Azure Service Bus 는 네트워크 보안 경계와의 통합을 지원합니다.
네트워크 보안 경계는 Azure Service Bus와 Azure Key Vault와 같은 다른 PaaS(Platform as a Service) 제품 간의 네트워크 트래픽을 보호하는 데 도움이 됩니다. 네트워크 보안 경계는 통신을 경계 내의 Azure 리소스로만 제한함으로써 다른 리소스에 대한 무단 액세스를 차단합니다.
네트워크 보안 경계를 사용하는 경우:
- 특정 경계와 연결된 PaaS 리소스는 기본적으로 동일한 경계 내의 다른 PaaS 리소스와만 통신할 수 있습니다.
- 명시적 액세스 규칙을 설정하여 외부 인바운드 및 아웃바운드 통신을 적극적으로 허용할 수 있습니다.
- 진단 로그는 감사 및 규정 준수를 위해 경계 내의 PaaS 리소스에 대해 사용하도록 설정됩니다.
이 프레임워크 내에 Service Bus를 통합하면 강력한 보안 조치를 제공하면서 메시징 기능이 향상됩니다. 이 통합은 플랫폼 확장성 및 안정성을 향상시킵니다. 또한 무단 액세스 또는 데이터 침해와 관련된 위험을 완화하기 위한 데이터 보호 전략을 강화합니다.
네트워크 보안 경계는 Azure Private Link에서 서비스로 작동하여 가상 네트워크 외부에 배포된 PaaS 서비스에 대한 보안 통신을 용이하게 합니다. 경계 내에서 PaaS 서비스 간의 원활한 상호 작용을 가능하게 하고 신중하게 구성된 액세스 규칙을 통해 외부 리소스와의 통신을 용이하게 합니다. 또한 CMK(고객 관리형 키)용 Azure Key Vault와 같은 아웃바운드 리소스를 지원합니다. 이 지원은 다양한 클라우드 환경에서의 다용도 및 유틸리티를 더욱 향상시킵니다.
Service Bus의 네트워크 보안 경계 시나리오
Azure Service Bus는 다른 PaaS 리소스에 액세스해야 하는 시나리오를 지원합니다. CMK에는 Azure Key Vault와의 통신이 필요합니다. 자세한 내용은 미사용 Azure Service Bus 데이터를 암호화하기 위한 고객 관리형 키 구성 참조하세요.
레거시 지역 재해 복구(별칭 기반 페어링)의 경우 기본 네임스페이스와 보조 네임스페이스를 모두 동일한 네트워크 보안 경계와 연결해야 합니다. 주 데이터베이스만 연결된 경우 페어링이 실패합니다.
네트워크 보안 경계 규칙은 프라이빗 엔드포인트를 통한 프라이빗 링크 트래픽을 제어하지 않습니다.
네트워크 보안 경계 만들기
Azure Portal, Azure PowerShell 또는 AzureCLI를 사용하여 고유한 네트워크 보안 경계 리소스를 만듭니다.
Azure 포털에서 네트워크 보안 경계에 Service Bus를 연결하기
Service Bus 네임스페이스를 Azure Portal의 Service Bus 네임스페이스에서 직접 네트워크 보안 경계와 연결할 수 있습니다.
Service Bus 네임스페이스 페이지의 설정에서 네트워킹을 선택합니다.
공용 액세스 탭을 선택합니다.
네트워크 보안 경계 섹션에서 연결을 선택합니다.
네트워크 보안 경계 선택 대화 상자에서 네임스페이스와 연결할 네트워크 보안 경계를 검색하여 선택합니다.
네임스페이스와 연결할 프로필을 선택합니다.
연관짓기를 선택하여 연결을 완료합니다.
Azure CLI를 사용하여 연결 확인
네임스페이스가 네트워크 보안 경계와 연결되어 있는지 확인하려면 다음을 수행합니다.
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
연결이 있으면 publicNetworkAccess 필드에 SecuredByPerimeter가 표시됩니다.
Troubleshoot
기능 가용성
네트워크 보안 경계의 일부 기능을 사용하려면 구독에 기능 플래그를 등록해야 합니다. 액세스 규칙 또는 경계 링크를 구성할 때 "지정된 구독에 이 기능을 사용할 수 없습니다." 오류가 발생하거나 네트워크 보안 경계를 구성할 때 네임스페이스가 연결할 수 있는 리소스 목록에 표시되지 않는 경우 필요한 기능 플래그를 등록하고 네트워크 공급자를 다시 등록합니다.
| 역량 | 기능 플래그 | 등록 명령 |
|---|---|---|
| NSP 리소스 연결 | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| 경계 간 링크 | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| 서비스 태그 인바운드 규칙 | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
등록 후 변경 사항을 전파합니다.
az provider register -n Microsoft.Network
특성 플래그 전파에는 최대 15분이 소요될 수 있습니다.
네트워크 보안 경계와 네임스페이스 연결
레거시 지역 재해 복구 쌍을 만들 때 기본 및 보조 네임스페이스는 동일한 네트워크 보안 경계와 연결되어야 합니다. "DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP" 오류가 발생하는 경우 보조 네임스페이스를 동일한 경계에 연결한 다음 페어링을 다시 시도합니다.
관련 콘텐츠
- 네트워크 보안 경계란?
- 네트워크 보안 경계에 대한 진단 로그
- Azure Service Bus에 대한 네트워크 보안
- 프라이빗 엔드포인트를 통해 Azure Service Bus 네임스페이스에 대한 액세스 허용
Azure Service Bus