[Azure] Azure Network 보안

Azure Network 보안

• Azure의 보안 계층
  • 데이터가 VM에 접근할 때 까지 거치는 단계
  • 공동 책임제

 

Azure Ddos Protection

• 분산 서비스 거부 공격은 네트워크 리소스에 과부하를 걸어 응용 프로그램의 속도 저하 또는 응답을 하지 못하도록 함.
• 네트워크 가용성 영향
• Basic 계층은 Azure에서 기본 사용
• Standard 계층은 Azure 가상 네트워크 리소스를 보호하도록 Microsoft에서 관리 기능 추가

 

Azure Firewall

• 네트워크 리소스를 보호하기 위해 IP 또는 Domain 주소를 기반으로 접근 허용/거부를 할 수 있는 관리형 서비스
• Inbound/Outbound NAT 필터링 규칙 적용
• 고가용성 내장
• 무제한 확장성
• Azure Monitor 지원
• Application Gateway 또는 Azure Front Door를 사용할 시 WAF 사용이 가능

 

Network Security Group

• 가상 네트워크에 있는 리소스에서 네트워크 트래픽을 필터링
• Inbound/Outbound에 대해 Source와 Destination IP주소, Port, Protocal을 지정
• TCP와 UDP, ICMP 프로토콜 지정 가능
• 기본 정택이 정의되어 있음
• 우선순위를 지정할 수 있으며 Allouw 또는 Deny ㅛㅓㄹ정
• Azure에서 지정한 Tag 기반 필터링
• 네트워크 인터페이스 또는 서브넷에 연결

 

Application Security Group

• 가상 컴퓨터를 그룹화하여 네트워크 보안 그룹의 정책에 적용
• 유사한 정책을 가지는 서버를 그룹화
• 명시적인 IP 주소를 수동으로 관리하지 않아도 보안 정책 사용 가능
• 정책 간소화

 

Network 보안 하기

• 응용 프로그램에 맞는 네트워크 보안을 구성할 수 있어야 함.
• 가상 컴퓨터에는 운영체제 방화벽 또는 백신 등의 응용 프로그램 보안
• 가상 네트워크에서는 네트워크 보안 그룹
• 인터넷 통신에서는 Azure 방화벽 또는 DDoS 보호, WAF 등을 사용
• 이외 Third-party 제품 사용 고려