필터링	Azure Firewall의 FQDN 필터링 기능을 확장하여 전체 URL을 고려합니다. 예를 들어 www.contoso.com이 아닌 www.contoso.com/a/c입니다.
웹 범주	관리자는 도박 웹 사이트, 소셜 미디어 웹 사이트 등과 같은 웹 사이트 범주에 대한 사용자 액세스를 허용하거나 거부할 수 있습니다. 웹 범주는 Azure Firewall Premium에서 더 세부적으로 조정할 수 있습니다.

Azure Firewall Basic이란?

Azure Firewall Basic은 SMB(중소 규모) 고객이 Azure 클라우드 환경을 보호하기 위한 용도로 사용합니다. 저렴한 가격대에서 고객이 필요로 하는 필수 보호 SMB를 제공합니다.

Azure Firewall Basic은 Firewall Standard와 비슷하지만, 다음과 같은 제한 사항이 있습니다.

• 위협 인텔 경고 모드만 지원합니다.
• 두 개의 가상 머신 백 엔드 인스턴스에서 서비스를 실행하는 배율 단위가 수정되었습니다.
• 예상 처리량이 250Mbps인 환경에 권장됩니다.

Azure Firewall Manager 개요

Azure Firewall Manager는 여러 Azure Firewall 인스턴스를 구성하고 관리하는 중앙 지점을 제공합니다. Azure Firewall Manager를 사용하여 하나 이상의 방화벽 정책을 만들고 여러 방화벽에 신속하게 적용할 수 있습니다.

방화벽 정책이란?

단일 Azure Firewall의 구성은 복잡할 수 있습니다. 예를 들어, 여러 규칙 컬렉션을 사용하여 방화벽을 구성할 수 있습니다. 컬렉션은 다음 항목 중 일부 또는 전체의 조합입니다.

• 하나 이상의 NAT(Network Address Translation) 규칙
• 하나 이상의 네트워크 규칙
• 하나 이상의 애플리케이션 규칙

사용자 지정 DNS 및 위협 인텔리전스 규칙 등의 다른 방화벽 설정을 포함하는 경우 단일 방화벽만 구성하는 것은 부담이 될 수 있습니다. 이러한 부담 외에 다음과 같은 두 가지 일반적인 네트워크 보안 시나리오가 있습니다.

• 네트워크 아키텍처에 여러 방화벽이 필요합니다.
• 각 방화벽에서 모든 사용자에게 적용되는 기본 수준의 보안 규칙과 개발자, 데이터베이스 사용자, 마케팅 부서 등의 지정된 그룹을 위한 특별 규칙을 구현하려고 합니다.

이와 유사한 방화벽 시나리오를 관리하는 복잡성을 간소화하기 위해 방화벽 정책을 구현할 수 있습니다. 방화벽 정책은 NAT, 네트워크 및 애플리케이션 규칙 컬렉션을 하나 이상 포함하는 Azure 리소스입니다. 또한 사용자 지정 DNS 설정과 위협 인텔리전스 설정 등이 포함됩니다.

핵심은 Azure에서 방화벽 정책이라는 리소스를 제공한다는 점입니다. 만든 방화벽 정책은 해당 리소스의 인스턴스입니다. 별도의 리소스로 Azure Firewall Manager를 사용하여 여러 방화벽에 정책을 신속하게 적용할 수 있습니다. 기본 정책으로 사용할 정책을 하나 만들 수 있습니다. 그런 다음, 보다 특수화된 정책에 기본 정책의 규칙을 상속합니다.

Azure Firewall Manager의 주요 기능

다음 표에서는 Azure Firewall Manager의 주요 기능을 보여 줍니다.

기능	설명
중앙 집중식 관리	전체 네트워크의 모든 방화벽 구성을 관리합니다.
여러 방화벽 관리	단일 인터페이스에서 원하는 수의 방화벽을 배포, 구성 및 모니터링합니다.
여러 네트워크 아키텍처 지원	표준 Azure 가상 네트워크와 Azure Virtual WAN 허브를 모두 보호합니다.
자동 트래픽 라우팅	네트워크 트래픽은 자동으로 방화벽으로 라우팅됩니다(Azure Virtual WAN 허브와 함께 사용하는 경우만 해당).
계층 구조 정책	부모 및 자식 방화벽 정책을 만들 수 있습니다. 부모 정책에는 전역적으로 적용하려는 규칙과 설정이 포함됩니다. 자식 정책은 부모 정책의 모든 규칙과 설정을 상속합니다.
타사 보안 공급자 지원	네트워크의 인터넷 연결을 보호하기 위해 타사의 SECaaS(Security as a Service) 솔루션을 통합할 수 있습니다.
DDoS 보호 계획	Azure Firewall Manager 내에서 가상 네트워크를 DDoS 보호 계획과 연결할 수 있습니다.
Web Application Firewall 정책 관리	Azure Front Door 및 Azure Application Gateway를 포함하여 애플리케이션 제공 플랫폼에 대한 WAF(Web Application Firewall) 정책을 중앙에서 만들고 연결할 수 있습니다.

참고

타사 SECaaS 솔루션을 통합할 수 있으므로 타사 SECaaS 공급자를 사용하여 인터넷 트래픽을 모니터링 하면서, Azure Firewall을 사용하여 로컬 네트워크 트래픽을 모니터링하는 네트워크 보안 전략을 세울 수 있습니다.

아키텍처 옵션

Azure Firewall Manager는 다음과 같은 두 가지 네트워크 아키텍처에 대한 보안 관리 기능을 제공합니다.

• 허브 가상 네트워크. 하나 이상의 방화벽 정책이 적용되는 표준 Azure 가상 네트워크입니다.
• 보안 가상 허브. 하나 이상의 방화벽 정책이 적용되는 Azure Virtual WAN 허브입니다.