Azure Private Link를 사용하는 경우

  • 8분

Private Link와 그 작동 방식을 알고 있습니다. 이제 Private Link가 회사에 적합한 선택인지 평가하는 데 몇 가지 기준이 필요합니다. 결정에 도움이 되도록 다음 목표를 고려해 보겠습니다.

  • Azure PaaS 서비스를 가상 네트워크에 제공
  • 회사 네트워크와 Azure 클라우드 사이의 트래픽 보안 유지
  • PaaS 서비스에 대한 인터넷 노출 제거
  • 네트워크에서 Azure PaaS 리소스 액세스
  • 데이터 반출의 위험 절감
  • 고객에게 회사에서 생성한 Azure 서비스에 대한 비공개 액세스 제공

Azure Private Link 평가의 일환으로 Contoso에 몇 가지 목표가 있음을 알고 있습니다. 자세한 내용은 해당하는 섹션을 읽어보세요.

Azure PaaS 서비스를 가상 네트워크에 제공

리소스 및 그 구성 방법에 따라 Azure PaaS 서비스에 연결하는 것은 복잡할 수 있습니다. Private Link는 Azure 서비스를 Azure 가상 네트워크의 또 다른 노드로 표시되도록 하여 복잡성을 줄입니다. Private Link 리소스가 실질적으로 가상 네트워크의 일부가 된 가운데 클라이언트는 상대적으로 직관적인 FQDN을 사용하여 연결을 만들 수 있습니다.

회사 네트워크와 Azure 클라우드 사이의 트래픽 보안 유지

클라우드 컴퓨팅의 한 가지 역설이 있습니다. 클라우드 기반 가상 머신이 동일한 클라우드 공급자의 서비스에 액세스하려면 연결과 트래픽이 클라우드 밖으로 나가야 합니다. 다시 말해 엔드포인트가 클라우드에 있더라도 트래픽은 인터넷을 따라 움직인다는 것입니다.

하지만 트래픽이 클라우드를 벗어나면 “공개”되어 위험에 노출됩니다. 부정한 작업자가 이러한 트래픽을 도용, 모니터링 또는 손상시키는 데 사용할 수 있는 잠재적인 공격 방법은 매우 많습니다.

Private Link는 인터넷을 통과하지 않도록 트래픽 경로를 재설정하여 이러한 위험을 제거합니다. 대신 가상 네트워크와 Private Link 리소스 사이의 모든 트래픽은 Microsoft의 안전한 비공개 Azure 백본을 따라 흐릅니다.

PaaS 서비스에 대한 인터넷 노출 제거

대부분의 Azure PaaS 리소스는 인터넷에 연결되어 있습니다. 이러한 리소스에는 기본적으로 공용 IP 주소를 제공하는 공용 엔드포인트가 있으므로 클라이언트가 인터넷을 통해 리소스에 연결할 수 있습니다.

공용 엔드포인트는 설계상 리소스를 인터넷에 노출합니다. 하지만 이 엔드포인트는 서비스에 잠입하거나 이를 중단시키려는 블랙 햇 해커의 공격 지점이 될 수 있습니다.

Private Link는 이러한 공격을 방지하려 하지 않습니다. 하지만 프라이빗 엔드포인트를 생성하고 이를 Azure 리소스에 매핑하면 더 이상 리소스의 공용 엔드포인트가 필요하지 않습니다. 다행히 공용 엔드포인트를 비활성화하도록 리소스를 구성할 수 있어 더 이상 인터넷에 공격 표면이 드러나지 않습니다.

네트워크에서 Azure PaaS 리소스 액세스

단일 가상 네트워크로 네트워크 설정이 구성되는 경우는 많지 않습니다. 대부분의 네트워크에는 다음 중 하나 또는 모두가 포함됩니다.

  • Azure Virtual Network 피어링을 통해 연결된 하나 이상의 피어링된 네트워크.

  • ExpressRoute 개인 피어링 또는 VPN 터널을 통해 연결된 하나 이상의 온-프레미스 네트워크.

Private Link가 없으면 이러한 네트워크는 특정 Azure 리소스에 대해 자체 연결을 생성해야 합니다. 이러한 연결에는 보통 공용 인터넷이 필요합니다. 프라이빗 엔드포인트가 Azure 리소스를 가상 네트워크의 개인 IP 주소에 매핑하면 상황이 다릅니다. 이제 모든 피어링된 네트워크가 다른 구성 없이 Private Link 리소스에 직접 연결할 수 있습니다.

데이터 반출의 위험 절감

네트워크의 가상 머신이 Azure 서비스에 연결되어 있다고 가정합니다. 가상 머신의 사용자가 Azure 서비스의 여러 리소스에 액세스할 수 있는 경우가 많습니다. 예를 들어 서비스가 Azure Storage인 경우 사용자는 여러 BLOB, 테이블, 파일 등에 액세스할 수 있습니다.

이제 사용자가 가상 머신을 제어하는 악의적인 침입자라고 가정하겠습니다. 이 시나리오에서 해당 사용자는 한 리소스에서 제어하는 다른 리소스로 데이터를 이동할 수 있습니다.

이 시나리오는 데이터 반출의 예시입니다. Private Link는 프라이빗 엔드포인트를 Azure 리소스의 단일 인스턴스로 매핑하여 데이터 반출의 위험을 줄입니다. 공격자는 계속해서 데이터를 볼 수 있지만 다른 리소스로 복사하거나 옮길 방법은 없습니다.

프라이빗 엔드포인트에 의해 매핑된 개인 IP 주소를 통해 Azure SQL Database의 단일 인스턴스에 액세스하고 Azure SQL Database의 다른 인스턴스에 대한 액세스는 허용하지 않는 Azure 가상 네트워크의 네트워크 다이어그램.

고객에게 회사에서 생성한 Azure 서비스에 대한 비공개 액세스 제공

회사에서 사용자 지정 Azure 서비스를 생성한다고 가정합니다. 누가 이러한 서비스를 사용합니까? 다음 목록 중 누군가가 될 수 있습니다.

  • 제품을 구매한 사람
  • 회사 공급자 또는 공급업체
  • 회사의 직원

위 목록에 있는 각 사용자를 서비스의 사용자라 할 수 있습니다.

이러한 고객이 액세스 및 생성하는 데이터가 회사의 데이터 못지 않게 중요할 가능성이 매우 높습니다. 따라서 고객의 데이터에 회사 데이터와 동일한 수준의 프라이버시 및 보안이 적용됩니다.

Private Link가 회사 데이터 보안에 있어 적합한 선택이라고 생각되는 경우 이 보안 모델을 사용자 지정 Azure 서비스로 확장하고자 할 것입니다. Azure 표준 Load Balancer의 뒤에 사용자 지정 서비스를 배치함으로써 Private Link 서비스를 사용하여 고객이 프라이빗 엔드포인트 사용을 통해 서비스에 액세스할 수 있습니다.

마케팅 부서에서 고객에게 사용자 지정 Azure 서비스에 대한 비공개 보안 액세스를 제공할 수 있다고 말할 수 있을 때의 만족감을 상상해 보세요.