Today Keys : Network Security Group, NSG, Azure, 보안, ingress, egress, 정책, 트래픽, 필터링, VNet
Azure의 Network Security Group에 대한 포스팅입니다.
Network Security Group
▪ Azure VNet 리소스와 주고 받는 네트워크 트래픽 필터링
▪ 트래픽 필터링을 위해서 5 tuple(Source / Source Port / Destinatin / Destinatin Port / Protocol)로 정책 설정
▪ Top Down 방식으로 우선순위가 높은 정책을 먼저 적용
▪ Inbound/Outbound 양방향 지원
▪ NSG 당 최대 1000개의 정책 설정 가능
▪ 서브넷과 네트워크 인터페이스에 적용이 가능하나, 동시에 적용하는 것을 권하지는 않음.
- 의도치 않은 정책 충돌
▪ Ingress와 Egress에 대한 기본 보안 정책이 적용되어 있음.
< Inbound /Outbound의 기본 정책 >
[ NSG 보안 정책 ]
NSG 보안 정책
▪ 출발지와 목적지의 경우 다음과 같이 설정 가능
- Any
- IP Addresses : CIDR로 설정 가능하며, ',' 를 사용해서 다수개 적용 가능.
- Application Security Group(ASG) : IP 기반 대신 워크로드 또는 Application 기반의 세분화된 정책 적용
- Virtual Network
※ Ingress 정책에서는 목적지에서만 적용 / Egress 정책에서는 출발지에서만 적용
※ Ingress 정책에서는 목적지에서만 적용 / Egress 정책에서는 출발지에서만 적용
- Service Tag : IP 주소의 카테고리를 사전에 정의해둔 식별자
예를 들어 , AzureLoadBalancer 태그는 Load Balancer의 Health Probe,
Internet은 Public IP Address
Service Tag에 따라서 Inbound/Outbound 혹은 Both로 적용 가능
※ Ingress 정책에서는 출발지에서만 적용 / Egress 정책에서는 목적지에서만 적용
▪ 출발지/목적지 포트
- 개별 포트 혹은 '-'를 사용한 range, ','를 사용하여 다수개 적용 가능. '*' 사용 시 any로 적용
▪ 프로토콜은 TCP/UDP/ICMP or ALL 지원
▪ 동작(Action)은 허용 또는 차단으로 설정 가능.
▪ 우선 순위를 100~ 4096 사이로 지정 가능
< Service Tag 설정 화면 >
