Azure Load Balancer 배포 보안

Azure Load Balancer는 들어오는 트래픽을 정상 백 엔드 인스턴스 간에 분산하는 계층 4 부하 분산 기능을 제공합니다. 이 서비스를 배포할 때는 보안 모범 사례를 따라 데이터, 구성 및 인프라를 보호하는 것이 중요합니다.

이 문서에서는 Azure Load Balancer 배포를 가장 안전하게 보호하는 방법에 대한 지침을 제공합니다.

네트워크 보안

네트워크 보안은 트래픽 흐름 및 백 엔드 리소스에 대한 액세스를 제어하기 때문에 Azure Load Balancer의 기본입니다. 표준 Load Balancer는 닫힌 인바운드 연결을 사용하는 기본 보안 방식을 따릅니다.

  • 표준 Load Balancer SKU 사용: 기본 SKU 대신 표준 Load Balancer를 배포하여 기본적으로 닫힌 인바운드 연결과 제로 트러스트 네트워크 보안 모델을 사용하여 보안을 강화합니다. Azure Load Balancer 개요를 참조하세요.

  • 서브넷에서 네트워크 보안 그룹 구현: 백 엔드 서브넷 및 네트워크 인터페이스에 네트워크 보안 그룹을 적용하여 허용된 트래픽을 명시적으로 허용하고 신뢰할 수 있는 포트 및 IP 주소 범위에 대한 액세스를 제한합니다. Azure Load Balancer에 대한 Azure 보안 기준을 참조하세요.

  • Azure Load Balancer 상태 프로브 트래픽 허용: 네트워크 보안 그룹 및 로컬 방화벽 정책에서 IP 주소 168.63.129.16의 트래픽을 허용하여 상태 프로브가 백 엔드 인스턴스에 연결할 수 있도록 합니다. Azure Load Balancer 상태 프로브를 참조하십시오.

  • 프라이빗 워크로드에 내부 부하 분산 장치 사용: 프라이빗 프런트 엔드 IP 주소를 사용하여 내부 부하 분산 장치를 배포하여 백 엔드 리소스를 직접 인터넷 노출로부터 격리하고 가상 네트워크 또는 피어된 네트워크 내에서만 트래픽을 허용합니다. 내부 Load Balancer 프런트 엔드 IP 구성을 참조하세요.

  • Azure DDoS Protection을 사용하여 공용 부하 분산 장치 보호: 공용 부하 분산 장치에 대한 Azure DDoS Protection 표준을 사용하도록 설정하여 위협 및 남용 징후를 엔드포인트를 모니터링하는 검색 기능을 통해 고급 보호를 제공합니다. Azure DDoS Protection을 사용하여 공용 부하 분산 장치 보호를 참조하세요.

ID 및 액세스 관리

Azure Load Balancer에 대한 액세스 제어는 Azure의 역할 기반 액세스 제어 시스템을 통해 부하 분산 장치 리소스 및 설정을 구성하고 수정할 수 있는 사용자를 관리하는 데 중점을 둡니다.

  • Azure 역할 기반 액세스 제어 구현: 네트워크 기여자와 같은 기본 제공 역할을 사용하거나 특정 권한이 있는 사용자 지정 역할을 만들어 부하 분산 장치 관리를 위해 사용자 및 그룹에 적절한 Azure 역할을 할당합니다. Azure 역할, Microsoft Entra 역할 및 클래식 구독 관리자 역할을 참조하세요.

  • 최소 권한 액세스 사용: 특정 부하 분산 장치 작업으로 충분할 때 광범위한 관리 역할을 방지하여 작업을 수행하는 데 필요한 최소 권한을 사용자에게 부여합니다. Azure RBAC(Azure 역할 기반 액세스 제어)란?

데이터 보호

Azure Load Balancer는 계층 4에서 작동하며 고객 데이터를 저장하지 않지만 트래픽 및 구성에 대한 적절한 데이터 보호 조치를 구현하는 것은 포괄적인 보안에 필수적입니다.

  • 엔드투엔드 암호화 구현: 부하 분산 장치가 계층 4에서 작동하고 SSL 종료 기능을 제공하지 않으므로 부하 분산 장치가 아닌 백 엔드 인스턴스에서 TLS/SSL 종료를 구성합니다.

  • HTTP/HTTPS 워크로드에 Application Gateway 사용: SSL/TLS 종료 및 웹 애플리케이션 방화벽 기능이 필요한 HTTP/HTTPS 애플리케이션용 Load Balancer 대신 Azure Application Gateway를 배포합니다. Azure Load Balancer에 대한 아키텍처 모범 사례를 참조하세요.

로깅 및 모니터링

포괄적인 모니터링 및 로깅 기능은 보안 위협, 성능 문제를 감지하고 부하 분산 장치 작업 및 트래픽 패턴에 대한 가시성을 제공하는 데 도움이 됩니다.

  • 진단 설정 사용: 분석 및 경고를 위해 부하 분산 장치 메트릭 및 로그를 Azure Monitor 로그, 스토리지 계정 또는 이벤트 허브로 보내도록 진단 설정을 구성합니다. Azure Load Balancer 모니터링을 참조하세요.

  • Azure Monitor Insights 사용: Load Balancer Insights를 배포하여 사전 구성된 대시보드, 기능 종속성 보기 및 사전 모니터링을 위한 메트릭 시각화에 액세스합니다. Insights를 사용하여 Azure Load Balancer 모니터링 및 구성을 참조하세요.

  • 상태 프로브 모니터링 구성: 백 엔드 인스턴스 상태를 모니터링하고 정확한 상태 검색을 위해 적절한 간격 및 임계값을 구성하는 포괄적인 상태 프로브를 구현합니다. Azure Load Balancer에 대한 상태 프로브 관리를 참조하세요.

  • 연결 메트릭 모니터링: 데이터 경로 가용성, 상태 프로브 상태 및 SYN 수를 포함한 주요 메트릭을 추적하여 잠재적인 보안 위협 및 성능 문제를 식별합니다. 메트릭, 경고 및 리소스 상태를 사용하여 표준 부하 분산 장치 진단을 참조하세요.

  • VNet 흐름 로그 사용: 부하 분산 장치를 통해 흐르는 트래픽 패턴을 분석하고 잠재적인 보안 위협 또는 비정상적인 동작을 식별하도록 가상 네트워크 흐름 로그를 구성합니다. Azure Load Balancer 모니터링을 참조하세요.

  • 보안 경고 설정: 실패한 상태 프로브, 비정상적인 트래픽 패턴 또는 구성 변경과 같은 보안 관련 이벤트에 대한 Azure Monitor 경고를 만듭니다. Azure Load Balancer 모니터링을 참조하세요.

규정 준수 및 거버넌스

거버넌스 제어는 부하 분산 장치 배포 전반에서 일관된 보안 구성과 조직 정책 및 규정 요구 사항을 준수하도록 보장합니다.

서비스별 보안

Azure Load Balancer에는 트래픽 배포 알고리즘, 세션 지속성 및 다른 Azure 네트워킹 서비스와의 통합과 관련된 고유한 보안 고려 사항이 있습니다.

더 알아보세요

  • Last updated on