Azure Firewall은 중앙 집중식 네트워크 보안 정책 적용 및 가상 네트워크 간 로깅을 제공합니다. 다음 권장 사항은 주요 보호 기능이 활성 상태이고 올바르게 구성되어 있는지 확인하는 데 도움이 됩니다.
모든 Azure 네트워크 보안 제로 트러스트 권장 사항에 대한 요약은 Azure 네트워크 보안 제로 트러스트 권장 사항을 참조하세요.
권장 사항
VNet 통합 워크로드의 아웃바운드 트래픽은 Azure Firewall을 통해 라우팅됩니다.
Azure Firewall은 아웃바운드 트래픽에 대한 중앙 집중식 검사, 로깅 및 적용을 제공하는 클라우드 네이티브 네트워크 보안 서비스입니다. 보안 네트워크 아키텍처에서 VM, AKS 클러스터, App Service 및 Functions와 같은 VNet 통합 워크로드의 아웃바운드 트래픽은 외부 서비스에 도달하기 전에 Azure Firewall을 통해 명시적으로 라우팅되어야 합니다. 이 라우팅을 통해 위협 인텔리전스 필터링, 침입 탐지 및 방지, TLS 검사 및 송신 정책 적용을 포함한 아웃바운드 보안 검사가 모든 아웃바운드 흐름에 적용됩니다. 이 라우팅이 없으면 아웃바운드 트래픽이 방화벽을 완전히 우회하여 환경이 데이터 반출 및 명령 및 제어 통신에 노출됩니다. 이 검사는 유효한 네트워크 경로가 모든 구독에서 적격 워크로드에 대한 방화벽의 개인 IP 주소로 아웃바운드 트래픽을 전달한다는 것을 확인합니다.
SNAT 포트 고갈의 위험이 있는 트래픽이 많은 워크로드의 경우 Azure Firewall과 함께 Azure NAT Gateway를 배포하는 것이 좋습니다. NAT 게이트웨이는 인스턴스당 공용 IP당 Azure Firewall의 2,496 SNAT 포트와 비교하여 공용 IP 주소당 최대 64,512개의 SNAT 포트를 제공합니다. AzureFirewallSubnet과 연결된 경우 NAT 게이트웨이는 아웃바운드 변환을 처리하고 Azure Firewall은 이중 NAT 없이 트래픽을 계속 검사합니다.
수정 작업
- Azure Firewall 라우팅 구성
- 경로 테이블 및 경로 관리
- Azure Firewall을 사용하여 App Service 아웃바운드 트래픽 제어
- Azure Firewall 보안 규칙
위협 인텔리전스는 Azure Firewall 거부 모드에서 사용하도록 설정됩니다.
Azure Firewall의 위협 인텔리전스 기반 필터링은 Microsoft Threat Intelligence 피드에서 제공된 알려진 악성 IP 주소, 정규화된 도메인 이름(FQDN) 및 URL을 통해 오고 가는 트래픽을 경고하고 차단합니다. 사용하도록 설정하면 Azure Firewall은 NAT(네트워크 주소 변환), 네트워크 또는 애플리케이션 규칙을 적용하기 전에 위협 인텔리전스 규칙에 대한 트래픽을 평가합니다. 이 검사는 위협 인텔리전스가 Azure Firewall 정책의 "경고 및 거부" 모드에서 사용하도록 설정되어 있는지 확인합니다. 이 기능을 사용하도록 설정하지 않으면 환경이 알려진 악성 IP, 도메인 및 URL에 계속 노출되어 손상 또는 데이터 반출의 위험이 발생합니다.
메모
"경고 및 거부" 모드에는 Azure Firewall 표준 또는 프리미엄이 필요합니다. Azure Firewall Basic은 경고 모드만 지원합니다. 전체 기능 비교는 올바른 Azure Firewall SKU 선택을 참조하세요.
수정 작업
IDPS 검사는 Azure Firewall의 거부 모드에서 사용하도록 설정됩니다.
Azure Firewall Premium은 네트워크 트래픽의 바이트 시퀀스 또는 맬웨어에서 사용되는 알려진 악성 명령 시퀀스와 같은 특정 패턴을 식별하여 공격을 감지하는 서명 기반 IDPS(침입 감지 및 방지 시스템)를 제공합니다. IDPS 서명은 계층 3-7의 애플리케이션 및 네트워크 수준 트래픽 모두에 적용되며, 완전히 관리되고 지속적으로 업데이트되며, 온-프레미스 네트워크 간 트래픽을 포함하여 인바운드, 스포크-스포크 및 아웃바운드 트래픽에 적용할 수 있습니다. 이 검사는 IDPS가 Azure Firewall 정책의 "경고 및 거부" 모드에서 사용하도록 설정되어 있는지 확인합니다. IDPS를 사용하지 않도록 설정하거나 "경고" 전용 모드에서 네트워크 트래픽의 악의적인 패턴이 적극적으로 차단되지 않습니다.
수정 작업
Azure Firewall에서 아웃바운드 TLS 트래픽 검사 사용
Azure Firewall Premium은 Azure Key Vault에 저장된 고객 제공 CA(인증 기관) 인증서를 사용하여 아웃바운드 및 동서 암호화 트래픽의 암호를 해독, 검사 및 다시 암호화하는 TLS(전송 계층 보안) 검사를 제공합니다. TLS 검사를 사용하면 IDPS(침입 탐지 및 방지 시스템) 및 URL 필터링을 비롯한 고급 보안 기능을 통해 암호화된 트래픽을 분석하고 암호화된 채널을 사용하여 탐지를 회피하는 위협을 식별할 수 있습니다. TLS 검사를 사용하도록 설정하지 않으면 방화벽이 암호화된 페이로드를 검사할 수 없으므로 TLS를 활용하여 기존 보안 제어를 우회하는 위협에 대한 가시성이 크게 제한됩니다.
수정 작업
- Azure Firewall Premium에서 TLS 검사 사용
- Azure Firewall Premium TLS 검사를 위해 엔터프라이즈 CA를 사용하여 인증서 배포
- TLS 검사를 위한 중간 CA 인증서 만들기 및 구성
- TLS 검사를 위해 Azure Key Vault에 인증서 저장
- Azure Firewall 정책에서 TLS 검사를 사용하여 애플리케이션 규칙 구성
- SKU별 Azure Firewall 기능
Azure Firewall에서 진단 로깅 사용
Azure Firewall은 보호된 워크로드에 대한 모든 인바운드 및 아웃바운드 네트워크 트래픽을 처리하므로 보안 모니터링을 위한 중요한 제어 지점이 됩니다. 진단 로깅을 사용하도록 설정하지 않으면 보안 팀은 트래픽 패턴, 거부된 연결 시도, 위협 인텔리전스 일치 및 IDPS(침입 감지 및 방지 시스템) 서명 검색에 대한 가시성을 잃게 됩니다. 로깅이 없으면 액세스 권한을 얻는 위협 행위자는 검색 없이 횡적으로 이동할 수 있으며 인시던트 응답자는 공격 타임라인을 생성할 수 없습니다. Azure Firewall은 애플리케이션 규칙 로그, 네트워크 규칙 로그, NAT(네트워크 주소 변환) 규칙 로그, 위협 인텔리전스 로그, IDPS 서명 로그 및 보안 모니터링 및 포렌식 분석을 위해 Log Analytics, 스토리지 계정 또는 이벤트 허브와 같은 대상으로 라우팅해야 하는 DNS 프록시 로그를 비롯한 여러 로그 범주를 제공합니다.
수정 작업
- Log Analytics 작업 영역 만들기
- Azure Monitor에서 진단 설정 만들기
- Azure Firewall 구조적 로그
- Azure Firewall 통합 문서
- Azure Firewall 모니터링