TIC(Trusted Internet Connections) 지침

이 문서에서는 Azure 클라우드 서비스의 보안 기능을 사용하여 TIC(Trusted Internet Connections) 이니셔티브를 준수할 수 있는 방법을 설명합니다. Azure 및 Azure Government 클라우드 서비스 환경 모두에 적용되며, Azure IaaS(Infrastructure as a Service) 및 Azure PaaS(Platform as a Service) 클라우드 서비스 모델에 대한 TIC 지침을 다룹니다.

TIC(Trusted Internet Connections) 개요

TIC 이니셔티브의 목적은 미국 연방 정부 전반에 걸쳐 네트워크 보안을 강화하는 것입니다. 이 목표는 처음에는 외부 연결을 통합하고 TIC 액세스 지점의 승인된 디바이스를 통해 모든 네트워크 트래픽을 라우팅하는 방식으로 실현되었습니다. 그 후 몇 년 동안 클라우드 컴퓨팅이 잘 구축되면서 최신 보안 아키텍처로 새롭게 전환하고, 경계 보안에 대한 주요 집중 방식에서 벗어나게 되었습니다. 이에 따라 TIC 이니셔티브는 연방 기관에 최신 보안 기능을 사용할 수 있는 향상된 유연성을 제공하도록 발전했습니다.

TIC 2.0 지침

처음에 TIC 이니셔티브는 2007년 11월에 발표된 OMB(관리 및 예산) 각서 M-08-05에 설명되었으며 이 문서에서 TIC 2.0 지침으로 언급되었습니다. TIC 프로그램은 연방 네트워크 경계 보안 및 인시던트 대응 기능을 개선하기 위해 구상되었습니다. TIC는 원래 모든 인바운드 및 아웃바운드 .gov 트래픽의 네트워크 분석을 수행하도록 디자인되었습니다. 목표는 네트워크 데이터 흐름의 특정 패턴을 식별하고 봇넷 활동과 같은 동작 변칙을 파악하는 것이었습니다. 기관에서는 자체의 외부 네트워크 연결을 통합하고 EINSTEIN으로 알려진 침입 탐지 및 방지 디바이스를 통해 모든 트래픽을 라우팅해야 합니다. 디바이스는 TIC(Trusted Internet Connections)라고 하는 제한된 수의 네트워크 엔드포인트에서 호스팅됩니다.

TIC의 목표는 기관에서 다음 항목을 파악하도록 하는 것입니다.

• 내 네트워크에 있는 사람(권한 있음 또는 권한 없음)
• 내 네트워크에 액세스하는 시간 및 이유
• 액세스하는 리소스

TIC 2.0에서 모든 기관 외부 연결은 OMB 승인 TIC를 통해 라우팅해야 합니다. 연방 기관은 TICAP(TIC 액세스 공급자)로 TIC 프로그램에 참여하거나 주요 계층 1 인터넷 서비스 공급자 중 하나와 서비스를 계약해야 합니다. 이러한 공급자는 MTIPS(Managed Trusted Internet Protocol Service) 공급자라고 합니다. TIC 2.0에는 기관 및 MTIPS 공급자에서 수행하는 중요한 필수 기능이 포함되어 있습니다. TIC 2.0에서는 EINSTEIN 버전 2 침입 탐지 및 EINSTEIN 버전 3 가속화(3A) 침입 방지 디바이스가 각 TICAP 및 MTIPS에 배포됩니다. 기관은 연방 시스템에 EINSTEIN 기능을 배포하기 위해 DHS(미국 국토안보부)와 양해 각서를 체결합니다.

.gov 네트워크를 보호해야 하는 책임의 일환으로, DHS는 기관 네트워크 흐름 데이터의 원시 데이터 피드를 통해 연방 엔터프라이즈 전체에서 인시던트의 상관 관계를 지정하고 특수 도구를 사용하여 분석을 수행해야 합니다. DHS 라우터는 인터페이스를 들어오거나 나갈 때 IP 네트워크 트래픽을 수집할 수 있도록 합니다. 네트워크 관리자는 네트워크 흐름 데이터를 분석하여 트래픽 원본 및 대상, 서비스 클래스 및 기타 매개 변수를 파악할 수 있습니다. 네트워크 흐름 데이터는 헤더, 원본 IP, 대상 IP 등과 비슷한 "콘텐츠가 아닌 데이터"로 간주됩니다. DHS는 콘텐츠가 아닌 데이터를 통해 내용, 즉 누구에게 무엇을 얼마나 오랫동안 수행하고 있었는지에 대해 알 수 있습니다.

또한 TIC 2.0 이니셔티브에는 온-프레미스 인프라를 가정하는 보안 정책, 지침 및 프레임워크가 포함되어 있습니다. 정부 기관이 비용 절감, 운영 효율성 및 혁신을 달성하기 위해 클라우드로 전환합니다. 그렇지만 TIC 2.0의 구현 요구 사항으로 인해 네트워크 트래픽이 지연될 수 있습니다. 이에 따라 정부 사용자가 클라우드 기반 데이터에 액세스할 수 있는 속도와 민첩성이 제한됩니다.

TIC 3.0 지침

2019년 9월, OMB는 이전 TIC 관련 각서를 폐지하고 TIC 3.0 지침을 도입한 각서 M-19-26을 발표했습니다. 이전 OMB 각서에 따르면 기관 트래픽은 물리적 TIC 액세스 지점을 통과해야 했으며 이는 클라우드 기반 인프라 채택에 장애가 되는 것으로 입증되었습니다. 예를 들어 TIC 2.0은 모든 기관 데이터가 TIC 액세스 지점을 통해 들어오고 나가도록 하여 경계 보안에만 집중했습니다. 반면, TIC 3.0은 단일 경계 보안 접근 방식이 아닌 여러 다양한 보안 아키텍처를 고려해야 한다는 것을 인식합니다. 이러한 유연성을 통해 기관은 전반적인 네트워크 아키텍처, 위험 관리 접근 방식 등에 가장 적합한 방식으로 보안 기능을 구현하는 방법을 선택할 수 있습니다.

이러한 유연성을 위해 CISA(Cybersecurity & Infrastructure Security Agency)는 연방 기관과 협력하여 다양한 기관 환경에서 파일럿을 수행함으로써 TIC 3.0 사용 사례를 개발합니다. TIC 3.0 구현의 경우 CISA는 기관이 CSF(Cybersecurity Framework) 및 NIST SP 800-53연방 정보 시스템 및 조직을 위한 보안 및 개인 정보 보호 제어와 함께 TIC 3.0 핵심 지침 문서를 사용하도록 권장합니다. 이러한 문서는 기관이 보안 네트워크 아키텍처를 디자인하고 클라우드 서비스 공급자의 적절한 요구 사항을 결정하는 데 도움이 될 수 있습니다.

TIC 3.0은 FedRAMP 제어 및 향상된 제어에 의해 보강된 NIST SP 800-53 표준을 기준으로 하는 FedRAMP(Federal Risk and Authorization Management Program)와 같이 클라우드 채택에 초점을 맞춘 다른 연방 이니셔티브를 보완합니다. 기관은 기존 Azure 및 Azure Government FedRAMP High 임시 승인을 사용하여 FedRAMP Joint Authorization Board에서 발급한 (P-ATO)를 운영할 수 있습니다. 또한 NIST CSF에 대한 Azure 및 Azure Government 지원을 사용할 수 있습니다. CISA는 클라우드 기반 보안 기능을 선택할 때 TIC 3.0 구현을 지원하기 위해 TIC 기능을 NIST CSF 및 NIST SP 800-53에 매핑했습니다. 예를 들어 TIC 3.0 보안 목표는 식별, 보호, 감지, 응답 및 복구를 포함하는 NIST CSF의 5가지 기능에 매핑될 수 있습니다. TIC 보안 기능은 TIC 3.0 핵심 지침 문서에서 사용할 수 있는 TIC 3.0 보안 기능 카탈로그의 NIST CSF에 매핑됩니다.

TIC 3.0은 기관이 특정 위험 허용 범위 수준과 일치하는 보안 기능을 유연하게 구현할 수 있도록 하기 위해 개발된 비규범적 사이버 보안 지침입니다. 지침은 기관이 NCPS(National Cybersecurity Protection System) 및 CDM(Continuous Diagnosis and Mitigation)과 같은 모든 적용 가능한 원격 분석 요구 사항을 준수하도록 요구하지만, TIC 3.0에서는 현재 기관이 TIC 지침을 준수하는지 자체 증명하기만 하면 됩니다.

TIC 3.0을 사용하면 기관은 TIC 3.0 기능을 채택하면서 TIC 액세스 지점을 사용하는 레거시 TIC 2.0 구현을 유지할 수 있습니다. CISA는 기존 TIC 사용 사례로 알려진 TIC 3.0에서 기존 TIC 모델을 구현하는 방법에 대한 지침을 제공했습니다.

이 문서의 나머지 부분에는 레거시 TIC 2.0 구현에 필요한 Azure 기능과 관련된 지침이 제공됩니다. 그러나 이 지침 중 일부는 TIC 3.0 요구 사항에도 유용합니다.

Azure 네트워킹 옵션

Azure 서비스에 연결하는 네 가지 주요 옵션은 다음과 같습니다.

• 직접 인터넷 연결 – 개방형 인터넷 연결을 통해 Azure 서비스에 직접 연결합니다. 매체와 연결은 공용입니다. 애플리케이션 및 전송 수준 암호화를 통해 개인 정보를 보호합니다. 대역폭은 사이트의 인터넷 연결로 인해 제한됩니다. 둘 이상의 활성 공급자를 사용하여 복원력을 보장합니다.
• VPN(가상 사설망) – VPN Gateway를 사용하여 Azure 가상 네트워크에 비공개로 연결합니다. 매체는 사이트의 표준 인터넷 연결을 트래버스하기 때문에 공개되지만, 데이터를 보호하기 위해 터널에서 연결이 암호화됩니다. 대역폭은 선택한 구성 및 VPN 디바이스에 따라 제한됩니다. Azure 지점 및 사이트 간 연결은 일반적으로 100Mbps로 제한됩니다. 사이트 간 연결 범위는 100Mbps에서 10Gbps입니다.
• Azure ExpressRoute – Microsoft 서비스에 대한 직접 연결입니다. ExpressRoute는 피어링 위치에서 공급자를 사용하여 Microsoft Enterprise 에지 라우터에 연결합니다. ExpressRoute는 IaaS 및 PaaS/SaaS 서비스, 프라이빗 피어링 및 Microsoft 피어링에 다양한 피어링 유형을 사용합니다. 대역폭 범위는 50Mbps에서 10Gbps입니다.
• Azure ExpressRoute Direct – ExpressRoute Direct를 사용하면 파이버를 에지에서 피어링 위치의 Microsoft Enterprise 에지 라우터로 직접 연결할 수 있습니다. ExpressRoute Direct는 필요한 홉에서 타사 연결 공급자를 제거합니다. 대역폭 범위는 10Gbps에서 100Gbps입니다.

기관에서 기관 TIC를 통해 트래픽을 라우팅하지 않고 Azure 또는 Microsoft 365로 연결할 수 있도록 하려면 다음을 사용해야 합니다.

• 암호화된 터널 또는
• CSP(클라우드 서비스 공급자)에 대한 전용 연결

CSP 서비스는 기관 클라우드 자산에 대한 연결이 정부 담당자의 직접 액세스를 위해 공용 인터넷에 제공되지 않도록 유지할 수 있습니다.

Azure의 경우에만 두 번째 옵션(VPN) 및 세 번째 옵션(ExpressRoute)이 인터넷 액세스를 제한하는 서비스와 함께 사용될 때 이러한 요구 사항을 충족할 수 있습니다.

Microsoft 365는 Microsoft 피어링을 사용하도록 설정한 ExpressRoute 또는 TLS(전송 계층 보안) 1.2를 사용하여 모든 트래픽을 암호화하는 인터넷 연결을 사용하여 TIC 지침을 준수합니다. 기관 네트워크의 기관 최종 사용자는 인터넷을 통해 기관 네트워크 및 TIC 인프라에 연결할 수 있습니다. Microsoft 365에 대한 모든 원격 인터넷 액세스는 차단되며 기관을 통해 라우팅됩니다.

Azure IaaS 제품

Azure 고객이 자신의 가상 네트워크 라우팅을 관리하므로 Azure IaaS를 사용하여 TIC 정책을 준수하는 것은 비교적 간단합니다.

TIC 2.0 참조 아키텍처를 준수하는 데 도움이 되는 주요 요구 사항은 가상 네트워크가 기관 네트워크의 프라이빗 확장인지 확인하는 것입니다. 프라이빗 확장이 되려면 정책에 따라 온-프레미스 TIC 네트워크 연결을 통하는 경우를 제외하고는 트래픽이 네트워크에서 나가도록 허용하지 않습니다. 이 프로세스를 강제 터널링이라고 합니다. TIC 2.0을 준수하기 위해 이 프로세스는 모든 트래픽을 CSP 환경의 모든 시스템에서 조직의 네트워크에 있는 온-프레미스 게이트웨이를 통과하여 TIC를 통해 인터넷으로 라우팅합니다.

Azure IaaS TIC 준수는 다음 두 가지 주요 단계로 구분됩니다.

• 1단계: 구성
• 2단계: 감사

Azure IaaS TIC 준수: 구성

Azure를 사용하여 TIC 준수 아키텍처를 구성하려면 먼저 가상 네트워크에 대한 직접 인터넷 연결을 방지한 다음, 온-프레미스 네트워크를 통해 인터넷 트래픽을 강제로 적용해야 합니다.

직접 인터넷 액세스 방지

Azure IaaS 네트워킹은 가상 머신의 NIC(네트워크 인터페이스 카드)가 연결된 서브넷으로 구성된 가상 네트워크를 통해 수행됩니다.

TIC 준수를 지원하는 가장 간단한 시나리오는 가상 머신 또는 가상 머신 컬렉션에서 외부 리소스에 연결할 수 없도록 하는 것입니다. 네트워크 보안 그룹을 사용하여 외부 네트워크와의 연결을 끊을 수 있습니다. 네트워크 보안 그룹을 사용하여 가상 네트워크에 있는 하나 이상의 NIC 또는 서브넷에 대한 트래픽을 제어합니다. 네트워크 보안 그룹에는 트래픽 방향, 프로토콜, 원본 주소 및 포트, 대상 주소 및 포트를 기준으로 트래픽을 허용하거나 거부하는 액세스 제어 규칙이 포함되어 있습니다. 네트워크 보안 그룹의 규칙은 언제든지 변경할 수 있으며, 변경 내용은 연결된 모든 인스턴스에 적용됩니다. 네트워크 보안 그룹을 만드는 방법에 대한 자세한 내용은 네트워크 보안 그룹을 통해 네트워크 트래픽 필터링을 참조하세요.

온-프레미스 네트워크를 통한 인터넷 트래픽 강제 적용

Azure는 시스템 경로를 자동으로 만들고 가상 네트워크의 각 서브넷에 경로를 할당합니다. 시스템 경로는 만들거나 제거할 수 없지만, 시스템 경로는 사용자 지정 경로를 사용하여 재정의할 수 있습니다. Azure는 각 서브넷에 대한 기본 시스템 경로를 만듭니다. Azure는 특정 Azure 기능을 사용하는 경우 특정 서브넷 또는 모든 서브넷에 선택적 기본 경로를 추가합니다. 이 유형의 라우팅은 다음을 보장합니다.

• 가상 네트워크 내에서 예정된 트래픽은 가상 네트워크 내에서 유지됩니다.
• 10.0.0.0/8과 같이 IANA(Internet Assigned Numbers Authority)에서 지정한 프라이빗 주소 공간은 가상 네트워크 주소 공간에 포함되지 않으면 삭제됩니다.
• "마지막 수단"으로 가상 네트워크 인터넷 엔드포인트에 0.0.0.0/0을 라우팅합니다.

모든 트래픽에서 기관 TIC를 트래버스하도록 하려면 가상 네트워크에서 나가는 모든 트래픽이 온-프레미스 연결을 통해 라우팅되어야 합니다. 사용자 정의 경로를 만들거나 온-프레미스 네트워크 게이트웨이와 Azure VPN 게이트웨이 간에 BGP(Border Gateway Protocol) 경로를 교환하여 사용자 지정 경로를 만듭니다.

• 사용자 정의 경로에 대한 자세한 내용은 가상 네트워크 트래픽 라우팅: 사용자 정의 경로를 참조하세요.
• BGP에 대한 자세한 내용은 가상 네트워크 트래픽 라우팅: Border Gateway Protocol을 참조하세요.

사용자 정의 경로 추가

경로 기반 가상 네트워크 게이트웨이를 사용하는 경우 Azure에서 강제 터널링을 사용할 수 있습니다. 가상 네트워크 게이트웨이의 다음 홉으로 라우팅하도록 0.0.0.0/0 트래픽을 설정하는 사용자 정의 경로를 추가합니다. Azure에서 사용자 정의 경로는 시스템 정의 경로보다 우선 순위가 높습니다. 모든 비가상 네트워크 트래픽은 가상 네트워크 게이트웨이로 전송된 다음, 해당 게이트웨이에서 이 트래픽을 온-프레미스로 라우팅할 수 있습니다. 사용자 정의 경로가 정의되면 Azure 환경의 모든 가상 네트워크 내에서 경로를 기존 서브넷 또는 새 서브넷과 연결합니다.

Border Gateway Protocol 사용

ExpressRoute 또는 BGP 지원 가상 네트워크 게이트웨이를 사용하는 경우 BGP가 경로 보급에 대한 기본 설정 메커니즘입니다. BGP 보급 경로가 0.0.0.0/0이면 ExpressRoute 및 BGP 인식 가상 네트워크 게이트웨이에서 이 기본 경로가 가상 네트워크 내의 모든 서브넷에 적용되도록 합니다.

Azure IaaS TIC 준수 감사

Azure는 TIC 준수를 감사하는 몇 가지 방법을 제공합니다.

유효한 경로 보기

Azure Portal 또는 Azure PowerShell에서 특정 가상 머신, 특정 NIC 또는 사용자 정의 경로 테이블에 대한 유효 경로를 관찰하여 기본 경로가 전파되는지 확인합니다. 유효 경로는 다음 그림과 같이 관련 사용자 정의 경로, BGP 보급 경로 및 관련 엔터티에 적용되는 시스템 경로를 보여 줍니다.

Azure Network Watcher 사용

Network Watcher는 TIC 준수를 감사하는 몇 가지 도구를 제공합니다. 자세한 내용은 Azure Network Watcher 개요를 참조하세요.

네트워크 보안 그룹 흐름 로그 캡처

Network Watcher를 사용하여 IP 트래픽을 둘러싼 메타데이터를 나타내는 네트워크 흐름 로그를 캡처합니다. 네트워크 흐름 로그에는 대상의 원본/대상 주소 및 다른 데이터가 포함되어 있습니다. 이 데이터를 가상 네트워크 게이트웨이, 온-프레미스 에지 디바이스 또는 TIC의 로그와 함께 사용하여 모든 트래픽이 온-프레미스에서 라우팅되는지 모니터링할 수 있습니다.

Azure PaaS 제품

Azure Storage와 같은 Azure PaaS 서비스는 인터넷 연결 가능한 URL을 통해 액세스할 수 있습니다. 승인된 자격 증명만 있으면 누구든지 TIC을 트래버스하지 않고 임의 위치에서 스토리지 계정 등의 리소스에 액세스할 수 있습니다. 이러한 이유로 많은 정부 고객은 Azure PaaS 서비스에서 TIC 2.0 정책을 준수하지 않는다고 잘못된 결론을 내립니다. 그렇지만 많은 Azure PaaS 서비스는 TIC 2.0 정책을 준수할 수 있습니다. 아키텍처가 앞에서 설명한 대로 TIC 준수 IaaS 환경과 동일하고 서비스가 Azure 가상 네트워크에 연결되면 해당 서비스에서 이러한 정책을 준수합니다.

Azure PaaS 서비스가 가상 네트워크와 통합되면 해당 가상 네트워크에서 비공개로 이 서비스에 액세스할 수 있습니다. 사용자 정의 경로 또는 BGP를 통해 0.0.0.0/0에 대한 사용자 지정 라우팅을 적용할 수 있습니다. 사용자 지정 라우팅을 사용하면 모든 인터넷에 바인딩된 모든 트래픽이 온-프레미스에서 TIC를 트래버스하도록 라우팅할 수 있습니다. 다음 패턴을 사용하여 Azure 서비스를 가상 네트워크에 통합합니다.

• 서비스 전용 인스턴스 배포: 가상 네트워크에 연결된 엔드포인트가 있는 전용 인스턴스로 배포될 수 있는 PaaS 서비스의 수가 점점 증가하고 있습니다(때때로 VNet 삽입이라고 함). 네트워크 엔드포인트를 가상 네트워크로 제한할 수 있도록 ‘격리 모드’에서 App Service Environment를 배포할 수 있습니다. 그러면 App Service Environment에서 Web Apps, API Management 및 Functions와 같이 다양한 Azure PaaS 서비스를 호스팅할 수 있습니다. 자세한 내용은 가상 네트워크에 전용 Azure 서비스 배포를 참조하세요.
• 가상 네트워크 서비스 엔드포인트 사용 - 엔드포인트를 공용 주소 대신 가상 네트워크 프라이빗 IP로 이동하는 옵션을 허용하는 PaaS 서비스의 수가 점점 증가하고 있습니다. 자세한 내용은 가상 네트워크 서비스 엔드포인트를 참조하세요.
• Azure Private Link 사용 – 가상 네트워크에 프라이빗 엔드포인트가 있는 공유 서비스를 제공합니다. 가상 네트워크와 서비스 간의 트래픽은 Microsoft 백본 네트워크를 통해 트래버스하며 공용 인터넷을 트래버스하지 않습니다. 자세한 내용은 Azure Private Link를 참조하세요.

가상 네트워크 통합 세부 정보

다음 다이어그램에서는 Azure PaaS 서비스 액세스에 대한 일반적인 네트워크 흐름을 보여 줍니다. 가상 네트워크 삽입 및 가상 네트워크 서비스 터널링에서의 액세스가 모두 표시되어 있습니다. 네트워크 서비스 게이트웨이, 가상 네트워크 및 서비스 태그에 대한 자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.

1. ExpressRoute를 사용하여 Azure에 프라이빗 연결이 이루어집니다. 강제 터널링을 사용하는 ExpressRoute 프라이빗 피어링은 모든 고객 가상 네트워크 트래픽이 ExpressRoute를 통과하도록 강제하고 온-프레미스로 다시 보내는 데 사용됩니다. Microsoft 피어링은 필요하지 않습니다.
2. Azure VPN Gateway를 ExpressRoute Microsoft 피어링과 함께 사용하면 고객 가상 네트워크와 온-프레미스 에지 간의 엔드투엔드 IPSec 암호화를 오버레이할 수 있습니다.
3. 고객 가상 네트워크에 대한 네트워크 연결은 고객이 IP, 포트 및 프로토콜에 따라 트래픽을 허용/거부할 수 있는 네트워크 보안 그룹을 사용하여 제어됩니다.
4. 고객 프라이빗 가상 네트워크로의 트래픽은 Azure Network Watcher를 통해 모니터링되며 데이터는 Log Analytics 및 클라우드용 Microsoft Defender를 사용하여 분석됩니다.
5. 고객 가상 네트워크는 고객의 서비스에 대한 서비스 엔드포인트를 만들어 PaaS 서비스로 확장됩니다.
6. PaaS 서비스 엔드포인트는 모든 액세스를 기본적으로 거부하고 고객 가상 네트워크 내의 지정된 서브넷의 액세스만 허용하도록 보안이 설정됩니다. 가상 네트워크에 대해 서비스 리소스를 보호하면 리소스에 대한 공용 인터넷 액세스를 완전히 제거하고 가상 네트워크의 트래픽만 허용하여 보안을 향상시킵니다.
7. 고객 가상 네트워크 내의 리소스에 액세스해야 하는 다른 Azure 서비스는 다음 중 하나여야 합니다.
   • 가상 네트워크에 직접 배포됩니다. 또는
   • 해당 Azure 서비스의 지침에 따라 선택적으로 허용되어야 합니다.

옵션 A: 서비스의 전용 인스턴스 배포(가상 네트워크 삽입)

가상 네트워크 삽입을 사용하면 고객이 HDInsight와 같은 지정된 Azure 서비스의 전용 인스턴스를 고객 고유의 가상 네트워크에 선택적으로 배포할 수 있습니다. 서비스 인스턴스는 고객 가상 네트워크의 전용 서브넷에 배포됩니다. 가상 네트워크 삽입을 사용하면 인터넷에서 라우팅할 수 없는 주소를 통해 서비스 리소스에 액세스할 수 있습니다. 온-프레미스 인스턴스는 ExpressRoute 또는 사이트 간 VPN을 사용하여 방화벽을 공용 인터넷 주소 공간으로 여는 대신, 가상 네트워크 주소 공간을 통해 서비스 인스턴스에 직접 액세스합니다. 전용 인스턴스가 엔드포인트에 연결되면 IaaS TIC 준수와 동일한 전략을 사용할 수 있습니다. 기본 라우팅은 인터넷에 바인딩된 트래픽이 온-프레미스에 바인딩된 가상 네트워크 게이트웨이로 리디렉션되도록 합니다. 지정된 서브넷에 대한 네트워크 보안 그룹을 통해 인바운드 및 아웃바운드 액세스를 추가로 제어할 수 있습니다.

옵션 B: 가상 네트워크 서비스 엔드포인트 사용(서비스 터널)

서비스 엔드포인트를 제공하는 Azure 다중 테넌트 서비스의 수가 점점 증가하고 있습니다. 서비스 엔드포인트는 Azure 가상 네트워크에 통합하기 위한 대체 방법입니다. 가상 네트워크 서비스 엔드포인트는 직접 연결을 통해 가상 네트워크 IP 주소 공간 및 서비스에 대한 가상 네트워크의 ID를 확장합니다. 가상 네트워크에서 Azure 서비스로의 트래픽은 항상 Azure 백본 네트워크 내에서 유지됩니다.

서비스에 대한 서비스 엔드포인트를 사용하도록 설정하면 서비스에서 노출하는 정책을 사용하여 서비스에 대한 연결을 해당 가상 네트워크로 제한합니다. 액세스 검사는 Azure 서비스에서 플랫폼에 적용합니다. 잠긴 리소스에 대한 액세스는 요청이 허용된 가상 네트워크 또는 서브넷에서 발생하거나 ExpressRoute를 사용할 때 온-프레미스 트래픽을 식별하는 데 사용되는 두 IP에서 발생한 경우에만 부여됩니다. 이 방법을 사용하여 인바운드/아웃바운드 트래픽이 PaaS 서비스에서 직접 나가지 않도록 효과적으로 방지합니다.

옵션 C: Azure Private Link 사용

Azure Private Link를 사용하여 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS 서비스 및 Azure 호스팅 고객 또는 파트너 서비스에 액세스할 수 있으므로 가상 네트워크와 서비스 간의 트래픽이 Microsoft 글로벌 백본 네트워크를 통해 이동할 수 있습니다. 이 방법을 사용하면 서비스를 공용 인터넷에 공개할 필요가 없습니다. 또한 자체 가상 네트워크에서 고유한 프라이빗 링크 서비스를 만들어 고객에게 제공할 수도 있습니다.

Azure 프라이빗 엔드포인트는 Azure Private Link가 제공하는 서비스에 비공개로 안전하게 연결하는 네트워크 인터페이스입니다. 프라이빗 엔드포인트는 가상 네트워크의 프라이빗 IP 주소를 사용하여 효과적으로 가상 네트워크에 서비스를 제공합니다.

네트워크 상황 인식을 위해 도구

Azure는 네트워크 트래픽 흐름을 파악하는 데 필요한 상황 인식을 제공하는 데 도움이 되는 클라우드 네이티브 도구를 제공합니다. 이 도구는 TIC 정책을 준수하는 데 필요하지 않으며, 보안 기능을 크게 향상시킬 수 있습니다.

Azure Policy

Azure Policy는 규정 준수 이니셔티브를 감사하고 적용할 수 있는 더 나은 기능을 조직에 제공하는 Azure 서비스입니다. 이제 Azure Policy 규칙을 계획하고 테스트하여 미래의 TIC 준수를 보장할 수 있습니다.

Azure Policy는 구독 수준을 대상으로 합니다. 이 서비스는 다음과 같은 규정 준수 작업을 수행할 수 있는 중앙 집중식 인터페이스를 제공합니다.

• 이니셔티브 관리
• 정책 정의 구성
• 규정 준수 감사
• 규정 준수 적용
• 예외 관리

관리자는 다양한 기본 제공 정책 정의와 함께 간단한 JSON 템플릿을 사용하여 사용자 고유의 사용자 지정 정의를 정의할 수 있습니다. 가능한 경우 적용보다 감사의 우선 순위가 높은 것이 좋습니다.

Network Watcher 트래픽 분석

Network Watcher 트래픽 분석은 흐름 로그 데이터 및 기타 로그를 사용하여 네트워크 트래픽에 대한 개괄적인 개요를 제공합니다. 이 데이터는 TIC 준수를 감사하고 문제 지점을 식별하는 데 유용합니다. 고급 대시보드를 사용하여 인터넷과 통신하는 가상 머신을 빠르게 화면에 표시하고 TIC 라우팅에 초점을 맞춘 목록을 얻을 수 있습니다.

지역 지도를 사용하여 가상 머신에 필요한 인터넷 트래픽의 물리적 대상을 빠르게 식별합니다. 의심스러운 위치 또는 패턴 변경을 식별하고 심사할 수 있습니다.

가상 네트워크 토폴로지를 사용하여 기존 가상 네트워크를 빠르게 조사합니다.

Network Watcher 다음 홉 테스트

Network Watcher에서 모니터링하는 지역의 네트워크는 다음 홉 테스트를 수행할 수 있습니다. Azure Portal에서 Network Watcher의 샘플 네트워크 흐름에 대한 원본과 대상을 입력하여 다음 홉 대상을 확인할 수 있습니다. 가상 머신 및 샘플 인터넷 주소에 대해 이 테스트를 실행하여 다음 홉 대상이 필요한 네트워크 가상 게이트웨이인지 확인합니다.

결론

TIC 2.0 지침을 준수하도록 네트워크 액세스를 쉽게 구성하고 NIST CSF 및 NIST SP 800-53에 대한 Azure 지원을 사용하여 TIC 3.0 요구 사항을 해결할 수 있습니다.

다음 단계

• Azure Government 구입 및 액세스
• Azure Government 개요
• Azure Government 보안
• Azure Government 규정 준수
• FedRAMP High
• DoD 영향 수준 4
• DoD 영향 수준 5
• 영향 수준 5 워크로드에 대한 Azure Government 격리 지침
• Azure 컴퓨팅 아키텍처 보안
• Azure 보안 격리 지침
• Azure Policy 개요
• Azure Policy 규정 준수 기본 제공 이니셔티브