brunch

매거진 Azure 전문가 되기
라이킷 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by Master Seo Feb 10. 2021

53. Azure Firewall

Azure 보안 서비스에 대해 알아보자.

우선 간략히 내용을 적고 하나씩 사용하며 업데이트해보겠다.



<1> Azure Firewall

<2>  Azure DDS 보호 , Distributed Denial of Service 

<3> 네트워크 보안 그룹 Network Security Group - NSGs

<4>  네트워크 보안 그룹과 Azure  파이어월과의 차이점은?

<5> 경계 레이어와 네트워크 레이어 적용되는 보안은?

<6> 구성으로  본 네트워크 차단 3가지

<7>  가상 네트워크

<8> 서버에서  NSG 확인해보자

<9>  인증 및 권한    AAD  Azure Active Directory




<1> Azure Firewall


1

PaSS 설루션

인바운드 아웃바운드  트래픽 필터링 규칙 적용

고가용성 = PaSS 서비스 = 무제한 확장 가능하다.

Azure  모니터링 로깅된다.


2

NAT rule

Network rule  네트워크 레이어의 필터링 

application rule


3

인바운드에 대해 application rule 제공하지 않음

아웃바운드에서는 application rule 제공함.

애플리케이션 게이트웨이 또는 웹 응용 프로그램 방화벽 기능(WAF)과 같이 제공하여 해결함



<2>  Azure DDS 보호 , Distributed Denial of Service 


1

기본으로  기본 차단으로 제공한다.   

Basic을 제공한다.

Standard 버전은 유료버전이다.

// Azure DDOS 기본은 무료로 제공한다.   =    AWS shield 도 기본적으로 무료로 제공한다. = AWS shield 스탠더드와 같다.


2

추가 기능은 Standard 버전으로 업그레이드하면 된다. = 유료 버전


Standard에서 제공하는 기능

https://docs.microsoft.com/ko-kr/azure/ddos-protection/ddos-protection-overview




<3> 네트워크 보안 그룹 Network Security Group - NSGs


1

가상 네트워크에서 Azure 리소스로 네트워크 트래픽을 필터링.

IP, 포트. 프로토콜 

인바운드 , 아웃바운드 규칙 설정한다.


2

내부 네트워크에서 차단하는 서비스이다.



<4>  네트워크 보안 그룹과 Azure  파이어월과의 차이점은?


1

Azure  Firewall은 가장 앞단에서 방어하는 것이다.

여러 개의 VNet , 여러 개의 구독을 처리하는 게  가능하다!!!

NAT 기능도 하고 , 커버하는 영역이 더 많다.


2

네트워크 보안 그룹 Network Security Group  = NSGs는?

하나의 Vnet 안에 서브넷이나 IP에 대해  처리가 가능하다.



<5> 경계 레이어와 네트워크 레이어 적용되는 보안은?


1

경계 레이어  보안?

Azure DDOS ,  Azure 방화벽, 애플리케이션 게이트웨이


2

네트워크 레이어  보안?

Network layer  NSG (네트워크 보안 그룹)

네트워크 리소스 간 차단 허용



<6> 구성으로  본 네트워크 차단 3가지


1

Azure  Firewall로 차단.


2

VM Fireall로 차단.

3대 

F5등


3

Application Gateway로 차단한다.



<7>  가상 네트워크


1

네트워크 구성

default 10.1.0.0/16

web  10.1.0.0/24  

db  


default subnet

web

db 


2

경계 보안?

DDOS 보호  - 기본   or  표준   // 기본으로 되어 있다.

방화벽   사용 안 함  or  사용    //  사용 안 함으로 되어 있디. 사용으로 하면 방화벽 서비스 이용한다.



<8> 서버에서  NSG 확인해보자


1

가상 서버에서 확인

NSG 확인?

인 바운트에 디폴트로 3개 허용된다.  - LB에서 오는 거 허용 , Vnet에서 오는 것 허용.

VM 만들 때  허용하는 것이 있다.


2

맨 아래에 Deny all 이 있다.


3

우선순위  숫자가 작을수록 먼저 허용된다.


4

아웃 바운드는 3개 허용된데.


allow internet 허용되어 있다.

가상 머신은 인터넷을 할 수 있다.

단절 망에서 인터넷이 된다.

기본 규칙이 그렇다.


5

안터넷을 막으려면?

100으로  차단을 적용하라. 그러면 인터넷이 안된다.



<9>  인증 및 권한    AAD  Azure Active Directory


1

인증 (Authentication)

사람, 서비스 식별하는 것


2

권한  (Authorization)

인증된 사람에 의해  서비스에 대한 액세스 수준을 결정하는 것.


3

뭐가 한다?

AAD에서 한다.

Azure Active Directory에서 한다.


4

Windows Avtive 디렉터리와 틀리다.

이름만 비슷할 뿐 다른 서비스이다.


5

애저상에서 클라우드 기반에 인증, 웹 인증 처리 등 한다.

단일 인증(SSO) 처리한다.



감사합니다.

keyword
Master Seo 소속 클라우드전문가카페 직업 엔지니어

(전) 네이버 엔지니어 7년 , 네이버 클라우드 마스터, PRO , AWS 아키프로, Google프로아키, Azure어드민, CCNP, 맛집,여행 전문가, 좋은 기운을 주는사람
구독자 2,521
매거진의 이전글 52. 2주 차 - Azure 네트워크 만들기
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari