네트워크 보안 경계 를 사용하면 조직에서 가상 네트워크 외부에 배포된 Azure Files와 같은 PaaS 리소스에 대한 논리적 네트워크 격리 경계를 정의할 수 있습니다. 이 기능은 경계 외부의 PaaS 리소스에 대한 공용 네트워크 액세스를 제한합니다. 그러나 공용 인바운드 및 아웃바운드 트래픽에 대한 명시적 액세스 규칙을 사용하여 액세스를 제외할 수 있습니다. 이렇게 하면 스토리지 리소스에서 원치 않는 데이터 반출을 방지할 수 있습니다. 네트워크 보안 경계 내에서 멤버 리소스는 서로 자유롭게 통신할 수 있습니다. 네트워크 보안 경계 규칙은 스토리지 계정의 자체 방화벽 설정을 재정의합니다. 경계 내에서의 액세스는 다른 네트워크 제한보다 우선합니다.
여기에서 네트워크 보안 경계에 온보딩된 서비스 목록을 찾을 수 있습니다. 서비스가 나열되지 않은 경우 아직 온보딩되지 않습니다. 온보딩되지 않은 서비스에서 특정 리소스에 대한 액세스를 허용하려면 네트워크 보안 경계에 대한 구독 기반 규칙을 만들 수 있습니다. 구독 기반 규칙은 해당 구독 내의 모든 리소스에 대한 액세스 권한을 부여합니다. 구독 기반 액세스 규칙을 추가하는 방법에 대한 자세한 내용은 이 설명서를 참조하세요.
액세스 모드
스토리지 계정을 네트워크 보안 경계에 온보딩할 때 전환 모드(이전 학습 모드)에서 시작하거나 강제 모드로 바로 전환할 수 있습니다. 전환 모드(기본 액세스 모드)를 사용하면 경계 규칙이 아직 연결을 허용하지 않는 경우 스토리지 계정이 기존 방화벽 규칙 또는 신뢰할 수 있는 서비스 설정으로 대체될 수 있습니다. 강제 모드는 네트워크 보안 경계 규칙에서 명시적으로 허용하지 않는 한 모든 공용 인바운드 및 아웃바운드 트래픽을 엄격하게 차단하여 스토리지 계정에 대한 최대 보호를 보장합니다. 적용 모드에서는 Azure의 신뢰할 수 있는 서비스 예외가 적용되지 않습니다. 관련 Azure 리소스 또는 특정 구독은 경계 규칙을 통해 명시적으로 허용되어야 합니다. 자세한 내용은 Azure에서 네트워크 보안 경계로의 전환을 참조하세요.
중요합니다
전환 모드에서 스토리지 계정을 운영하는 것은 전환 단계로만 사용되어야 합니다. 악의적인 행위자가 보안되지 않은 리소스를 악용하여 데이터를 유출할 수 있습니다. 따라서 액세스 모드가 적용됨으로 설정된 상태에서 최대한 빨리 완전히 안전한 구성으로 전환하는 것이 중요합니다.
네트워크 우선 순위
스토리지 계정이 네트워크 보안 경계의 일부인 경우 관련 프로필의 액세스 규칙은 계정의 자체 방화벽 설정을 재정의하여 최상위 네트워크 게이트키퍼가 됩니다. 경계에서 허용되거나 거부된 액세스가 우선하며 스토리지 계정이 강제 모드로 연결되면 스토리지 계정의 허용된 네트워크 설정이 무시됩니다. 네트워크 보안 경계에서 스토리지 계정을 제거하면 컨트롤이 일반 방화벽으로 되돌아갑니다. 네트워크 보안 경계는 프라이빗 엔드포인트 트래픽에 영향을 주지 않습니다. 프라이빗 링크를 통한 연결은 항상 성공합니다. 내부 Azure 서비스(신뢰할 수 있는 서비스)의 경우 네트워크 보안 경계에 명시적으로 온보딩된 서비스만 경계 액세스 규칙을 통해 허용됩니다. 그렇지 않으면 스토리지 계정 방화벽 규칙에서 신뢰할 수 있더라도 기본적으로 트래픽이 차단됩니다. 아직 온보딩되지 않은 서비스의 경우, 인바운드 액세스를 위한 구독 수준 규칙, 또는 아웃바운드 액세스 시 정규화된 도메인 이름(FQDN)이나 프라이빗 링크를 통한 대체 방법이 포함됩니다.
중요합니다
프라이빗 엔드포인트 트래픽은 매우 안전한 것으로 간주되므로 네트워크 보안 경계 규칙의 적용을 받지 않습니다. 스토리지 계정이 경계와 연결된 경우 신뢰할 수 있는 서비스를 포함한 다른 모든 트래픽에는 네트워크 보안 경계 규칙이 적용됩니다.
네트워크 보안 경계 내의 기능 범위
스토리지 계정이 네트워크 보안 경계와 연결된 경우 알려진 제한 사항에 따라 지정하지 않는 한 Blob, 파일, 테이블 및 큐에 대한 모든 표준 데이터 평면 작업이 지원 됩니다. 네트워크 보안 경계를 사용하여 Azure Files, Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Table Storage 및 Azure Queue Storage에 대한 HTTPS 기반 작업을 제한할 수 있습니다.
다음 표에서는 Azure Files에 대한 네트워크 보안 경계 및 프로토콜 지원에 대해서만 설명합니다. Azure Blob Storage 및 기타 Azure Storage 서비스에 대한 기능 범위를 찾고 있는 경우 이 문서를 참조하세요.
다음 표에서는 Azure Files에 대한 인바운드 네트워크 보안 경계 적용에 대한 지원을 설명합니다.
| 특징 | 상태 지원 | 권장 사항 |
|---|---|---|
| Private Link | 모든 프로토콜에서 지원됨(REST, SMB, NFS) | Private Link 규칙은 네트워크 보안 경계보다 우선합니다. 인바운드 Private Link 트래픽은 네트워크 보안 경계 구성에 관계없이 항상 허용됩니다. |
| OAuth를 사용한 Azure Files REST | 지원됨 | 전체 지원 |
| 공유 키 또는 SAS 인증을 사용하는 Azure Files REST | 인바운드 IP 규칙만 지원합니다. | 공유 키 및 SAS는 OAuth 기반 프로토콜이 아니므로 원본 경계 또는 구독에 대한 정보를 전달할 수 없습니다. 따라서 인바운드 경계 및 구독 규칙은 적용되지 않습니다. IP 규칙이 지원됩니다(최대 200개 규칙). |
| NTLM 또는 Kerberos를 사용한 Azure Files SMB | 인바운드 IP 규칙만 지원합니다. | NTLM 또는 Kerberos는 OAuth 기반 프로토콜이 아니므로 원본 경계 또는 구독에 대한 정보를 전달할 수 없습니다. 따라서 인바운드 경계 및 구독 규칙은 적용되지 않습니다. IP 규칙이 지원됩니다(최대 200개 규칙). |
| Azure Files NFS | 모든 인바운드 트래픽이 거부됨 | 스토리지 계정을 네트워크 보안 경계에 적용 모드로 배치하면 Private Link를 제외한 모든 인바운드 트래픽이 거부됩니다. CMK(고객 관리형 키)에 대한 아웃바운드 트래픽이 지원됩니다. |
다음 표에서는 Azure Files에 대한 네트워크 보안 경계에 대한 통합 지원을 설명합니다.
| 특징 | 상태 지원 | 권장 사항 |
|---|---|---|
| 고객 관리형 키 | 모든 프로토콜에서 지원됨(REST, SMB, NFS) | CMK를 호스트하는 Key Vault를 네트워크 보안 경계에 배치하는 경우 스토리지 계정을 동일한 경계에 배치하거나, 그렇지 않으면 스토리지 계정이 통신할 수 있도록 Key Vault의 네트워크 보안 경계 프로필을 구성해야 합니다. |
| Azure Backup | 지원되지 않습니다. Azure Backup이 네트워크 보안 경계에 아직 온보딩되지 않았습니다. | 온보딩이 완료될 때까지 Azure Backup을 사용하여 스토리지 계정에 네트워크 보안 경계를 사용하지 않습니다. |
| Azure 파일 동기화 | 완전히 지원되지 않습니다. Azure 파일 동기화에는 네트워크 보안 경계에 알려진 제한 사항이 있습니다. | 스토리지 동기화 서비스 리소스를 스토리지 계정에 연결하려면 먼저 관리 ID를 사용하도록 스토리지 동기화 서비스를 구성해야 합니다. 그런 다음 스토리지 동기화 서비스의 구독을 허용 목록에 포함하도록 네트워크 보안 경계 인바운드 프로필 규칙을 구성합니다. 스토리지 동기화 서비스는 경계와 연결할 수 없습니다. |
경고
CMK(고객 관리형 키) 시나리오가 작동하려면 네트워크 보안 경계와 연결된 스토리지 계정의 경우 스토리지 계정이 연결된 경계 내에서 Azure Key Vault에 액세스할 수 있는지 확인합니다.
스토리지 계정과 네트워크 보안 경계 연결
네트워크 보안 경계를 스토리지 계정과 연결하려면 모든 PaaS 리소스에 대해 다음과 같은 일반적인 지침을 따릅니다.
다음 단계:
- Azure 네트워크 서비스 엔드포인트에 대해 자세히 알아봅니다.
- 네트워크 보안 경계에 진단 로그를 사용하도록 설정합니다.