[Azure] NSG(Network Security Group)?

Azure NSG(Network Security Group)

 

  Azure 리소스와 주고 받는 네트워크 트래픽을 제어할 수 있는 기능이다.

외부망와 내부망을 논리적으로 구분할 수 있으며, 인/아웃바운드 규칙으로 주요 서비스 접근을 제어할 수 중요한 서비스 이다.

 

 network security group(NSG)는 다음과 같은 특징을 가지고 있다.

  1. 기본 규칙

    ㅇ virtual network(VNet)은 기본적으로 허용 상태

    ㅇ 기본 규칙은 삭제할 수 없으며, 우선 순위를 통해 네트워크 트래픽 제어

 

    ㅇ 인바운드 액세스는 거부, 아웃바운드 액세스를 허용 

        외부에서 내부 접근을 기본적으로 제한하고 있다.

 

  2. 우선 순위

    ㅇ 규칙은 우선 순위로 처리되며, 100에서 4096 사이 지정할 수 있음

    ㅇ 규칙 관리 편의를 위해 100, 200, 300 등 규칙 사이에 간격을 두는 것을 권고

 

    ㅇ 숫자가 작을수록 우선 순위가 높으며, 우선 순위에 따라 네트워크 트레픽 제어

        우선 순위 101(NSG_Any_Allow)번 규칙이 소스/대상 주소가 모두 오픈되어 인터넷(전세계)에 노출되어 있지만, 

        100(NSG_Any_Deny)번 규칙이 모든 트래픽을 거부하고 있어 인터넷(전세계)에서 접근 불가능한 상태이다. 

 

  3. Stateful

    ㅇ 요청 트래픽 정보(인바운드)를 저장하고 있어 응답 트래픽 정보(아웃바운드)를 설정하지 않아도 됨

        * AWS에서 Security Group은 Sateful, network access control list(NACL)은 Stateless이다.
       👉 Stateful / Stateless

 

  4. 적용 범위

    ㅇ Subnet 및 network iterface(NIC)에 연결하여 네트워크 트레픽 제어

 

 

Azure NSG 규칙을 추가할 때는 특징과 운영 환경을 고려하여 인/아웃바운드 규칙을 추가하여 운영해야 한다. 

 

특히, 인바운드 규칙이 Any(모두)로 적용되어 있을 경우 전세계에서 접근이 가능하기 때문에 포트/소스/대상 주소는 지정하여 규칙 추가하여 관리해야 한다. 하지만 다양한 서비스를 연결하여 서비스일 경우 다수의 규칙이 복잡하게 설정되어 있어 관리에 어려움이 존재한다.

이를 해결하고자 Azure에서는 Service Tag와 application seciruty group(ASG)를 활용할 것을 권고하고 있다.

 

Service Tag와 ASG를 활용할 경우 복잡하게 설정된 네트워크 규칙을 간소화할 수 있으며, 간소화된 네트워크 보안 규칙은 유지/관리가 상대적으로 쉽기 때문에 Service Tag와 ASG를 적극 활용해야 한다.

 👉 Azure Service Tag와 Azure ASG(Application Security Group)? (작성필요)

 

 

-3줄-

 👊 네트워크 트래픽을 제어할 수 있는 기능

 👊 규칙은 우선 순위로 처리

 👊 서비스 태그 및 ASG 적극 활용