Network Security Group

안녕하세요~BTC막내즈입니다! 저번 시간에 이어서 이번 시간에는 Azure 네트워크 보안 그룹에 대해서 알아보도록 하겠습니다~~

네트워크 보안 그룹

Azure 네트워크 보안 그룹을 사용하여 Azure 가상 네트워크의 Azure 리소스 간의 네트워크 트래픽을 필터링 할 수 있습니다. 네트워크 보안 그룹에는 여러 종류의 Azure 리소스에서 오는 인바운드 트래픽, 리소스로 나가는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙이 포함됩니다. 규칙마다 원본(source) 및 대상(destination), 포트, 프로토콜을 지정할 수 있습니다.

속성	내용
Name	네트워크 보안 그룹 내 고유한 이름
Priority	100~4096 사이의 숫자로 낮은 번호의 우선 순위가 더 높기에 규칙은 낮은 번호가 높은 번호보다 먼저 처리되는 우선 순위 순서로 처리되며 트래픽이 규칙과 일치하면 처리가 중지됩니다. 따라서 우선 순위가 높은 규칙과 동일한 특성을 가진 우선 순위가 낮은 규칙은 처리 X
Source or destination	임의 또는 개별 IP 주소, CIDR 블록, 서비스 태그 또는 애플리케이션 보안 그룹입니다. Azure 리소스의 주소를 지정하는 경우 리소스에 할당된 개인 IP주소를 지정합니다. 네트워크 보안 그룹은 Azure가 공용 IP 주소를 인바운드 트래픽용 개인 IP 주소로 변환 후에 Azure가 개인 IP 주소를 아웃바운드 트래픽용 공용 IP 주소로 변환하기 전에 처리됩니다. 범위, 서비스 태그 또는 애플리케이션 보안그룹을 지정할 때 더 적은 수의 보안 규칙이 필요하며 보강된 보안 규칙이란 여러 개별 IP 주소와 범위를 지정하는 기능을 말합니다.
Protocol	TCP, UDP, ICMP, ESP, AH 또는 Any. ESP 및 AH 프로토콜은 현재 Azure Portal 통해 사용할 수 없지만 ARM 템플릿을 통해 사용할 수 있습니다.
Direction	규칙이 인바운드 또는 아웃바운드 트래픽에 적용되는지의 여부
Port range	개별 포트나 포트의 범위 지정할 수 있습니다. 예를들면 80 또는 10000-10005와 같이 지정할 수 있고 범위를 지정하면 더 적은 보안 규칙을 만들어도 됩니다. 보강된 보안 규칙은 Resource Manager 배포 모델을 통해 만들어진 네트워크 보안그룹에서만 가능합니다.
Action	Allow 또는 Deny

• 보안 규칙은 5-튜플(source, source port, destination, destination port, protocol) 정보를 기반으로 평가 및 적용됩니다.
• 우선 순위와 방향이 같은 두 개의 보안 규칙을 만들 수 없다. 기존 연결에 대한 흐름 레코드가 만들어지며 통신은 흐름 레코드의 연결 상태에 따라 허용 또는 거부됩니다. 
• 흐름 레코드는 네트워크 보안 그룹의 상태 저장을 허용합니다. 예를들어 포트 80을 통해 모든 주소에 대한 아웃바운드 보안 규칙을 지정하는 경우 아웃바운드 트래픽에 대한 응답에 인바운드 보안 규칙을 지정하지 않아도 됩니다. 통신이 외부에서 시작된 경우 인바운드 보안 규칙을 지정하기만 하면되고 반대의 경우도 마찬가지로 포트를 통해 인바운드 트래픽이 허용되는 경우 포트를 통해 트래픽에 응답하도록 아웃바운드 보안 규칙을 지정하지 않아도 됩니다.
• 흐름을 사용하는 보안 규칙을 제거해도 기존 연결이 중단되지 않을 수 있습니다. 연결이 중단되고 몇분 이상 어느방향으로도 트래픽이 흐르지 않으면 트래픽 흐름이 중단됩니다.
• NSG 규칙을 수정하면 형성된 새 연결에만 영향을 줍니다. 네트워크 보안 그룹에서 새 규칙을 만들거나 기존 규칙을 업데이트하는 경우 새 흐름 및 새 연결에만 적용되며 기존 워크플로 연결은 새 규칙으로 업데이트되지 않습니다.
• 네트워크 보안 그룹 규칙을 수정하면 형성된 새 연결에만 영향을 줍니다. 네트워크 보안 그룹에서 새 규칙을 만들거나 기존 규칙을 업데이트하는 경우 새 흐름 및 새 연결에만 적용되며 기존 워크플로 연결은 새 규칙으로 업데이트 x

기본 보안 규칙

인바운드

VNetInBound 허용

우선순위	원본	원본 포트	대상	대상 포트	프로토콜	Access
65000	VirtualNetwork	0-65535	VirtualNetwork	0-65535	모두	Allow

Azure LoadBalancer 허용

우선순위	원본	원본 포트	대상	대상 포트	프로토콜	Access
65001	AzureLoadBalancer	0-65535	0.0.0.0/0	0-65535	모두	Allow

AllInBound 거부

우선순위	원본	원본 포트	대상	대상 포트	프로토콜	Access
65500	0.0.0.0/0	0-65535	0.0.0.0/0	0-65535	모두	Deny

아웃바운드

AllVNetOutBound

우선순위	원본	원본 포트	대상	대상 포트	프로토콜	Access
65000	VirtualNetwork	0-65535	VirtualNetwork	0-65535	모두	Allow

AllInternetOutBound

우선순위	원본	원본 포트	대상	대상 포트	프로토콜	Access
65001	0.0.0.0/0	0-65535	Internet	0-65535	모두	Allow

DenyAllOutBound 거부

우선순위	원본	원본 포트	대상	대상 포트	프로토콜	Access
65500	0.0.0.0/0	0-65535	0.0.0.0/0	0-65535	모두	Deny

source 및 Describtion 열에서 VirtualNetwork, AzureLoadBalancer 및 인터넷은 IP 주소가 아닌 서비스 태그입니다.
프로토콜 열에서 모두는 TCP, UDP, ICMP를 포함한다. 규칙을 만들 때 TCP, UDP, ICMP 또는 모두를 지정할 수 있습니다.
Source 및 Describtion 열에서 0.0.0.0/0은 모든 주소를 나타내고 Azure Portal, Azure CLI, PowerShell과 같은
클라이언트는 이 식에 * 또는 모두를 사용할 수 있다. 기본 규칙을 제거할수는 없지만 더 높은 우선 순위의 규칙을 만든 후 재정의 가능합니다.

보강된 보안 규칙

보강된 보안 규칙은 가상 네트워크에 대한 보안 정의를 간소화하여 더 적은 규칙으로 크고 복잡한 네트워크 보안 정책의 정의할 수 있도록 합니다.
여러 포트, 여러 명시적 IP 주소 및 범위를 이해하기 쉬운 단일 보안 규칙으로 결합할 수 있습니다. 규칙의 원본, 대상 및 포트 필드에서 보강된 규칙을 사용합니다.
보안 규칙 정의를 간단히 유지 관리하려면 보강된 보안 규칙을 서비스 태그 또는 애플리케이션 보안 그룹과 결합하며 한 규칙에서 지정할 수 있는 주소, 범위 및 포트 수가 제한됩니다.

서비스 태그

지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타내며, 네트워크 보안 규칙에 대한 빈번한 업데이트의 복잡성을 최소화하는데 도움이 됩니다.

애플리케이션 보안 그룹

애플리케이션 보안 그룹을 사용하면 네트워크 보안을 애플리케이션 구조의 자연 확장으로 구성하여 가상 머신을 그룹화하고 해당 그룹에 따라 네트워크 보안 정책을 정의할 수 있습니다. 명시적 IP 주소를 수동으로 유지 관리하지 않고 대규모 보안 정책을 재사용할 수 있습니다.

 

이상으로 네트워크 보안그룹이었습니다!!!

출처-https://learn.microsoft.com/ko-kr/azure/virtual-network/network-security-groups-overview