1. Azure 네트워크 보안 그룹 (NSG)
예시: 단독 주택에 설치된 단순한 대문
기능: 기본적인 IP와 포트 기준으로 인바운드와 아웃바운드 트래픽을 허용하거나 차단
특징 : 간단하고 가벼운 설정 (상세한 검사나 외부 위협 차단 기능 없음)
제어 계층: 3~4계층 (네트워크 계층, 전송 계층)
- 3계층 (네트워크 계층): IP 주소
- 4계층 (전송 계층): 포트 번호와 프로토콜(TCP/UDP)
2. Azure Firewall
예시: 아파트의 중앙 보안 시스템 (공용 출입구, CCTV 모니터링, 출입 허가증 확인까지 수행)
기능:
- 애플리케이션 및 네트워크 수준 규칙: 단순히 IP 주소뿐만 아니라 도메인 이름이나 애플리케이션 종류에 따라 세밀하게 트래픽을 허용& 차단
- 위협 인텔리전스 기반 차단: Microsoft에서 제공하는 최신 위협 정보를 통해 알려진 악성 IP나 도메인을 자동으로 차단
- 상태 기반 보안: 특정 연결의 상태(진행 중인 세션)를 기억해, 합법적인 트래픽을 더 쉽게 허용하고 불법적인 트래픽만 차단
특징: 비용 발생
제어 계층: 3~7계층 (네트워크 계층부터 애플리케이션 계층까지)
- 3계층 (네트워크 계층) 및 4계층 (전송 계층): IP 주소와 포트
- 7계층 (애플리케이션 계층): 도메인 이름(FQDN)과 애플리케이션 수준에서 트래픽을 세부적으로 제어
3. Azure Firewall Policy
Azure Firewall은 작업을 수행하는 인스턴스이며, 정책 관리는 Azure Firewall Policy에서 이루어짐.
< Rules>
3-1. DNAT Rules : DNAT 기반 inbound 허용
3-2. Network Rules : IP 기반 Outbound Allow/Deny
3-3. Application Rules : 도메인 기반 Outbound Allow/Deny