네트워크 보안 그룹(NSG : Network Security Group)
가상 네트워크의 리소스에 대한 네트워크 트래픽을 제한하는 방법
•
인바운드 또는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙 목록이 포함
네트워크 보안 그룹 구현
트래픽 흐름을 서브넷 내에 있는 모든 컴퓨터로 제한
네트워크 보안 그룹을 사용하여 가상 네트워크에서 리소스에 대한 네트워크 트래픽을 제한. 서브넷 또는 네트워크 인터페이스에 네트워크 보안 그룹을 할당하고, 네트워크 트래픽을 제어하는 그룹의 보안 규칙을 정의
네트워크 보안 그룹에 대해 알아야 할 사항
•
네트워크 보안 그룹에는 인바운드 또는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙 목록이 포함
•
네트워크 보안 그룹은 서브넷 또는 네트워크 인터페이스에 연결
•
네트워크 보안 그룹은 여러 번 연결 가능
•
네트워크 보안 그룹을 만들고 Azure Portal의 보안 규칙을 정의
Azure Portal의 가상 머신에 대해 정의. 가상 머신의 개요 페이지에서 연결된 네트워크 보안 그룹에 대한 정보를 제공(할당된 서브넷, 할당된 네트워크 인터페이스, 정의된 보안 규칙과 같은 세부 정보)
네트워크 보안 그룹 및 서브넷
네트워크 보안 그룹을 서브넷에 할당하고 보호된 스크린된 서브넷(비무장지대[DMZ] : 가상 네트워크와 인터넷 내 리소스 간에 버퍼 역할) 생성 가능
•
트래픽 흐름을 서브넷 내에 있는 컴퓨터로 제한
•
각 서브넷에는 최대 1개의 연결된 네트워크 보안 그룹
네트워크 보안 그룹 및 네트워크 인터페이스
네트워크 보안 그룹을 NIC(네트워크 인터페이스 카드)에 할당 가능
•
NIC를 통해 흐르는 모든 트래픽을 제어하는 네트워크 보안 그룹 규칙을 정의
•
서브넷에 있는 각 네트워크 인터페이스에 0개 또는 1개의 네트워크 보안 그룹을 연결
네트워크 보안 그룹 규칙 결정
네트워크 보안 그룹의 보안 규칙을 사용하면, 네트워크 트래픽을 필터링 가능. 가상 네트워크 서브넷 및 네트워크 인터페이스의 내/외부 트래픽 흐름을 제어하는 규칙을 정의
보안 규칙에 대해 알아야 할 사항
•
인바운드 트래픽 및 아웃바운드 트래픽을 포함하여 각 네트워크 보안 그룹 내에 여러 가지 기본 보안 규칙 생성
◦
DenyAllInbound 및 AllowInternetOutbound 트래픽
•
만드는 각 네트워크 보안 그룹에 기본 보안 규칙을 생성
•
다음 설정에 대한 조건을 지정해 네트워크 보안 그룹에 더 많은 보안 규칙을 추가
◦
이름, 우선 순위, 포트, 프로토콜, 원본(모두/IP주소/서비스 태그), 대상(모두/IP주소/가상네트워크), 작업(허용/거부)
•
각 보안 규칙에 우선 순위 값 할당. 모든 보안 규칙은 우선 순위에 따라 처리
•
제거 불가
•
우선 순위 설정이 더 높은 다른 보안 규칙을 만들어서 기본 보안 규칙 재정의 가능
인바운드 트래픽 규칙
네트워크 보안 그룹에 대한 세 가지 기본 인바운드 보안 규칙을 정의. 가상 네트워크 및 Azure 부하 분산 장치의 트래픽을 제외한 모든 인바운드 트래픽을 거부
아웃바운드 트래픽 규칙
네트워크 보안 그룹에 대한 세 가지 기본 아웃바운드 보안 규칙을 정의. 해당 규칙은 인터넷 및 가상 네트워크로의 아웃바운드 트래픽만 허용
네트워크 보안 그룹 유효 규칙 결정
각 네트워크 보안 그룹과 정의된 보안 규칙은 독립적으로 평가됨. Azure는 구성의 각 가상 머신에 대해 정의된 각 규칙의 조건을 처리
•
인바운드 트래픽의 경우, Azure는 먼저 연결된 서브넷에 대한 네트워크 보안 그룹 보안 규칙을 처리한 다음 연결된 네트워크 인터페이스에 대한 보안 규칙을 처리
•
아웃바운드 트래픽의 경우에는 프로세스의 순서가 반대. Azure는 먼저 연결된 네트워크 인터페이스에 대한 네트워크 보안 그룹 보안 규칙을 평가한 뒤에 연결된 서브넷에 대한 보안 규칙을 평가
•
인바운드 및 아웃바운드 평가 프로세스 모두에 대해 Azure는 서브넷 내 트래픽에 대한 규칙을 적용하는 방법도 확인
효과적인 보안 규칙에 대해 알아야 할 사항
가상 네트워크 내에서 네트워크 보안 그룹 규칙을 정의하고 처리하는 방법
서브넷 3개 구성(가상 네트워크 구성)
서브넷1(가상머신 2개) + 서브넷2(가상머신 1개) + 서브넷3(가상머신 1개) : 각 VM에는 NIC(네트워크 인터페이스 카드) 존재
인바운드 트래픽 유효 규칙
구성 내 모든 VM의 인바운드 트래픽에 대한 규칙을 처리. VM이 NSG의 멤버인지 여부 및 VM에 연결된 서브넷 또는 NIC가 있는지 여부를 식별
•
NSG가 생성되면, 그룹에 대한 기본 보안 규칙 DenyAllInbound를 생성. 기본 동작은 인터넷의 모든 인바운드 트래픽을 거부하는 것. 서브넷 또는 NIC에 대한 규칙이 기본 Azure 보안 규칙보다 우선시
•
우선순위 : VM의 서브넷에 대한 NSG 인바운드 규칙 > 동일 VM 내 NIC에 대한 인바운드 규칙
아웃바운드 트래픽 유효 규칙
먼저 모든 VM에서 NIC에 대한 NSG 연결을 검사하여 아웃바운드 트래픽에 대한 규칙을 처리