brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Feb 10. 2021

53. Azure Firewall

Azure 보안 서비스에 대해 알아보자.

우선 간략히 내용을 적고 하나씩 사용하며 업데이트해보겠다.



<1> Azure Firewall

<2>  Azure DDS 보호 , Distributed Denial of Service 

<3> 네트워크 보안 그룹 Network Security Group - NSGs

<4>  네트워크 보안 그룹과 Azure  파이어월과의 차이점은?

<5> 경계 레이어와 네트워크 레이어 적용되는 보안은?

<6> 구성으로  본 네트워크 차단 3가지

<7>  가상 네트워크

<8> 서버에서  NSG 확인해보자

<9>  인증 및 권한    AAD  Azure Active Directory




<1> Azure Firewall


1

PaSS 설루션

인바운드 아웃바운드  트래픽 필터링 규칙 적용

고가용성 = PaSS 서비스 = 무제한 확장 가능하다.

Azure  모니터링 로깅된다.


2

NAT rule

Network rule  네트워크 레이어의 필터링 

application rule


3

인바운드에 대해 application rule 제공하지 않음

아웃바운드에서는 application rule 제공함.

애플리케이션 게이트웨이 또는 웹 응용 프로그램 방화벽 기능(WAF)과 같이 제공하여 해결함



<2>  Azure DDS 보호 , Distributed Denial of Service 


1

기본으로  기본 차단으로 제공한다.   

Basic을 제공한다.

Standard 버전은 유료버전이다.

// Azure DDOS 기본은 무료로 제공한다.   =    AWS shield 도 기본적으로 무료로 제공한다. = AWS shield 스탠더드와 같다.


2

추가 기능은 Standard 버전으로 업그레이드하면 된다. = 유료 버전


Standard에서 제공하는 기능

https://docs.microsoft.com/ko-kr/azure/ddos-protection/ddos-protection-overview




<3> 네트워크 보안 그룹 Network Security Group - NSGs


1

가상 네트워크에서 Azure 리소스로 네트워크 트래픽을 필터링.

IP, 포트. 프로토콜 

인바운드 , 아웃바운드 규칙 설정한다.


2

내부 네트워크에서 차단하는 서비스이다.



<4>  네트워크 보안 그룹과 Azure  파이어월과의 차이점은?


1

Azure  Firewall은 가장 앞단에서 방어하는 것이다.

여러 개의 VNet , 여러 개의 구독을 처리하는 게  가능하다!!!

NAT 기능도 하고 , 커버하는 영역이 더 많다.


2

네트워크 보안 그룹 Network Security Group  = NSGs는?

하나의 Vnet 안에 서브넷이나 IP에 대해  처리가 가능하다.



<5> 경계 레이어와 네트워크 레이어 적용되는 보안은?


1

경계 레이어  보안?

Azure DDOS ,  Azure 방화벽, 애플리케이션 게이트웨이


2

네트워크 레이어  보안?

Network layer  NSG (네트워크 보안 그룹)

네트워크 리소스 간 차단 허용



<6> 구성으로  본 네트워크 차단 3가지


1

Azure  Firewall로 차단.


2

VM Fireall로 차단.

3대 

F5등


3

Application Gateway로 차단한다.



<7>  가상 네트워크


1

네트워크 구성

default 10.1.0.0/16

web  10.1.0.0/24  

db  


default subnet

web

db 


2

경계 보안?

DDOS 보호  - 기본   or  표준   // 기본으로 되어 있다.

방화벽   사용 안 함  or  사용    //  사용 안 함으로 되어 있디. 사용으로 하면 방화벽 서비스 이용한다.



<8> 서버에서  NSG 확인해보자


1

가상 서버에서 확인

NSG 확인?

인 바운트에 디폴트로 3개 허용된다.  - LB에서 오는 거 허용 , Vnet에서 오는 것 허용.

VM 만들 때  허용하는 것이 있다.


2

맨 아래에 Deny all 이 있다.


3

우선순위  숫자가 작을수록 먼저 허용된다.


4

아웃 바운드는 3개 허용된데.


allow internet 허용되어 있다.

가상 머신은 인터넷을 할 수 있다.

단절 망에서 인터넷이 된다.

기본 규칙이 그렇다.


5

안터넷을 막으려면?

100으로  차단을 적용하라. 그러면 인터넷이 안된다.



<9>  인증 및 권한    AAD  Azure Active Directory


1

인증 (Authentication)

사람, 서비스 식별하는 것


2

권한  (Authorization)

인증된 사람에 의해  서비스에 대한 액세스 수준을 결정하는 것.


3

뭐가 한다?

AAD에서 한다.

Azure Active Directory에서 한다.


4

Windows Avtive 디렉터리와 틀리다.

이름만 비슷할 뿐 다른 서비스이다.


5

애저상에서 클라우드 기반에 인증, 웹 인증 처리 등 한다.

단일 인증(SSO) 처리한다.



감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari