Azure Virtual WAN 배포에 제로 트러스트 원칙 적용
참고 항목
예정된 Livestream 은 이 문서에 대해 논의하면서 Azure FastTrack 팀에 합류합니다. 2024년 10월 9일 | 오전 10:00 ~ 오전 11:00(UTC-07:00) 태평양 표준시(미국 및 캐나다). 여기에서 등록하세요.
최신 클라우드, 모바일 디바이스 및 기타 엔드포인트가 진화하면서 회사 방화벽 및 경계 네트워크에만 의존하는 것만으로는 더 이상 충분하지 않습니다. 엔드투엔드 제로 트러스트 전략은 보안 위반이 불가피하다고 가정합니다. 즉, 제어되지 않은 네트워크에서 시작된 것처럼 각 요청을 확인해야 합니다. 네트워킹은 인프라, 애플리케이션 및 데이터를 연결하고 보호하는 제로 트러스트 중요한 역할을 합니다. 제로 트러스트 모델에서는 네트워크 보안과 관련된 세 가지 주요 목표가 있습니다.
- 공격이 발생하기 전에 처리할 준비를 합니다.
- 손상의 범위 및 확산 속도를 최소화합니다.
- 클라우드 공간을 훼손하기 더 어렵게 합니다.
Azure Virtual WAN은 VNet(가상 네트워크), 분기 사이트, SaaS 및 PaaS 애플리케이션 및 사용자 간에 전역적으로 분산된 클라우드 워크로드 집합 간에 유비쿼터스( any-to-any) 연결을 사용하도록 설정하여 전역 전송 네트워크 아키텍처 를 허용합니다. 백본이 안전하고 보호되도록 하려면 Azure Virtual WAN에서 제로 트러스트 접근 방식을 채택하는 것이 중요합니다.
이 문서에서는 다음과 같은 방법으로 Azure Virtual WAN 배포에 제로 트러스트 원칙을 적용하는 단계를 제공합니다.
제로 트러스트 원칙 | 정의 | Met by |
---|---|---|
명시적으로 확인 | 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. | TLS(전송 계층 보안) 검사와 함께 Azure Firewall을 사용하여 사용 가능한 모든 데이터를 기반으로 위험 및 위협을 확인합니다. 조건부 액세스 제어는 다양한 데이터 요소에 의한 인증 및 권한 부여를 제공하기 위한 것이며 Azure Firewall은 사용자 인증을 수행하지 않습니다. |
최소 권한 액세스 사용 | JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. | 사용자 액세스는 Azure 네트워크 인프라 배포의 범위를 벗어됩니다. 권한 있는 액세스 관리, 조건부 액세스 및 기타 컨트롤과 같은 ID 솔루션을 사용하는 것이 이 원칙을 실현하는 방법입니다. |
위반 가정 | 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다. | 트래픽이 각 Azure Virtual WAN 허브 내에 통합된 방화벽을 통해 라우팅되지 않는 한 각 스포크 VNet은 다른 스포크 VNet에 액세스할 수 없습니다. 방화벽은 기본적으로 거부하도록 설정되어 지정된 규칙에서 허용되는 트래픽만 허용합니다. 하나의 애플리케이션/워크로드가 손상되거나 위반되는 경우 Azure Firewall이 트래픽 검사를 수행하고 허용된 트래픽만 전달하기 때문에 확산되는 기능이 제한됩니다. 동일한 워크로드의 리소스만 동일한 애플리케이션의 위반에 노출됩니다. |
Azure IaaS 환경에서 제로 트러스트 원칙을 적용하는 방법에 대한 자세한 내용은 Azure 인프라에 제로 트러스트 원칙 적용 개요를 참조하세요.
제로 트러스트 대한 업계 토론은 NIST 특별 간행물 800-207을 참조하세요.
Azure Virtual WAN
Azure Virtual WAN은 많은 네트워킹, 보안 및 라우팅 기능을 결합하여 단일 운영 인터페이스를 제공하는 네트워킹 서비스입니다. 주요 기능 중 일부는 다음과 같습니다.
- 고급 라우팅 기능
- 허브에서 Azure Firewall 또는 지원되는 NVA(네트워크 가상 어플라이언스)를 통한 보안 "범프 인 더 와이어" 통합
- 암호화된 ExpressRoute
Azure Virtual WAN에 대한 제로 트러스트 접근 방식을 사용하려면 이전에 나열된 제로 트러스트 원칙 테이블에서 여러 기본 서비스 및 구성 요소를 구성해야 합니다. 다음은 단계 및 작업 목록입니다.
- 각 Virtual WAN 허브 내에 Azure Firewall 또는 지원되는 NGFW(차세대 방화벽) NVA를 배포합니다.
- 검사를 위해 허브의 보안 어플라이언스에 모든 트래픽을 전송하여 제로 트러스트 환경을 만들도록 VNet 간 및 온-프레미스 분기 라우팅을 구성합니다. 알려진 위협에 대한 필터링 및 보호를 제공하도록 라우팅을 구성합니다.
- 스포크에 있는 리소스가 인터넷에 직접 액세스할 수 없는지 확인합니다.
- 스포크 네트워크에서 수신/송신 마이크로 경계 전략과 함께 애플리케이션 마이크로 세분화를 제공합니다.
- 네트워크 보안 이벤트에 대한 가시성을 제공합니다.
참조 아키텍처
다음 다이어그램에서는 일반적으로 배포되는 환경과 Azure Virtual WAN에 제로 트러스트 원칙을 적용하는 방법을 보여 주는 일반적인 참조 아키텍처를 보여 줍니다.
Azure Virtual WAN은 기본 및 표준 형식으로 배포할 수 있습니다. Azure Firewall 또는 NGFW를 사용하여 Azure Virtual WAN에 제로 트러스트 원칙을 적용하려면 표준 형식이 필요합니다.
보안 허브가 있는 Azure Virtual WAN 참조 아키텍처에는 다음이 포함됩니다.
- 단일 논리 Virtual WAN입니다.
- 지역당 하나씩 두 개의 보안 가상 허브.
- 각 허브에 배포된 Azure Firewall Premium의 인스턴스입니다.
- 하나 이상의 Azure Firewall 프리미엄 정책.
- P2S(지점 및 사이트 및 사이트-사이트)(S2S) VPN 및 ExpressRoute 게이트웨이.
- P2S, S2S 및 ExpressRoute 연결 분기.
- 사용자 지정 DNS VM 또는 Azure DNS Private Resolver, Active Directory 도메인 Services [AD DS] 도메인 컨트롤러, Azure Bastion 및 기타 공유 리소스와 같이 Virtual WAN 허브에 배포할 수 없는 핵심 인프라 리소스를 포함하는 공유 서비스 VNet입니다.
- 필요한 경우 Azure 애플리케이션 Gateway, Azure WAF(웹 애플리케이션 방화벽) 및 프라이빗 엔드포인트를 사용하는 워크로드 VNet입니다.
Azure Virtual WAN은 네이티브 Azure Firewall 대신 허브 내에서 제한된 타사 방화벽 집합의 통합을 지원합니다. 이 문서에서는 Azure Firewall에 대해서만 설명합니다. 참조 아키텍처에서 VNet 공유 서비스 스포크에 포함된 것은 배포할 수 있는 항목의 예일 뿐입니다. Microsoft는 Azure Virtual WAN 허브를 관리하며 Azure Firewall 및 지원되는 NVA가 명시적으로 허용하는 것을 제외하고는 그 안에 아무것도 설치할 수 없습니다.
이 참조 아키텍처는 Virtual WAN 네트워크 토폴로지의 클라우드 채택 프레임워크 문서에 설명된 아키텍처 원칙에 부합합니다.
라우팅 보안
온-프레미스 환경의 경로 전파 및 격리를 보호하는 것은 관리해야 하는 중요한 보안 요소입니다.
트래픽 세분화 외에 라우팅 보안은 네트워크 보안 디자인의 중요한 부분입니다. 라우팅 프로토콜은 Azure를 비롯한 대부분의 네트워크에서 필수적인 부분입니다. 잘못된 구성 또는 악의적인 공격과 같은 라우팅 프로토콜에 대한 내재된 위험으로부터 인프라를 보호해야 합니다. VPN 또는 ExpressRoute에 사용되는 BGP 프로토콜은 원치 않는 라우팅 변경으로부터 네트워크를 보호할 수 있는 매우 풍부한 가능성을 제공합니다. 여기에는 너무 구체적인 경로 또는 너무 광범위한 경로의 보급 알림이 포함될 수 있습니다.
네트워크를 보호하는 가장 좋은 방법은 허용된 접두사만 Azure에서 네트워크로 전파되도록 적절한 경로 정책 및 경로 맵 을 사용하여 온-프레미스 디바이스를 구성하는 것입니다. 이렇게 시작할 수 있는 작업의 예는 다음과 같습니다.
너무 일반적인 인바운드 접두사를 차단합니다.
잘못된 구성으로 인해 Azure에서 0.0.0.0/0 또는 10.0.0.0/8과 같은 일반 접두사를 보내기 시작하면 온-프레미스 네트워크에 남아 있을 수 있는 트래픽이 발생할 수 있습니다.
너무 구체적인 인바운드 접두사를 차단합니다.
특정 상황에서는 Azure에서 몇 가지 긴 IPv4 접두사(네트워크 접두사 길이 30~32)를 가져올 수 있습니다. 이 접두사는 일반적으로 덜 구체적인 다른 접두사에 포함되므로 필요하지 않습니다. 이러한 접두사를 삭제하면 온-프레미스 라우팅 테이블이 불필요하게 커지는 것을 방지할 수 있습니다.
Azure를 전송 네트워크로 사용하지 않는 한 Azure에 없는 인바운드 접두사를 차단합니다.
Azure를 사용하여 온-프레미스 위치 간에 트래픽을 전송하지 않는 경우(예: ExpressRoute Global Reach와 같은 기술 사용) Azure에서 보급되는 온-프레미스 접두사는 라우팅 루프를 나타냅니다. 온-프레미스 라우터에서 Azure 접두사만 사용하면 이러한 유형의 라우팅 루프로부터 보호할 수 있습니다.
온-프레미스가 아닌 아웃바운드 접두사를 차단합니다.
Azure 지역 간 전송에 온-프레미스 네트워크를 사용하지 않는 경우 온-프레미스를 사용하지 않는 접두사를 Azure에 보급해서는 안 됩니다. 그렇지 않은 경우 라우팅 루프를 만들 위험이 있습니다. 특히 대부분의 라우터의 eBGP 구현이 기본 설정이 아닌 링크의 모든 접두사를 다시 보급한다는 사실을 감안할 때 그렇습니다. eBGP 다중 경로를 구성하지 않은 경우 Azure 접두사를 다시 Azure로 보내는 효과가 있습니다.
논리 아키텍처
Azure Virtual WAN은 허브 내에서 사용할 수 있는 허브 및 서비스의 컬렉션입니다. 필요한 만큼 가상 WAN을 배포할 수 있습니다. Virtual WAN 허브에는 VPN, ExpressRoute, Azure Firewall 또는 타사 통합 NVA와 같은 여러 서비스가 있습니다.
다음 다이어그램은 클라우드 채택 프레임워크 표시된 대로 Azure Virtual WAN 배포를 위한 Azure 인프라의 논리적 아키텍처를 보여줍니다.
대부분의 리소스는 연결 구독 내에 포함됩니다. 여러 지역에 배포하는 경우를 포함하여 모든 Virtual WAN 리소스를 연결 구독의 단일 리소스 그룹에 배포합니다. Azure VNet 스포크는 랜딩 존 구독에 있습니다. 상속 및 계층 구조 Azure Firewall 정책을 사용하는 경우 부모 정책과 자식 정책이 동일한 지역에 있어야 합니다. 다른 지역의 보안 허브에 있는 한 지역에서 만든 정책을 적용할 수 있습니다.
이 문서의 내용
이 문서에서는 Azure Virtual WAN 참조 아키텍처 전체에서 제로 트러스트 원칙을 적용하는 단계를 안내합니다.
Step | 작업 | 적용된 제로 트러스트 원칙 |
---|---|---|
1 | Azure Firewall 정책을 만듭니다. | 명시적으로 확인 위반 가정 |
2 | Azure Virtual WAN 허브를 보안 허브로 변환합니다. | 명시적으로 확인 위반 가정 |
3 | 트래픽을 보호합니다. | 명시적으로 확인 위반 가정 |
4 | 스포크 VNet을 보호합니다. | 위반 가정 |
5 | 암호화 사용을 검토합니다. | 위반 가정 |
6 | P2S 사용자를 보호합니다. | 위반 가정 |
7 | 모니터링, 감사 및 관리를 구성합니다. | 위반 가정 |
1단계와 2단계를 순서대로 수행해야 합니다. 다른 단계는 순서에 따라 수행할 수 있습니다.
1단계: Azure Firewall 정책 만들기
클래식 허브 및 스포크 아키텍처에서 독립 실행형 Azure Firewall 배포의 경우 Azure Firewall Manager에서 하나 이상의 Azure 정책을 만들고 Azure Virtual WAN 허브에 연결해야 합니다. 허브를 변환하기 전에 이 정책을 만들고 사용할 수 있어야 합니다. 정책이 정의되면 2단계에서 Azure Firewall 인스턴스에 적용됩니다.
Azure Firewall 정책은 부모-자식 계층 구조에서 정렬할 수 있습니다. 클래식 허브 및 스포크 시나리오 또는 관리되는 Azure Virtual WAN의 경우 트래픽을 허용하거나 거부하는 일반적인 IT 차원의 보안 규칙 집합을 사용하여 루트 정책을 정의해야 합니다. 그런 다음 각 허브에 대해 상속을 통해 허브별 규칙을 구현하도록 자식 정책을 정의할 수 있습니다. 이 단계는 선택 사항입니다. 각 허브에 적용해야 하는 규칙이 동일한 경우 단일 정책을 적용할 수 있습니다.
제로 트러스트 경우 프리미엄 Azure Firewall 정책이 필요하며 다음 설정을 포함해야 합니다.
DNS 프록시 – 공유 서비스 스포크 또는 온-프레미스에 있는 실제 DNS를 보호하는 스포크 VNet에 대한 사용자 지정 DNS 서버로 Azure Firewall을 구성해야 합니다. Azure 방화벽은 DNS 프록시 역할을 하고, UDP 포트 53에서 수신 대기하고, 정책 설정에 지정된 DNS 서버에 DNS 요청을 전달합니다. 모든 스포크에 대해 가상 WAN 허브에서 Azure Firewall의 내부 IP 주소를 가리키는 가상 네트워크 수준에서 DNS 서버를 구성해야 합니다. 스포크 및 분기에서 사용자 지정 DNS로의 네트워크 액세스 권한을 부여해서는 안 됩니다.
다음 시나리오에 대해 TLS 검사를 사용하도록 설정해야 합니다.
Azure에서 호스팅되는 내부 클라이언트에서 인터넷으로 전송되는 악의적인 트래픽으로부터 보호하기 위한 아웃바운드 TLS 검사 입니다.
온-프레미스 분기와 Virtual WAN 스포크 간 트래픽을 포함하는 동서 TLS 검사 입니다. 이렇게 하면 Azure 내에서 전송되는 잠재적인 악의적인 트래픽으로부터 Azure 워크로드를 보호합니다.
"경고 및 거부" 모드에서 IDPS(침입 감지 및 방지 시스템) 를 사용하도록 설정해야 합니다.
위협 인텔리전스 는 "경고 및 거부" 모드에서 사용하도록 설정해야 합니다.
정책 만들기의 일환으로 명시적으로 허용된 트래픽에 대한 네트워크 흐름만 사용하도록 설정하려면 필요한 DNAT(대상 네트워크 주소 변환) 규칙, 네트워크 규칙 및 애플리케이션 규칙을 만들어야 합니다. 선택한 대상에 대해 TLS 검사를 사용하도록 설정하려면 해당 애플리케이션 규칙에 "TLS 검사" 설정이 활성화되어 있어야 합니다. 규칙 컬렉션에서 규칙을 만들 때 가장 제한적인 "대상" 및 "대상 유형"을 사용해야 합니다.
2단계: Azure Virtual WAN 허브를 보안 허브로 변환
Azure Virtual WAN에 대한 제로 트러스트 방법의 핵심은 보안 가상 WAN 허브(보안 허브)의 개념입니다. 보안 허브는 통합된 Azure Firewall이 있는 Azure Virtual WAN 허브입니다. 타사에서 지원되는 보안 어플라이언스의 사용은 Azure Firewall의 대안으로 지원되지만 이 문서에는 설명되어 있지 않습니다. 이러한 가상 어플라이언스를 사용하여 모든 남북, 동서 및 인터넷 바인딩 트래픽을 검사할 수 있습니다.
제로 트러스트 Azure Firewall Premium을 권장하며 1단계에 설명된 프리미엄 정책을 사용하여 구성하는 것이 좋습니다.
참고 항목
DDoS Protection 사용은 보안 허브에서 지원 되지 않습니다.
자세한 내용은 Virtual WAN 허브에 Azure Firewall 설치를 참조하세요.
3단계: 트래픽 보호
모든 Azure Virtual WAN 허브를 보안 허브로 업그레이드한 후에는 제로 트러스트 원칙에 대한 라우팅 의도 및 정책을 구성해야 합니다. 이 구성을 사용하면 각 허브의 Azure Firewall이 동일한 허브와 원격 허브에서 스포크 및 분기 간의 트래픽을 유치하고 검사할 수 있습니다. Azure Firewall 또는 타사 NVA를 통해 "인터넷 트래픽" 및 "프라이빗 트래픽"을 모두 보내도록 정책을 구성해야 합니다. "허브 간" 옵션도 사용하도록 설정해야 합니다. 예를 들어 다음과 같습니다.
"프라이빗 트래픽" 라우팅 정책을 사용하도록 설정하면 허브 간 트래픽을 포함하여 Virtual WAN 허브 안팎의 VNet 트래픽이 정책에 지정된 다음 홉 Azure Firewall 또는 NVA로 전달됩니다. RBAC(역할 기반 액세스 제어) 권한이 있는 사용자는 스포크 VNet에 대한 Virtual WAN 경로 프로그래밍을 재정의하고 사용자 지정 UDR(사용자 정의 경로)을 연결하여 허브 방화벽을 우회할 수 있습니다. 이 취약성 을 방지하려면 스포크 VNet 서브넷에 UDR을 할당하는 RBAC 권한이 중앙 네트워크 관리자로 제한되고 스포크 VNet의 랜딩 존 소유자에게 위임되지 않아야 합니다. UDR을 VNet 또는 서브넷과 연결하려면 사용자에게 "Microsoft.Network/routeTables/join/action" 작업 또는 권한이 있는 네트워크 기여자 역할 또는 사용자 지정 역할이 있어야 합니다.
참고 항목
이 문서에서 Azure Firewall은 주로 인터넷 트래픽 및 개인 트래픽 제어에 대해 고려됩니다. 인터넷 트래픽의 경우 지원되는 보안 NVA 또는 타사 SECaaS(Security as a Service) 공급자를 사용할 수 있습니다. 프라이빗 트래픽의 경우 타사 지원 보안 NVA를 Azure Firewall 대신 사용할 수 있습니다.
참고 항목
Azure Virtual WAN의 사용자 지정 경로 테이블 은 라우팅 의도 및 정책과 함께 사용할 수 없으며 보안 옵션으로 간주해서는 안 됩니다.
4단계: 스포크 VNet 보안
각 Azure Virtual WAN 허브는 하나 이상의 VNet을 VNet 피어링과 연결할 수 있습니다. 클라우드 채택 프레임워크 랜딩 존 모델에 따라 모든 VNet에는 조직을 지원하는 랜딩 존 워크로드, 애플리케이션 및 서비스가 포함됩니다. Azure Virtual WAN은 연결, 경로 전파 및 연결, 아웃바운드 및 인바운드 라우팅을 관리하지만 VNet 내 보안에는 영향을 줄 수 없습니다. 제로 트러스트 원칙은 게시된 지침에 따라 각 스포크 VNet 내에 적용되어야 합니다.스포크 가상 네트워크 및 리소스 종류(예: 가상 머신 및 스토리지)에 따라 다른 문서에 제로 트러스트 원칙을 적용합니다. 다음 요소를 고려합니다.
마이크로 세분화: Azure Virtual WAN이 아웃바운드 트래픽을 끌어들이고 필터링하더라도 NSG(네트워크 보안 그룹) 및 ASG(애플리케이션 보안 그룹)를 사용하여 VNet 내 흐름을 규제하는 것이 좋습니다.
로컬 DMZ: Azure Virtual WAN 허브 내의 중앙 방화벽에서 만든 DNAT 규칙은 http 또는 https가 아닌 인바운드 트래픽을 필터링하고 허용해야 합니다. 인바운드 http 또는 https 트래픽은 로컬 Azure 애플리케이션 게이트웨이 및 연결된 웹 애플리케이션 방화벽에서 관리해야 합니다.
Azure Virtual WAN 보안 가상 허브는 아직 Azure DDoS Protection을 지원하지 않지만 스포크 VNet에서 인터넷 연결 엔드포인트를 보호하기 위해 DDoS를 사용하는 것이 가능하고 권장됩니다. 자세한 내용은 Azure Firewall Manager의 알려진 문제 및 허브 가상 네트워크 및 보안 가상 허브 비교를 참조하세요.
고급 위협 탐지 및 보호: 스포크 가상 네트워크에 제로 트러스트 원칙 적용을 참조하세요. 스포크 내의 요소는 클라우드용 Microsoft Defender 같은 위협 방지 도구로 보호되어야 합니다.
Azure Virtual WAN의 허브는 Azure에서 잠겨 있고 관리되므로 사용자 지정 구성 요소를 설치하거나 사용하도록 설정할 수 없습니다. 일반적으로 허브 내부, 클래식 허브 및 스포크 모델에 배포되는 일부 리소스는 공유 리소스 네트워크 역할을 하는 하나 이상의 스포크에 배치되어야 합니다. 예시:
- Azure Bastion: Azure Bastion 은 Azure Virtual WAN을 지원하지만 허브가 Azure에서 제한되고 관리되기 때문에 스포크 가상 네트워크 내에 배포해야 합니다. Azure Bastion 스포크에서 사용자는 다른 VNet의 리소스에 연결할 수 있지만 Azure Bastion Standard SKU에서 사용할 수 있는 IP 기반 연결이 필요합니다.
- 사용자 지정 DNS 서버: 모든 가상 머신에 DNS 서버 소프트웨어를 설치하고 Azure Virtual WAN의 모든 스포크에 대한 DNS 서버 역할을 할 수 있습니다. DNS 서버는 다른 모든 스포크에 직접 또는 Virtual WAN 허브 내에 통합된 Azure Firewall에서 제공하는 DNS 프록시 기능을 통해 스포크 VNet에 설치되어야 합니다.
- Azure 프라이빗 DNS 해결 프로그램: Azure 프라이빗 DNS Resolver의 배포는 Virtual WAN 허브에 연결된 스포크 VNet 중 하나에서 지원됩니다. 가상 WAN 허브 내에 통합된 Azure Firewall은 DNS 프록시 기능을 사용하도록 설정할 때 이 리소스를 사용자 지정 DNS로 사용할 수 있습니다.
- 프라이빗 엔드포인트: 이 리소스 유형 은 Virtual WAN과 호환 되지만 스포크 VNet 내에 배포해야 합니다. 이렇게 하면 통합된 Azure Firewall에서 흐름을 허용하는 경우 동일한 Virtual WAN에 연결된 다른 가상 네트워크 또는 분기에 대한 연결을 제공합니다. Virtual WAN 허브 내에 통합된 Azure Firewall을 사용하여 프라이빗 엔드포인트로 트래픽을 보호하는 방법에 대한 지침은 Azure Virtual WAN의 프라이빗 엔드포인트로 향하는 보안 트래픽에서 찾을 수 있습니다.
- Azure 프라이빗 DNS 영역(링크): 이 유형의 리소스는 가상 네트워크 내에 있지 않지만 올바르게 작동하려면 연결해야 합니다. 프라이빗 DNS 영역은 Virtual WAN 허브에 연결할 수 없습니다. 대신 사용자 지정 DNS 서버 또는 Azure 프라이빗 DNS 확인자(권장)를 포함하는 스포크 VNet에 연결하거나 해당 영역의 DNS 레코드가 필요한 스포크 VNet에 직접 연결해야 합니다.
5단계: 암호화 검토
Azure Virtual WAN은 Microsoft 네트워크에 들어오는 트래픽에 대한 자체 게이트웨이를 통해 일부 트래픽 암호화 기능을 제공합니다. 가능하면 게이트웨이 유형에 따라 암호화를 사용하도록 설정해야 합니다. 다음과 같은 기본 암호화 동작을 고려합니다.
Virtual WAN S2S VPN Gateway는 IPsec/IKE(IKEv1 및 IKEv2) VPN 연결을 사용할 때 암호화를 제공합니다.
Virtual WAN P2S VPN Gateway는 OpenVPN 또는 IPsec/IKE(IKEv2)를 통해 사용자 VPN 연결을 사용할 때 암호화를 제공합니다.
Virtual WAN ExpressRoute 게이트웨이는 암호화를 제공하지 않으므로 독립 실행형 ExpressRoute와 동일한 고려 사항이 적용됩니다.
ExpressRoute Direct를 기반으로 프로비전되는 ExpressRoute 회로에 대해서만 플랫폼 제공 MACsec 암호화를 활용하여 에지 라우터와 Microsoft의 에지 라우터 간의 연결을 보호할 수 있습니다.
Azure ExpressRoute 회로의 프라이빗 피어링을 통해 온-프레미스 네트워크에서 Azure로의 IPsec/IKE VPN 연결을 사용하여 암호화를 설정할 수 있습니다. 라우팅 의도 및 라우팅 정책은 이제 Encrypted ExpressRoute에 설명된 대로 필요한 추가 구성 단계를 사용하여 이 구성을 지원합니다.
타사 SD-WAN(소프트웨어 정의 WAN) 디바이스 및 Virtual WAN 허브에 통합된 NVA 의 경우 공급업체 설명서에 따라 특정 암호화 기능을 확인하고 구성해야 합니다.
트래픽이 게이트웨이 또는 SD-WAN/NVA 중 하나를 통해 Azure 네트워크 인프라에 들어가면 네트워크 암호화를 제공하는 특정 Virtual WAN 서비스 또는 기능이 없습니다. 허브와 해당 가상 네트워크와 허브 간 트래픽이 암호화되지 않은 경우 필요한 경우 애플리케이션 수준 암호화를 사용해야 합니다.
참고 항목
Virtual WAN 스포크는 Virtual WAN 허브 원격 게이트웨이를 사용하는 데 스포크가 필요하기 때문에 Azure VPN Gateway를 사용하는 VNet-VNet 암호화를 지원하지 않습니다.
6단계: P2S 사용자 보호
Azure Virtual WAN은 많은 네트워킹, 보안 및 라우팅 기능을 결합하여 단일 운영 인터페이스를 제공하는 네트워킹 서비스입니다. 사용자 ID 관점에서 Virtual WAN을 사용하는 유일한 터치 포인트는 사용자 P2S VPN을 허용하는 데 사용되는 인증 방법에 있습니다. 몇 가지 인증 방법을 사용할 수 있지만 일반적인 제로 트러스트 원칙인 Microsoft Entra 인증을 따르는 것이 좋습니다. Microsoft Entra ID를 사용하면 MFA(다단계 인증)를 요구할 수 있으며 조건부 액세스는 클라이언트 디바이스 및 사용자 ID에 제로 트러스트 원칙을 적용합니다.
참고 항목
Microsoft Entra 인증은 OpenVPN 프로토콜을 사용하는 게이트웨이에만 사용할 수 있으며 OpenVPN 프로토콜 연결에 대해서만 지원되며 Azure VPN 클라이언트가 필요합니다.
Azure Virtual WAN 및 Azure Firewall은 사용자 계정 또는 그룹 이름에 따라 트래픽 라우팅 및 필터링을 제공하지 않지만 서로 다른 사용자 그룹 IP 주소 풀을 할당할 수 있습니다. 그런 다음, 통합된 Azure Firewall에서 할당된 P2S IP 주소 풀에 따라 사용자 또는 그룹을 제한하는 규칙을 정의할 수 있습니다.
P2S 사용자를 네트워크 액세스 요구 사항에 따라 다른 그룹으로 나누는 경우 네트워크 수준에서 차별화하고 내부 네트워크의 하위 집합에만 액세스할 수 있는지 확인하는 것이 좋습니다. Azure Virtual WAN에 대한 여러 IP 주소 풀을 만들 수 있습니다. 자세한 내용은 P2S 사용자 VPN에 대한 사용자 그룹 및 IP 주소 풀 구성을 참조하세요.
7단계: 모니터링, 감사 및 관리 구성
Azure Virtual WAN은 Azure Monitor를 사용하여 광범위한 모니터링 및 진단 기능을 제공합니다. Azure Portal에서 Virtual WAN용 Azure Monitor Insights라는 집중적이고 미리 빌드된 모니터링 대시보드를 사용하여 추가 세부 정보 및 토폴로지 정보를 얻을 수 있습니다. 이러한 모니터링 도구는 보안과 관련이 없습니다. 각 Virtual WAN 허브 내에 배포된 Azure Firewall은 제로 트러스트 및 보안 모니터링을 위한 통합 지점을 제공합니다. Virtual WAN 외부의 Azure Firewall과 동일한 Azure Firewall에 대한 진단 및 로깅을 구성해야 합니다.
Azure Firewall은 제로 트러스트 원칙의 보안 및 올바른 적용을 보장하기 위해 사용해야 하는 다음과 같은 모니터링 도구를 제공합니다.
Azure Firewall Policy Analytics는 Azure Firewall에 대한 인사이트, 중앙 집중식 가시성 및 제어를 제공합니다. 보안을 위해서는 내부 인프라를 보호하기 위해 적절한 방화벽 규칙이 적용되고 효과적일 것을 요구합니다. Azure Portal에는 방화벽 엔진 IDPS 및 위협 인텔리전스 기능에서 생성된 "잠재적 악성 원본"에 대한 세부 정보가 요약되어 있습니다.
Azure Firewall 통합 문서는 Azure Firewall 데이터를 분석할 수 있도록 유연한 캔버스를 제공합니다. Azure Firewall 이벤트에 대한 인사이트를 얻고, 애플리케이션 및 네트워크 규칙에 대해 알아보고, URL, 포트 및 주소에서 방화벽 활동에 대한 통계를 볼 수 있습니다. IDPS 로그 통계 확인 및 조사 탭, 거부된 트래픽, 원본 및 대상 흐름 및 위협 인텔리전스 보고서를 정기적으로 검토하여 방화벽 규칙을 검토하고 최적화하는 것이 좋습니다.
Azure Firewall은 클라우드용 Microsoft Defender 및 Microsoft Sentinel과도 통합됩니다. 다음과 같은 방법으로 두 도구를 올바르게 구성하고 제로 트러스트 위해 적극적으로 사용하는 것이 좋습니다.
- 클라우드용 Microsoft Defender 통합을 사용하면 Azure의 여러 지역에 분산된 모든 VNet 및 Virtual Hubs의 Azure 네트워크 보안을 포함하여 네트워크 인프라 및 네트워크 보안의 전체 상태를 한 곳에서 시각화할 수 있습니다. Azure Firewall, 방화벽 정책 및 Azure Firewall이 배포된 Azure 지역의 수를 한눈에 볼 수 있습니다.
- 원활한 Azure Firewall 통합을 위한 Microsoft Sentinel 솔루션 은 위협 탐지 및 방지를 제공합니다. 배포가 완료되면 솔루션은 Microsoft Sentinel을 기반으로 기본 제공 사용자 지정 가능한 위협 탐지를 허용합니다. 솔루션에는 통합 문서, 검색, 헌팅 쿼리 및 플레이북도 포함 됩니다.
관리자 교육
다음 교육 모듈은 Azure Virtual WAN 배포에 제로 트러스트 원칙을 적용하는 데 필요한 기술을 팀에 제공합니다.
Azure Virtual WAN 소개
학습 | Azure Virtual WAN 소개 |
---|---|
소프트웨어 정의 Azure Virtual WAN 네트워킹 서비스를 사용하여 WAN(광역 네트워크)을 생성하는 방법을 설명합니다. |
Azure Firewall 소개
학습 | Azure Firewall 소개 |
---|---|
Azure Firewall Manager를 사용하여 Azure Firewall 기능, 규칙, 배포 옵션 및 관리를 포함하여 Azure Firewall이 Azure VNet 리소스를 보호하는 방법을 설명합니다. |
Azure Firewall Manager 소개
학습 | Azure Firewall Manager 소개 |
---|---|
Azure Firewall Manager를 사용하여 클라우드 기반 보안 경계에 중앙 보안 정책 및 경로 관리를 제공할 수 있는지 여부를 설명합니다. Azure Firewall Manager를 통해 클라우드 경계를 보호할 수 있는지 여부를 평가합니다. |
네트워크 보안 설계 및 구현
학습 | 네트워크 보안 디자인 및 구현 |
---|---|
Azure DDoS, Azure Firewall, Network Security Groups, Web Application Firewall과 같은 네트워크 보안 솔루션을 설계하고 구현하는 방법을 알아봅니다. |
Azure의 보안에 대한 자세한 내용은 Microsoft 카탈로그에서 다음 리소스를 참조하세요.
Azure의 보안
다음 단계
Azure에 제로 트러스트 원칙을 적용하려면 다음 추가 문서를 참조하세요.
- Azure IaaS 개요
- Azure Virtual Desktop
- Amazon Web Services의 IaaS 애플리케이션
- Microsoft Sentinel 및 Microsoft Defender XDR
참조
이 문서에 언급된 다양한 서비스 및 기술에 대해 알아보려면 이러한 링크를 참조하세요.
Azure Virtual WAN
- Azure Virtual WAN 개요
- Virtual WAN 허브 라우팅 정책을 구성하는 방법
- Virtual WAN 허브에 Azure Firewall 설치
- 보안 가상 허브란?
- Virtual WAN 허브 라우팅 정책을 구성하는 방법
- 자습서: Azure Firewall Manager를 사용하여 가상 허브 보호
- 자습서: Azure PowerShell을 사용하여 가상 허브 보호
- Virtual WAN에서 프라이빗 링크 서비스 공유
- P2S 클라이언트용 스포크 VNet의 리소스에 대한 보안 액세스 관리
보안 기준
잘 설계된 프레임워크 검토
Azure 보안
- Azure 보안 소개
- 제로 트러스트 구현 지침
- Microsoft 클라우드 보안 벤치마크 개요
- Azure 보안 서비스를 사용하여 첫 번째 방어 계층 빌드
- Microsoft 사이버 보안 참조 아키텍처
기술 일러스트레이션
이 문서에 사용된 일러스트레이션을 다운로드할 수 있습니다. Visio 파일을 사용하여 이러한 일러스트레이션을 사용자 고유의 용도로 수정합니다.
추가 기술 일러스트레이션을 보려면 여기를 클릭하세요.