Azure ExpressRoute를 사용하면 공용 인터넷을 우회하여 온-프레미스 인프라와 Microsoft 클라우드 서비스 간에 프라이빗 고성능 연결을 사용할 수 있습니다. 이 전용 연결은 보안 및 안정성을 향상하지만 잠재적인 위협으로부터 배포를 보호하기 위한 모범 사례를 구현하는 것이 중요합니다.
이 가이드에서는 네트워크 보안, ID 관리, 데이터 보호, 로깅 및 위협 감지, 자산 관리, 백업 및 복구와 같은 주요 영역을 다루는 Azure ExpressRoute 배포를 보호하기 위한 실행 가능한 권장 사항을 제공합니다. 이러한 지침에 따라 보안 태세를 강화하고 규정 준수를 보장하며 운영 연속성을 유지할 수 있습니다.
네트워크 보안
ExpressRoute의 네트워크 보안에는 하이브리드 연결을 보호하기 위한 적절한 세분화, 트래픽 흐름 제어 및 모니터링이 포함됩니다. ExpressRoute는 가상 네트워크와 통합되므로 격리를 유지하고 클라우드 리소스에 대한 무단 액세스를 방지하기 위해 네트워크 계층을 보호하는 것이 중요합니다.
ExpressRoute Direct에 대한 MACsec 암호화 구성: ExpressRoute 직접 연결에서 MACsec(미디어 액세스 제어 보안) 암호화를 켜서 네트워크 장비와 Microsoft의 에지 라우터 간에 계층 2 암호화를 추가합니다. MACsec 키를 Azure Key Vault에 안전하게 저장합니다. ExpressRoute Direct에 대한 MACsec 암호화 구성에 대해 자세히 알아봅니다.
전용 서브넷에 ExpressRoute 게이트웨이 배포: ExpressRoute 게이트웨이는 가상 네트워크에 배포되고 기본적으로 보안 연결을 제공합니다. 게이트웨이 서브넷(GatewaySubnet)은 적절한 보안 제어를 사용하여 구성됩니다. 자세한 내용은 ExpressRoute 게이트웨이를 참조하세요.
네트워크 보안 그룹을 사용하여 트래픽 제어: 포트, 프로토콜 및 원본 IP 주소로 트래픽을 제한하기 위해 ExpressRoute를 통해 연결된 리소스가 있는 서브넷에 NSG(네트워크 보안 그룹)를 적용합니다. 기본적으로 모든 인바운드 트래픽을 거부하고 필요한 통신만 허용하는 NSG 규칙을 만듭니다. 자세한 내용은 네트워크 보안 그룹 개요를 참조하세요.
Azure Firewall 또는 NVA(네트워크 가상 어플라이언스) 사용: Azure Firewall 또는 타사 NVA(네트워크 가상 어플라이언스)를 배포하여 애플리케이션 수준 필터링, 위협 인텔리전스 및 로깅과 같은 보안 컨트롤을 추가합니다. 이러한 어플라이언스는 ExpressRoute를 통해 트래픽을 검사하고 고급 보안 정책을 적용합니다. 자세한 내용은 Azure Firewall 개요를 참조하세요.
비고
GatewaySubnet에서 직접 NSG를 구성할 수 없습니다.
네트워크 구분 구현: 가상 네트워크 피어링 및 경로 테이블을 사용하여 ExpressRoute를 통해 연결된 네트워크 세그먼트 간의 트래픽 흐름을 제어합니다. 이렇게 하면 중요한 워크로드가 격리되고 보안 인시던트가 미치는 영향이 제한됩니다. 자세한 내용은 가상 네트워크 피어링 및 경로 테이블을 참조하세요.
영역 중복 가상 네트워크 게이트웨이 구성: 가용성 영역에 ExpressRoute 가상 네트워크 게이트웨이를 배포하여 내결함성과 고가용성을 보장합니다. 영역 중복 게이트웨이는 하나의 가용성 영역에 중단이 있더라도 연결 작동을 유지합니다. 자세한 내용은 영역 중복 가상 네트워크 게이트웨이를 참조하세요.
다른 ExpressRoute 서비스 공급자 사용: 각 회로에 대해 다른 서비스 공급자를 선택하여 다양한 경로를 보장하고 단일 공급자의 중단으로 인한 네트워크 가동 중지 위험을 줄입니다. 자세한 내용은 ExpressRoute 위치 및 서비스 공급자를 참조하세요.
ExpressRoute 연결 모니터링: 진단 로깅 및 모니터링을 사용하여 연결 상태, 성능 및 보안 이벤트를 추적합니다. 자세한 내용은 Azure ExpressRoute 모니터링을 참조하세요.
ID 관리
ExpressRoute는 네트워크 계층에서 작동하기 때문에 데이터 평면 액세스에 대한 기존 ID 기반 인증을 지원하지 않습니다. 그러나 MACsec 구성용 Azure Key Vault와 같은 ExpressRoute 리소스 및 관련 서비스에 대한 액세스를 제어하려면 적절한 ID 관리가 필수적입니다.
관리 작업에 Azure RBAC 사용: 역할 기반 액세스 제어를 적용하여 ExpressRoute 회로 및 게이트웨이를 만들거나 수정하거나 삭제할 수 있는 사용자를 제한합니다. 사용자 및 서비스 계정에 필요한 최소 권한을 할당합니다. 자세한 내용은 Azure RBAC(역할 기반 액세스 제어)를 참조하세요.
Azure Key Vault를 사용하여 MACsec 비밀 보호: 구성 파일에 포함하는 대신 AZURE Key Vault에 MACsec 암호화 키를 안전하게 저장합니다. ExpressRoute는 관리 ID를 사용하여 이러한 비밀을 검색하기 위해 Key Vault로 인증합니다. 자세한 내용은 ExpressRoute Direct에 대한 MACsec 암호화 구성을 참조하세요.
관리를 위한 조건부 액세스 구현: Microsoft Entra 조건부 액세스 정책을 사용하여 사용자 위치, 디바이스 준수 및 위험 수준에 따라 ExpressRoute 리소스에 대한 관리 액세스를 제어합니다. 이렇게 하면 권한 있는 사용자만 ExpressRoute 회로 및 게이트웨이를 관리할 수 있습니다. 자세한 내용은 조건부 액세스를 참조하세요.
데이터 보호
ExpressRoute는 프라이빗 연결을 제공하지만 기본적으로 전송 중인 데이터를 암호화하지는 않습니다. 암호화 및 보안 조치를 추가하여 온-프레미스 환경과 Azure 서비스 간에 흐르는 중요한 데이터를 보호합니다.
MD5 해시 인증 구성: 프라이빗 피어링 또는 Microsoft 피어링을 설정할 때 MD5 해시 인증을 사용하여 온-프레미스 라우터와 MSEE(Microsoft Enterprise Edge) 라우터 간에 메시지를 보호합니다. 이렇게 하면 데이터 무결성이 보장되고 전송 중 변조가 방지됩니다. ExpressRoute 라우팅 요구 사항에 대해 자세히 알아보세요.
ExpressRoute를 통해 IPsec VPN 구현: ExpressRoute 개인 피어링을 통해 암호화를 추가하려면 ExpressRoute 회로를 전송으로 사용하는 VPN 연결을 설정합니다. 그러면 트래픽에 대한 엔드 투 엔드 암호화가 추가됩니다. ExpressRoute 프라이빗 피어링을 위한 백업으로 S2S VPN을 사용하는 방법에 대해 자세히 알아봅니다.
애플리케이션 계층에서 중요한 데이터 암호화: ExpressRoute는 애플리케이션 계층 암호화를 제공하지 않으므로 TLS/SSL 또는 애플리케이션별 암호화 방법을 사용하여 전송하기 전에 애플리케이션이 중요한 데이터를 암호화해야 합니다.
로깅 및 위협 감지
ExpressRoute 연결 및 관련 네트워크 활동을 모니터링하는 것은 잠재적인 보안 위협을 감지하고 규정 준수를 유지하는 데 필수적입니다. 적절한 로깅은 보안 인시던트일 수 있는 비정상적인 트래픽 패턴 및 연결 문제를 식별하는 데 도움이 됩니다.
ExpressRoute 리소스 로그 사용: 분석 및 보존을 위해 ExpressRoute 리소스 로그를 Azure Monitor, Log Analytics 또는 Azure Storage로 보내도록 진단 설정을 설정합니다. 이러한 로그는 연결 이벤트 및 성능 메트릭을 표시합니다. 자세한 내용은 Azure ExpressRoute 모니터링을 참조하세요.
서비스 상태 및 연결 문제에 대한 경고 설정: Azure Monitor를 사용하여 ExpressRoute 회로 중단, 성능 저하, 구성 변경 및 계획된 유지 관리 이벤트와 계획되지 않은 유지 관리 이벤트에 대한 경고를 구성합니다. 이러한 경고는 연결 및 보안 상태를 사전에 관리하는 데 도움이 됩니다. 자세한 내용은 ExpressRoute 회로 모니터링을 참조하세요.
네트워크 트래픽 패턴 모니터링: Azure Network Watcher 및 Traffic Analytics를 사용하여 ExpressRoute 연결을 통해 트래픽을 분석합니다. 이렇게 하면 보안 위협 또는 잘못된 구성을 나타낼 수 있는 비정상적인 패턴을 찾을 수 있습니다. 자세한 정보는 Azure Network Watcher와 Traffic Analytics를 사용하여 네트워크 트래픽을 모니터링하는 방법을 참조하세요.
Microsoft Sentinel과 통합: ExpressRoute 로그를 Microsoft Sentinel에 보내 고급 위협을 감지하고 하이브리드 환경의 다른 보안 이벤트와 상호 연결합니다.
자산 관리
ExpressRoute 리소스를 효과적으로 관리하려면 적절한 거버넌스 구현, 구성 모니터링 및 조직 정책 준수 보장이 포함됩니다. 적절한 자산 관리는 보안 상태 및 운영 가시성을 유지하는 데 도움이 됩니다.
리소스 태그 지정 구현: Azure 리소스 태그를 사용하여 ExpressRoute 회로, 게이트웨이 및 관련 리소스를 구성하고 추적합니다. 태그는 비용 관리, 보안 분류 및 운영 책임에 도움이 됩니다. 자세한 내용은 Azure 리소스 태그를 참조하세요.
회로 사용률 추적: 대역폭 사용량 및 연결 패턴을 모니터링하여 보안 위협 또는 운영 문제를 나타낼 수 있는 비정상적인 활동을 식별합니다.
설명서 유지 관리: 회로 설정, 라우팅 정책 및 보안 구성을 비롯한 ExpressRoute 구성에 대한 자세한 레코드를 보관하여 인시던트 대응 및 규정 준수 감사를 지원합니다.
백업 및 복구
백업 솔루션 및 복구 절차를 구현하여 ExpressRoute 연결에 대한 비즈니스 연속성을 보장합니다. ExpressRoute 회로는 백업할 수 없지만 중복 연결 옵션 및 문서 구성 설정을 만듭니다.
중복 ExpressRoute 회로 배포: 고가용성 및 자동 장애 조치(failover)를 달성하기 위해 별도의 피어링 위치에 여러 ExpressRoute 회로를 설정합니다. 이 방법을 사용하면 하나의 회로에 문제가 발생할 경우 연결이 계속 작동합니다. 자세한 내용은 복원력 있는 ExpressRoute 연결 디자인을 참조하세요.
VPN 백업 연결 구현: 사이트 간 VPN 연결을 ExpressRoute 프라이빗 피어링에 대한 백업으로 설정합니다. 이 설정은 기본 ExpressRoute 회로가 실패하는 경우 대체 연결을 제공합니다. 자세한 내용은 ExpressRoute 개인 피어링에 대한 백업으로 S2S VPN 사용을 참조하세요.
테스트 장애 조치 절차: 백업 연결 옵션 및 장애 조치(failover) 프로시저를 정기적으로 테스트하여 필요할 때 제대로 작동하는지 확인합니다. Azure Connectivity Toolkit 같은 도구를 사용하여 성능 및 연결의 유효성을 검사합니다. 자세한 내용은 Azure 연결 도구 키트를 참조하세요.
문서 구성 설정: 회로 설정, 라우팅 구성 및 보안 정책을 포함하여 ExpressRoute 구성에 대한 자세한 설명서를 유지 관리합니다. 이 설명서를 사용하면 구성 문제 또는 회로 교체가 있는 경우 더 빠르게 복구할 수 있습니다. 자세한 내용은 ExpressRoute 회로 구성을 참조하세요.
복구에 대한 Resiliency Insights 및 유효성 검사 활용: ExpressRoute Resiliency Insights를 사용하여 연결의 복원력을 평가하고 복구 시간 목표의 유효성을 검사합니다. Resiliency Insights를 사용하면 구성 간격을 식별하고, 실패 시나리오를 테스트하고, 백업 및 장애 조치(failover) 솔루션이 비즈니스 복구 요구 사항을 충족하는지 확인할 수 있습니다. 정기적으로 복원력 유효성 검사를 수행하여 환경이 중단에 대비하고 복구 절차가 효과적인지 확인합니다. 자세한 내용은 ExpressRoute 복원력 인사이트 및 ExpressRoute 복원력 유효성 검사를 참조하세요.