Cloud/AZURE2020. 6. 24. 21:47

Today Keys :   Network Security Group, NSG, Azure, 보안,  ingress, egress, 정책, 트래픽, 필터링,  VNet


Azure의 Network Security Group에 대한 포스팅입니다. 


      

Network Security Group
  ▪ Azure VNet 리소스와 주고 받는 네트워크 트래픽 필터링 
  ▪ 트래픽 필터링을 위해서 5 tuple(Source / Source Port / Destinatin / Destinatin Port / Protocol)로 정책 설정
  ▪ Top Down 방식으로 우선순위가 높은 정책을 먼저 적용
  ▪ Inbound/Outbound 양방향 지원
  ▪ NSG 당 최대 1000개의 정책 설정 가능
  ▪ 서브넷과 네트워크 인터페이스에 적용이 가능하나, 동시에 적용하는 것을 권하지는 않음.
       - 의도치 않은 정책 충돌

  ▪ Ingress와 Egress에 대한 기본 보안 정책이 적용되어 있음.


< Inbound /Outbound의 기본 정책 >




[ NSG 보안 정책 ]


NSG 보안 정책
  ▪ 출발지와 목적지의 경우 다음과 같이 설정 가능
      -  Any
      -  IP Addresses : CIDR로 설정 가능하며, ',' 를 사용해서 다수개 적용 가능.
      - Application Security Group(ASG) :  IP 기반 대신 워크로드 또는 Application 기반의 세분화된 정책 적용
      - Virtual Network
 
                             ※ Ingress 정책에서는 목적지에서만 적용 / Egress 정책에서는 출발지에서만 적용             
      - Service Tag : IP 주소의 카테고리를 사전에 정의해둔 식별자
                             예를 들어 , AzureLoadBalancer 태그는 Load Balancer의 Health Probe, 
                                              Internet은 Public IP Address
                              Service Tag에 따라서 Inbound/Outbound 혹은 Both로 적용 가능
                             ※ Ingress 정책에서는 출발지에서만 적용 / Egress 정책에서는 목적지에서만 적용


  ▪ 출발지/목적지 포트
       - 개별 포트 혹은 '-'를 사용한 range, ','를 사용하여 다수개 적용 가능. '*' 사용 시 any로 적용
  ▪ 프로토콜은 TCP/UDP/ICMP or ALL 지원
  ▪ 동작(Action)은 허용 또는 차단으로 설정 가능.
  ▪ 우선 순위를 100~ 4096 사이로 지정 가능


< Service Tag 설정 화면 >  


Posted by 지기 네떡지기

댓글을 달아 주세요