Azure Storage Blob 커넥터에 대한 네트워크 보안 사용

이 문서에서는 Azure Storage 커넥터와 통합된 스토리지 리소스에서 네트워크 보안을 사용하도록 설정하는 방법에 대한 단계별 지침을 제공합니다. Azure NSP(네트워크 보안 경계)는 PaaS 리소스에 대한 논리적 격리 경계를 만드는 Azure 네이티브 기능입니다. 스토리지 계정 또는 데이터베이스와 같은 리소스를 NSP와 연결하면 간소화된 규칙 집합을 사용하여 네트워크 액세스를 중앙에서 관리할 수 있습니다. 자세한 내용은 네트워크 보안 경계 개념을 참조하세요.

필수 구성 요소

네트워크 보안을 사용하도록 설정하기 전에 커넥터 리소스를 만듭니다. blob 만들기 이벤트를 Azure Storage 큐로 스트리밍하는 데 사용되는 Event Grid 시스템 항목을 포함하여 Microsoft Sentinel 로그를 스트리밍하도록 Azure Storage 커넥터 설정을 참조하세요.

이 설정을 완료하려면 다음 권한이 있는지 확인합니다.

  • 네트워크 보안 경계 리소스를 만들기 위한 구독 소유자 또는 기여자입니다.
  • 스토리지 계정을 NSP와 연결하는 스토리지 계정 기여자입니다.
  • Storage 계정 사용자 액세스 관리자 또는 소유자를 사용하여 Event Grid 관리 ID에 RBAC 역할을 할당합니다.
  • 관리 ID를 사용하도록 설정하고 이벤트 구독을 관리하는 Event Grid 기여자입니다.

네트워크 보안 사용

Azure Storage 커넥터와 통합된 스토리지 리소스에서 네트워크 보안을 사용하도록 설정하려면 NSP(네트워크 보안 경계)를 만들고, 스토리지 계정을 연결하고, 무단 액세스를 차단하면서 Event Grid 및 기타 필수 원본의 트래픽을 허용하도록 규칙을 구성합니다. 다음 단계를 사용하여 구성을 완료합니다.

네트워크 보안 경계 만들기

  1. Azure Portal 네트워크 보안 경계를 검색합니다.

  2. 만들기를 선택합니다.

  3. 구독리소스 그룹을 선택합니다.

  4. 이름 입력(예: storageblob-connectors-nsp

  5. 지역을 선택합니다. 지역은 스토리지 계정과 동일한 지역이어야 합니다.

  6. 프로필 이름을 입력하거나 기본값을 적용합니다. 프로필은 연결된 리소스에 적용되는 규칙 집합을 정의합니다. 필요한 경우 단일 NSP 내에 여러 프로필을 사용하여 다른 규칙을 다른 리소스에 적용할 수 있습니다.

  7. 검토 + 만들기를 선택한 다음 만들기를 선택합니다.

    Azure Portal 네트워크 보안 경계 만들기를 보여 주는 스크린샷

스토리지 계정을 네트워크 보안 경계와 연결

  1. Azure Portal 새로 만든 네트워크 보안 경계 리소스를 엽니다.

  2. 프로필을 선택한 다음, NSP 리소스를 만들 때 사용한 프로필 이름을 선택합니다.

  3. 연결된 리소스를 선택합니다.

  4. 추가를 선택합니다.

  5. 스토리지 계정을 검색하여 추가한 다음 선택을 선택합니다.

  6. 연결을 선택합니다.

액세스 모드는 기본적으로 전환 으로 설정되므로 제한을 적용하기 전에 구성의 유효성을 검사할 수 있습니다.

스토리지 계정을 Azure Portal 네트워크 보안 경계와 연결하는 방법을 보여 주는 스크린샷

Event Grid 시스템 토픽에서 System-Assigned ID 사용

  1. 스토리지 계정에서 이벤트 탭으로 이동합니다.

  2. Blob 만들기 이벤트를 스토리지 큐로 스트리밍하는 데 사용되는 시스템 토픽 을 선택합니다.

    Azure Portal 스토리지 계정에 대한 이벤트 탭을 보여 주는 스크린샷

  3. ID를 선택합니다.

  4. 시스템 할당 탭에서 상태를기로 설정합니다.

  5. 저장을 선택한 다음 나중에 사용할 수 있는 관리 ID의 개체 ID를 복사합니다.

    Azure Portal Event Grid 시스템 토픽에 대한 관리 ID 생성을 보여 주는 스크린샷

스토리지 큐에 RBAC 권한 부여

  1. 스토리지 계정으로 이동합니다.

  2. Access Control(IAM)를 선택합니다.

  3. 추가를 선택합니다.

  4. 스토리지 큐 데이터 메시지 보낸 사람 역할(scope: 스토리지 계정)을 검색하여 선택합니다.

  5. 멤버 탭을 선택한 다음 멤버 선택을 선택합니다.

  6. 멤버 선택 창에서 이전 단계에서 만든 Event Grid 시스템 항목 관리 ID에 대한 개체 ID를 붙여넣습니다.

  7. 관리 ID를 선택한 다음 선택을 선택합니다.

  8. 검토 + 할당을 선택하여 역할 할당을 완료합니다. 스토리지 큐 데이터 메시지 보낸 사람 역할을 Azure Portal 관리 ID에 할당하는 것을 보여 주는 스크린샷

이벤트 구독에서 관리 ID 사용

  1. Event Grid 시스템 토픽을 엽니다.

  2. 큐를 대상으로 하는 이벤트 구독을 선택합니다.

  3. 추가 설정 탭을 선택합니다.

  4. 관리 ID 유형을시스템 할당으로 설정합니다.

  5. 저장을 선택합니다.

  6. Event Grid 구독 메트릭을 검토하여 메시지가 이 업데이트 후 스토리지 큐에 성공적으로 게시되었는지 확인합니다.

Azure Portal Event Grid 구독에 대한 관리 ID 사용을 보여 주는 스크린샷

네트워크 보안 경계 프로필에서 인바운드 액세스 규칙 구성

Event Grid가 무단 액세스를 차단하면서 스토리지 계정에 메시지를 배달하도록 허용하려면 다음 규칙이 필요합니다. 스토리지 계정에 데이터를 보내거나 스토리지 리소스에 액세스하는 시스템에 따라 인바운드 규칙을 추가해야 할 수 있습니다. 시나리오 및 트래픽 패턴을 검토하여 필요한 규칙을 안전하게 적용하고 규칙 전파 시간을 허용합니다.

규칙 1: 구독 허용(Event Grid 배달)

Event Grid 배달은 고정 공용 IP에서 시작되지 않습니다. NSP는 구독 ID를 사용하여 배달의 유효성을 검사합니다.

  1. 네트워크 보안 경계로 이동하여 NSP를 선택합니다.

  2. 프로필을 선택한 다음 스토리지 계정과 연결된 프로필을 선택합니다.

  3. 인바운드 액세스 규칙을 선택한 다음, 추가를 선택합니다.

    Azure Portal 인바운드 액세스 규칙 페이지를 보여 주는 스크린샷

  4. 규칙 이름(예Allow-Subscription: )을 입력합니다.

  5. 원본 유형 드롭다운에서 구독을 선택합니다.

  6. 허용된 원본 드롭다운에서 구독을 선택합니다.

  7. 추가를 선택하여 규칙을 만듭니다.

    Azure Portal 구독을 허용하는 인바운드 액세스 규칙 만들기를 보여 주는 스크린샷

참고

규칙은 만든 후 목록에 표시되는 데 몇 분 정도 걸릴 수 있습니다.

규칙 2: 스쿠버 서비스 IP 범위 허용

  1. 두 번째 인바운드 액세스 규칙을 만듭니다.

  2. 규칙 이름(예Allow-Scuba: )을 입력합니다.

  3. 원본 유형 드롭다운에서 IP 주소 범위를 선택합니다.

  4. 서비스 태그 다운로드 페이지를 엽니다.

  5. 클라우드를 선택합니다(예: Azure 퍼블릭).

  6. 다운로드 단추를 선택하고 다운로드한 파일을 열어 IP 범위 목록을 가져옵니다.

  7. 서비스 태그를 Scuba 찾아 연결된 IPv4 범위를 복사합니다.

  8. 따옴표와 후행 쉼표를 제거한 후 IPv4 범위를 허용된 원본 필드에 붙여넣습니다.

  9. 추가를 선택하여 규칙을 만듭니다.

    중요

    IP 범위에서 따옴표를 제거하고 허용된 원본 필드에 붙여넣기 전에 마지막 항목에 후행 쉼표가 없는지 확인합니다. 서비스 태그 범위는 시간에 따라 업데이트됩니다. 정기적으로 새로 고침하여 규칙을 최신 상태로 유지합니다.

    스쿠버 서비스 태그 및 IPv4 범위가 강조 표시된 ServiceTags_Public.json 파일의 일부를 보여 주는 스크린샷

유효성 검사 및 적용

규칙을 구성한 후 네트워크 보안 경계에 대한 진단 로그를 모니터링하여 합법적인 트래픽이 허용되고 중단이 없는지 확인합니다. 규칙이 필요한 트래픽을 올바르게 허용하는지 확인한 후에는 전환 모드에서 강제 모드로 전환하여 무단 액세스를 차단할 수 있습니다.

전환 모드

네트워크 보안 경계 진단 로그를 사용하도록 설정하고 수집된 원격 분석을 검토하여 적용하기 전에 통신 패턴의 유효성을 검사합니다. 자세한 내용은 네트워크 보안 경계에 대한 진단 로그를 참조하세요.

적용 모드 적용

유효성 검사가 성공하면 액세스 모드를 다음과 같이 적용됨 으로 설정합니다.

  1. 네트워크 보안 경계 페이지의 설정에서 연결된 리소스를 선택합니다.

  2. 스토리지 계정을 선택합니다.

  3. 액세스 모드 변경을 선택합니다.

  4. 적용을 선택한 다음 저장을 선택합니다.

    Azure Portal 네트워크 보안 경계와 연결된 스토리지 계정의 액세스 모드를 변경하는 방법을 보여 주는 스크린샷

적용 후 유효성 검사

적용 후 잘못된 구성을 나타낼 수 있는 차단된 트래픽에 대해 환경을 면밀히 모니터링합니다. Event Grid 시스템 토픽 구독 메트릭을 검토하여 Event Grid 구성이 영향을 받지 않는지 확인합니다.

진단 로그를 사용하여 발생하는 문제를 조사하고 resolve. 스토리지 계정의 메트릭(큐 수신 및 오류) 및 Event Grid(배달 성공)를 검토하여 오류의 유효성을 검사합니다. 중단이 발생하는 경우 전환 모드로 롤백하고 진단 로그를 사용하여 조사를 반복합니다.

스토리지 계정에서 경계로 보안 설정(선택 사항)

스토리지 계정을 Secured by Perimeter 로 설정하면 스토리지 계정에 대한 모든 트래픽이 네트워크 보안 경계 규칙에 대해 평가되고 공용 네트워크 액세스를 차단합니다.

  1. 스토리지 계정으로 이동합니다.

  2. 보안 + 네트워킹에서 네트워킹을 선택합니다.

  3. 공용 네트워크 액세스에서 관리를 선택합니다.

  4. 경계로 보안 설정(가장 제한됨).

  5. 저장을 선택합니다.

Azure Portal 스토리지 계정을 '경계로 보안'으로 설정하는 방법을 보여 주는 스크린샷

다음 단계

이 문서에서는 Azure Storage 커넥터와 통합된 스토리지 리소스에서 네트워크 보안을 사용하도록 설정하는 방법을 알아보았습니다. 자세한 내용은 네트워크 보안 경계 문서를 참조하세요.

  • Last updated on