Azure 보안 서비스에 대해 알아보자.
우선 간략히 내용을 적고 하나씩 사용하며 업데이트해보겠다.
<1> Azure Firewall
<2> Azure DDS 보호 , Distributed Denial of Service
<3> 네트워크 보안 그룹 Network Security Group - NSGs
<4> 네트워크 보안 그룹과 Azure 파이어월과의 차이점은?
<5> 경계 레이어와 네트워크 레이어 적용되는 보안은?
<6> 구성으로 본 네트워크 차단 3가지
<7> 가상 네트워크
<8> 서버에서 NSG 확인해보자
<9> 인증 및 권한 AAD Azure Active Directory
<1> Azure Firewall
1
PaSS 설루션
인바운드 아웃바운드 트래픽 필터링 규칙 적용
고가용성 = PaSS 서비스 = 무제한 확장 가능하다.
Azure 모니터링 로깅된다.
2
NAT rule
Network rule 네트워크 레이어의 필터링
application rule
3
인바운드에 대해 application rule 제공하지 않음
아웃바운드에서는 application rule 제공함.
애플리케이션 게이트웨이 또는 웹 응용 프로그램 방화벽 기능(WAF)과 같이 제공하여 해결함
<2> Azure DDS 보호 , Distributed Denial of Service
1
기본으로 기본 차단으로 제공한다.
Basic을 제공한다.
Standard 버전은 유료버전이다.
// Azure DDOS 기본은 무료로 제공한다. = AWS shield 도 기본적으로 무료로 제공한다. = AWS shield 스탠더드와 같다.
2
추가 기능은 Standard 버전으로 업그레이드하면 된다. = 유료 버전
Standard에서 제공하는 기능
https://docs.microsoft.com/ko-kr/azure/ddos-protection/ddos-protection-overview
<3> 네트워크 보안 그룹 Network Security Group - NSGs
1
가상 네트워크에서 Azure 리소스로 네트워크 트래픽을 필터링.
IP, 포트. 프로토콜
인바운드 , 아웃바운드 규칙 설정한다.
2
내부 네트워크에서 차단하는 서비스이다.
<4> 네트워크 보안 그룹과 Azure 파이어월과의 차이점은?
1
Azure Firewall은 가장 앞단에서 방어하는 것이다.
여러 개의 VNet , 여러 개의 구독을 처리하는 게 가능하다!!!
NAT 기능도 하고 , 커버하는 영역이 더 많다.
2
네트워크 보안 그룹 Network Security Group = NSGs는?
하나의 Vnet 안에 서브넷이나 IP에 대해 처리가 가능하다.
<5> 경계 레이어와 네트워크 레이어 적용되는 보안은?
1
경계 레이어 보안?
Azure DDOS , Azure 방화벽, 애플리케이션 게이트웨이
2
네트워크 레이어 보안?
Network layer NSG (네트워크 보안 그룹)
네트워크 리소스 간 차단 허용
<6> 구성으로 본 네트워크 차단 3가지
1
Azure Firewall로 차단.
2
VM Fireall로 차단.
3대
F5등
3
Application Gateway로 차단한다.
<7> 가상 네트워크
1
네트워크 구성
default 10.1.0.0/16
web 10.1.0.0/24
db
default subnet
web
db
2
경계 보안?
DDOS 보호 - 기본 or 표준 // 기본으로 되어 있다.
방화벽 사용 안 함 or 사용 // 사용 안 함으로 되어 있디. 사용으로 하면 방화벽 서비스 이용한다.
<8> 서버에서 NSG 확인해보자
1
가상 서버에서 확인
NSG 확인?
인 바운트에 디폴트로 3개 허용된다. - LB에서 오는 거 허용 , Vnet에서 오는 것 허용.
VM 만들 때 허용하는 것이 있다.
2
맨 아래에 Deny all 이 있다.
3
우선순위 숫자가 작을수록 먼저 허용된다.
4
아웃 바운드는 3개 허용된데.
allow internet 허용되어 있다.
가상 머신은 인터넷을 할 수 있다.
단절 망에서 인터넷이 된다.
기본 규칙이 그렇다.
5
안터넷을 막으려면?
100으로 차단을 적용하라. 그러면 인터넷이 안된다.
<9> 인증 및 권한 AAD Azure Active Directory
1
인증 (Authentication)
사람, 서비스 식별하는 것
2
권한 (Authorization)
인증된 사람에 의해 서비스에 대한 액세스 수준을 결정하는 것.
3
뭐가 한다?
AAD에서 한다.
Azure Active Directory에서 한다.
4
Windows Avtive 디렉터리와 틀리다.
이름만 비슷할 뿐 다른 서비스이다.
5
애저상에서 클라우드 기반에 인증, 웹 인증 처리 등 한다.
단일 인증(SSO) 처리한다.
감사합니다.