Azure Virtual Network Manager에서 보안 관리 규칙을 사용한 Virtual Network 적용
이 문서에서는 보안 관리자 규칙이 네트워크 보안 그룹과 같은 도구를 통해 유연하고 확장 가능한 보안 정책 적용을 제공하는 방법을 알아봅니다. 먼저 다양한 가상 네트워크 적용 모델을 알아봅니다. 그런 다음, 보안 관리 규칙을 사용하여 보안을 적용하는 일반적인 단계를 알아봅니다.
가상 네트워크 적용
NSG(네트워크 보안 그룹)만으로는 여러 애플리케이션, 팀 또는 전체 조직에서 가상 네트워크에 대한 광범위한 적용이 까다로울 수 있습니다. 종종 조직 전반에 걸친 중앙집중식 집행 시도와 팀에 세분화되고 유연한 제어권을 넘기는 것 사이에 균형을 맞추어야 할 때가 있습니다.
보안 관리 규칙은 이러한 각 모델의 장점을 통합하고 단점을 줄임으로써 적용과 유연성 간의 슬라이딩 스케일을 완전히 제거하는 것을 목표로 합니다. 중앙 거버넌스 팀은 보안 관리 규칙을 통해 가드 레일을 설정하는 동시에 개별 팀이 NSG 규칙을 통해 필요에 따라 유연하게 보안을 정확히 지정할 수 있는 여지를 남겨 둡니다. 보안 관리 규칙은 NSG 규칙을 재정의하기 위한 것이 아닙니다. 대신 NSG 규칙과 함께 작동하여 조직 전체에 적용 및 유연성을 제공합니다.
적용 모델
보안 관리 규칙이 없는 몇 가지 일반적인 보안 관리 모델과 장단점을 살펴보겠습니다.
모델 1 - NSG를 사용하는 중앙 거버넌스 팀 관리
이 모델에서는 조직 내의 중앙 거버넌스 팀이 모든 NSG를 관리합니다.
| 장점 | 단점 |
|---|---|
| 중앙 거버넌스 팀은 중요한 보안 규칙을 적용할 수 있습니다. | 관리자가 각 NSG를 관리해야 하므로 운영 오버헤드가 높고 NSG 수가 증가하면 부담이 증가합니다. |
모델 2 - NSG를 사용한 개별 팀 관리
이 모델에서 중앙 집중식 거버넌스 팀 없이 조직 내의 개별 팀이 자신의 NSG를 관리합니다.
| 장점 | 단점 |
|---|---|
| 개별 팀은 서비스 요구 사항에 따라 보안 규칙을 유연하게 제어할 수 있습니다. | 중앙 거버넌스 팀은 위험한 포트 차단과 같은 중요한 보안 규칙을 적용할 수 없습니다. 개별 팀이 NSG를 잘못 구성하거나 연결하는 것을 잊을 수 있어 취약성이 노출될 수 있습니다. |
모델 3 - NSG가 Azure Policy를 통해 만들어지고 개별 팀에 의해 관리됨
이 모델에서는 개별 팀이 여전히 자신의 NSG를 관리합니다. 차이점은 표준 규칙을 설정하기 위해 Azure Policy를 사용하여 NSG가 만들어진다는 것입니다. 이러한 규칙을 수정하면 감사 알림이 트리거됩니다.
| 장점 | 단점 |
|---|---|
| 개별 팀은 맞춤식 보안 규칙을 유연하게 제어할 수 있습니다. 중앙 거버넌스 팀은 표준 보안 규칙을 만들고 규칙이 수정되면 알림을 받을 수 있습니다. |
중앙 거버넌스 팀은 여전히 표준 보안 규칙을 적용할 수 없습니다. 팀의 NSG 소유자가 여전히 규칙을 수정할 수 있기 때문입니다. 알림도 관리하기에 매우 어려울 수 있습니다. |
보안 관리자 규칙을 사용하는 네트워크 트래픽 적용 및 예외
지금까지 설명한 개념을 예 시나리오에 적용해 보겠습니다. 회사 네트워크 관리자는 회사 전체에 대한 인바운드 SSH 트래픽을 차단하는 보안 규칙을 적용하려고 합니다. 보안 관리자 규칙이 없으면 이러한 유형의 보안 규칙을 적용하기가 어려웠습니다. 관리자가 모든 NSG를 관리하는 경우 관리 오버헤드가 높고 관리자는 NSG 규칙을 수정해야 하는 제품 팀의 요구에 신속하게 대응할 수 없습니다. 반면에 제품 팀이 보안 관리 규칙 없이 자체 NSG를 관리하는 경우 관리자는 중요한 보안 규칙을 적용할 수 없으므로 잠재적인 보안 위험이 노출됩니다. 보안 관리 규칙과 NSG를 모두 사용하면 이 딜레마를 해결할 수 있습니다.
이 경우 관리자는 회사의 모든 가상 네트워크에 대한 인바운드 SSH 트래픽을 차단하는 보안 관리자 규칙을 만들 수 있습니다. 관리자가 예외가 필요한 특정 가상 네트워크에 대한 인바운드 SSH 트래픽을 허용하는 보안 관리자 규칙을 만들 수도 있습니다. 보안 관리자 규칙은 회사 전체에 적용되며 관리자는 특정 가상 네트워크에 대한 예외를 계속 허용할 수 있습니다. 이 작업은 각 규칙에 대한 우선 순위 순서를 사용하여 수행됩니다.
이 다이어그램은 관리자가 다음 목표를 달성할 수 있는 방법을 보여 줍니다.
- 조직 전체에 보안 관리 규칙을 적용합니다.
- 애플리케이션 팀이 SSH 트래픽을 처리하도록 예외를 허용합니다.
1단계: 네트워크 관리자 인스턴스 만들기
회사 관리자는 회사의 루트 관리 그룹을 이 네트워크 관리자 인스턴스의 범위로 사용하여 네트워크 관리자를 만들 수 있습니다.
2단계: 가상 네트워크에 대한 네트워크 그룹 만들기
관리자는 조직의 모든 가상 네트워크로 구성된 모든 네트워크 그룹과 예외가 필요한 애플리케이션에 대한 가상 네트워크로 구성된 앱 네트워크 그룹을 만듭니다. 위 다이어그램의 모든 네트워크 그룹은 VNet 1 ~ VNet 5로 구성되고 앱 네트워크 그룹에는 VNet 4 및 VNet 5가 있습니다. 사용자는 동적 멤버십을 사용하여 두 네트워크 그룹을 쉽게 정의할 수 있습니다.
3단계: 보안 관리자 구성 만들기
이 단계에서는 두 가지 보안 관리 규칙이 다음 보안 관리 구성으로 정의됩니다.
- 100으로 우선 순위가 낮은 모든 네트워크 그룹에 대한 인바운드 SSH 트래픽을 차단하는 보안 관리 규칙.
- 10으로 우선 순위가 높은 앱 네트워크 그룹에 대한 인바운드 SSH 트래픽을 허용하는 보안 관리 규칙.
4단계: 보안 관리자 구성 배포
보안 관리자 구성을 배포한 후 회사의 모든 가상 네트워크에는 보안 관리자 규칙에 따라 인바운드 SSH 트래픽 거부 규칙이 적용됩니다. 개별 팀은 이 거부 규칙을 수정할 수 없으며 정의된 회사 관리자만 수정할 수 있습니다. App 가상 네트워크에는 인바운드 SSH 트래픽 허용 규칙과 인바운드 SSH 트래픽 거부 규칙(모든 네트워크 그룹 규칙에서 상속됨)이 모두 있습니다. 앱 네트워크 그룹에 대한 인바운드 SSH 트래픽 허용 규칙의 우선 순위 번호가 더 작은 경우 규칙이 먼저 평가됩니다. 인바운드 SSH 트래픽이 App VNet에 도착하면 우선 순위가 더 높은 보안 관리자 규칙이 이 트래픽을 허용됩니다. App 가상 네트워크의 서브넷에 NSG가 있다고 가정하면 이 인바운드 SSH 트래픽은 애플리케이션 팀에서 설정한 NSG를 기반으로 하여 다음에 평가됩니다. 여기에 설명된 보안 관리 규칙 방법론을 통해 회사 관리자는 회사 정책을 효과적으로 적용하고 조직 전체에서 NSG와 함께 작동하는 유연한 보안 가드레일을 만들 수 있습니다.
다음 단계
보안 관리자 규칙으로 고위험 포트를 차단하는 방법 알아보기