네트워크 보안

네트워크 보안

• 네트워크 내부, 외부에서 이루어지는 리소스 통신을 보호
• 목표 : 서비스 , 시스템에 걸쳐 네트워크 레이어 수준에서 노출을 제한하는 것. ⇒ 리소스 공격 가능성 줄임.
  • 애플리케이션과 인터넷 간 트래픽 흐름 보호 : 네트워크 외부에서 노출을 제한 하는 것에 집중
  • 애플리케이션 간 트래픽 흐름 보호 : 애플리케이션 및 애플리케이션 계층 간, 여러 환경 간, 네트워크 내 다른 서비스 사이에 오가는 데이터에 집중함.
  • 사용자 애플리케이션 간 트래픽 흐름 보호 : 사용자의 네트워크 흐름 보호에 집중 ⇒ 리소스가 외부 공격에 노출되는 것을 제한하고 사용자가 리소스를 활용하도록 보안 메커니즘을 제공

인터넷 보호

• 인터넷 공격을 제한하고 제거하는 것에 집중
• 인터넷에 연결되는 리소스를 평가, 필요한 경우에만 인바운드, 아웃바운드 통신을 허용함.
• 모든 종류의 인바운드 네트워크 트래픽을 허용하는 모든 리소스를 식별함.
• 리소스가 필요한지 확인하여 포트 및 프로토콜로만 제한해야 함.
• Security Center에서 정보를 볼 수 있음.
• Azure DDoS 보호 =→ Azure 서비스에 기본 보호 제공, 리소스를 추가로 사용자 지정 할 수 있도록 함.
  • 공격 트래픽 차단, 적법한 트래픽을 의도하는 대상으로 전달, 공격 탐지시 ⇒ Azure Monitor 메트릭을 통해 알림을 받음.

가상 네트워크 보안

• 필요한 곳에서만 리소스 간 통신이 이루어지도록 제한함.
• 네트워크 보안 그룹을 통해 불필요한 통신을 제한하는 것이 중요함.
• 네트워크 보안 그룹 → layer 3, 4계층에서 작동, 네트워크 인터페이스 및 서브넷과 허용되거나 거부되는 통신 목록을 제공함, 완전히 사용자 지정할 수 있음, 가상 머신과 주고 받는 네트워크 통신을 완전히 차단할 수 있음, 환경, 계층, 서비스 간에 애플리케이션 격리할 수 있음.

네트워크 통합

• 온프레미스 네트워크에서 통신을 제공하기 위해, Azure 서비스 간 통신을 향상하기 위해 네트워크 인프라 통합해야하는 경우⇒ 이러한 통합을 처리하고 네트워크 보안 향상할 수 있는 방법

1. VPN 연결
   • 네트워크 간 보안 통신 채널을 설정하는 일반적인 방법
   • Azure와 네트워크와 가상 머신 간 통신을 보호하는 훌륭한 방법
2. 네트워크-Azure 간 전용 프라이빗 연결 제공 : Azure ExpressRoute 사용⇒ 연결 공급자가 지원하는 프라이빗 연결을 통해 온-프레미스 네트워크를 마이크로소프트 클라우드로 확장할 수 있음.
3. ⇒ Azure, Microsoft 365, Dynamic 365 와 같은 Microsoft 클라우드 서비스에 대한 연결을 설정할 수 있음.⇒ 인터넷 대신 프라이빗 회로를 통해 이 트래픽을 전송하여 온프레미스 통신 보안 향상됨. ⇒ 사용자가 인터넷을 통해 이러한 서비스에 액세스하도록 할 필요가 없고, 어플라이언스를 통해 이 트래픽을 전송하여 트래픽을 추가로 검사할 수 있음.
4. 네트워크 피어링 : 여러 가상 네트워크를 쉽게 통합하기 위함, 가상 네트워크 간에 직접 연결을 설정함. 연결이 설정되면 가상 네트워크 내에서 리소스를 보호하는 것과 동일한 방법으로 네트워크 보안 그룹을 사용하여 리소스를 격리할 수 있음. ⇒ 모든 피어링된 가상 네트워크에 동일한 기본 보안 계층을 제공할 수 있음.