Azure Firewall 생성 및 구성

Source: Dev.to

개요

Azure Firewall은 Microsoft Azure에서 제공하는 클라우드 기반 네트워크 보안 서비스로, Azure 리소스와 인터넷 또는 기타 네트워크 간의 트래픽을 필터링하고 제어하여 가상 네트워크 리소스를 보호합니다.

시나리오

조직에서는 애플리케이션 가상 네트워크에 대한 중앙 집중식 네트워크 보안이 필요합니다. 사용량이 증가함에 따라 다음이 요구됩니다.

• 세부적인 애플리케이션 수준 필터링
• 고급 위협 보호
• Azure DevOps 파이프라인으로부터 지속적인 업데이트

확인된 요구 사항:

• app‑vnet에 추가 보안을 제공하기 위한 Azure Firewall
• 애플리케이션에 대한 액세스를 관리하는 방화벽 정책
• Azure DevOps에서 코드 업데이트를 받기 위해 애플리케이션 규칙 컬렉션 생성
• DNS 해석을 허용하기 위한 네트워크 규칙 컬렉션 생성

기술 작업

• Azure Firewall 만들기
• 방화벽 정책 생성 및 구성
• 애플리케이션 규칙 컬렉션 만들기
• 네트워크 규칙 컬렉션 만들기

단계별 지침

1. 기존 가상 네트워크에 Azure Firewall 서브넷 만들기

1. Azure 포털 검색 상자에 Virtual networks를 입력하고 선택합니다.
2. app‑vnet을 선택합니다.
3. Subnets를 엽니다.
4. + Subnet을 클릭하고 이름을 지정합니다(예: AzureFirewallSubnet). 필요한 설정을 구성합니다.
5. 변경 사항을 저장합니다.

주의: 다른 설정은 기본값 그대로 두세요.

2. Azure Firewall 배포

1. 포털 검색 상자에 Firewall을 입력하고 선택합니다.
2. + Create를 클릭합니다.
3. 배포 가이드에 제공된 값(리소스 그룹, 이름, 지역, 가상 네트워크, 서브넷 등)을 입력합니다.
4. Review + create를 선택한 뒤 Create를 클릭합니다.

3. 방화벽 정책 업데이트

1. Firewall Policies를 검색하여 선택합니다.
2. fw‑policy(또는 만든 정책) 이름의 정책을 엽니다.

4. 애플리케이션 규칙 컬렉션 추가

1. 정책의 Rules 블레이드에서 Application rules → Add a rule collection을 선택합니다.
2. 컬렉션을 구성합니다(예: 이름 AllowAzurePipelines, 우선순위, 동작 = Allow).
3. Azure DevOps 서비스에 대한 트래픽을 허용하는 규칙을 추가합니다(예: dev.azure.com, *.visualstudio.com).
4. 컬렉션을 저장합니다.

이 규칙은 웹 애플리케이션이 Azure Pipelines 및 Azure DevOps 서비스에 접근할 수 있도록 합니다.

5. 네트워크 규칙 컬렉션 추가

1. 정책의 Rules 블레이드에서 Network rules → Add a network collection을 선택합니다.
2. 컬렉션을 구성합니다(예: 이름 AllowDNS, 우선순위, 동작 = Allow).
3. DNS 트래픽을 허용하는 규칙을 추가합니다(일반적으로 UDP/TCP 포트 53을 DNS 서버 또는 *.azure-dns.com에 허용).
4. 컬렉션을 저장합니다.