랩: Azure NSG(네트워크 보안 그룹) 살펴보기

이 랩에 해당하는 Learn 학습 내용은 다음과 같습니다.

  • 학습 경로: Microsoft 보안 솔루션의 기능 설명
  • 모듈: Azure의 기본적인 보안 기능 설명
  • 단원: Azure 네트워크 보안 그룹 설명

랩 시나리오

이 랩에서는 Azure의 네트워크 보안 그룹 기능을 살펴봅니다. NSG(네트워크 보안 그룹)를 만들고 기존 VM(가상 머신)의 인터페이스에 NSG를 할당하여 이 작업을 수행합니다. 구성이 끝나면 기본 인바운드 및 아웃바운드 규칙을 관찰하고 새 규칙을 만들어 해당 규칙을 테스트합니다. 이 랩에서는 NSG와 함께 사용할 VM이 만들어지므로 먼저 해당 VM과 연결된 일부 정보를 볼 수 있습니다.

예상 시간: 45분

작업 1

이 작업에서는 이 랩에서 사용하기 위해 만든 VM과 연결된 일부 매개 변수를 볼 수 있습니다.

  1. Microsoft Edge를 엽니다. 주소 표시줄에 https://portal.azure.com을 입력합니다.

  2. 관리자 자격 증명으로 로그인합니다.
    1. 로그인 창에서 랩 호스팅 공급자가 제공한 사용자 이름을 입력하고 다음을 선택합니다.
    2. 랩 호스팅 공급자가 제공한 관리자 암호를 입력합니다. 로그인을 선택합니다.
    3. 랩 호스터에 따라 테넌트에 처음 로그인하는 경우 MFA 등록 프로세스를 완료하라는 메시지가 표시될 수 있습니다. , 화면의 프롬프트에 따라 MFA를 설정합니다.

  3. 페이지 맨 위의 Azure 서비스 아래에서 가상 머신을 선택합니다. 가상 머신이 목록에 표시되지 않으면 검색 상자(페이지 위쪽의 ‘Microsoft Azure’ 옆에 있는 파란색 막대)에 가상 머신을 입력하고 검색 결과에서 가상 머신을 선택합니다.

  4. 가상 머신 페이지에서 나열된 VM SC900-WinVM을 선택합니다.

  5. 이제 SC900-WinVM 페이지가 표시됩니다. VM과 관련된 몇 가지 기본 정보를 살펴봅니다.

  6. 왼쪽 탐색 패널에서 네트워킹을 선택하고 네트워크 설정을 선택합니다. 주 창의 필수 섹션에는 VM의 네트워크 인터페이스가 표시됩니다. 인터페이스에 NSG가 할당되지 않았으므로 네트워크 보안 그룹 옆에 아무것도 나열되지 않습니다.

  7. 이 탭을 열어두세요.

작업 2

이 작업에서는 네트워크 보안 그룹을 만들고, 해당 NSG에 VM의 네트워크 인터페이스를 할당하고, RDP 트래픽에 대한 새 인바운드 규칙을 만듭니다.

  1. 열린 Azure 탭에서 페이지 상단에 있는 링크를 마우스 오른쪽 단추로 클릭하고 새 탭에서 링크 열기를 선택하여 Azure 서비스에 대한 다른 페이지를 엽니다.

  2. 페이지 위쪽의 파란색 검색 창에 네트워크 보안 그룹을 입력하고 결과에서 네트워크 보안 그룹을 선택합니다. 네트워크 보안 그룹(클래식) 을 선택하면 안 됩니다.

  3. 페이지 중앙에서 네트워크 보안 그룹 만들기라고 표시된 파란색 단추를 선택합니다. 또는 네트워크 보안 그룹 페이지 상단에서 + 만들기를 선택할 수 있습니다.

  4. 네트워크 보안 그룹 만들기 페이지의 기본 탭에서 다음 설정을 지정합니다.
    1. 구독: 기본값을 그대로 둡니다(권한 있는 랩 호스터에서 제공하는 Azure 구독).
    2. 리소스 그룹: LabsSC900을 선택합니다.
    3. 이름: NSG-SC900을 입력합니다.
    4. 지역: 기본값을 유지합니다.
    5. 검토 + 만들기, 만들기를 차례로 선택합니다.

  5. 배포가 완료되면 리소스로 이동을 선택합니다.

  6. 새로 만들어진 NSG에 대한 개요 페이지에 있어야 합니다. 그렇지 않은 경우 왼쪽 탐색 패널에서 개요를 선택합니다. 페이지 위쪽의 필수 아래에서 방금 만든 NSG 관련 기본 정보를 확인할 수 있습니다. 두 가지 유의할 점은 사용자 지정 보안 규칙이 없으며 이 NSG와 연결된 서브넷이나 네트워크 인터페이스가 없다는 것입니다. 사용자 지정 보안 규칙은 없지만 페이지에 표시된 대로 모든 NSG에 포함된 기본 인바운드 및 아웃바운드 규칙이 있습니다. 인바운드 및 아웃바운드 규칙을 모두 검토합니다. 기본 인바운드 규칙은 가상 네트워크 또는 Azure 부하 분산 장치에서 전송되지 않은 모든 인바운드 트래픽을 거부합니다. 아웃바운드 규칙은 가상 네트워크 간 트래픽과 인터넷으로의 아웃바운드 트래픽을 제외한 모든 아웃바운드 트래픽을 거부합니다.

  7. NSG-SC900 페이지 왼쪽 탐색 창에서 설정을 확장하고 네트워크 인터페이스를 선택합니다.
    1. 연결을 선택합니다.
    2. 네트워크 인터페이스 연결 필드에서 아래쪽 화살표를 선택하고 sc900-winvmXXX를 선택한 다음 창 아래쪽에서 확인을 선택합니다. NSG에 연결된 인터페이스는 목록에 표시됩니다. 이제 NSG가 VM의 네트워크 인터페이스에 할당되었습니다.

  8. 브라우저에서 SC900-WinVM - Microsoft Azure 탭으로 다시 전환합니다. 페이지를 새로 고칩니다. 이제 네트워크 보안 그룹 옆에 방금 만든 NSG의 이름이 표시됩니다. 그래도 표시되지 않으면 잠시 기다렸다가 페이지를 다시 새로 고칩니다.

  9. 왼쪽 탐색 패널에서 연결을 선택합니다. 기본 창에서 포트 번호 3389가 표시된 곳 옆에 있는 액세스 확인을 선택합니다. 액세스 확인 기능은 VM의 기본 RDP 포트 3389에 신호(트래픽)를 보내 액세스 가능한지 확인합니다. 몇 분 정도 걸릴 수 있지만 액세스할 수 없음이 표시됩니다. 이는 DenyAllInBound NSG 규칙이 VM에 대한 모든 인바운드 트래픽을 거부하기 때문에 예상되는 현상입니다.

  10. 브라우저에서 NSG-SC900 - Microsoft Azure 탭으로 다시 전환합니다.

  11. 왼쪽 탐색 패널에서 인바운드 보안 규칙을 선택합니다. 기본 인바운드 규칙은 가상 네트워크 또는 Azure 부하 분산 장치에서 전송되지 않은 모든 인바운드 트래픽을 거부하므로 인바운드 RDP 트래픽(포트 3389의 트래픽)을 허용하는 규칙을 설정해야 합니다. 기본 규칙을 제거할 수는 없지만 우선 순위가 더 높은 규칙을 만들어 규칙을 재정의할 수 있다는 점을 명심하세요.

  12. 페이지 위쪽에서 추가를 선택합니다. 인바운드 보안 규칙 추가 창에서 다음 설정을 지정합니다.
    1. 원본: 모두
    2. 원본 포트 범위: *
    3. 대상: 모두
    4. 서비스: RDP
    5. 작업: 허용
    6. 우선 순위: 1000. 번호가 낮은 규칙이 우선 순위가 더 높으며 먼저 처리됩니다.
    7. 이름: 기본 이름을 그대로 두거나 고유한 설명이 포함된 이름을 만듭니다.
    8. 페이지 아래쪽에 경고 기호를 확인합니다. NSG의 기능을 보여 주기 위해 테스트 목적으로만 RDP를 사용하고 있습니다.
    9. 추가 선택

  13. 규칙이 프로비전되면 인바운드 규칙 목록에 표시됩니다(화면을 새로 고침해야 할 수 있습니다).

  14. 이 브라우저 탭을 열어 둡니다.

작업 3

이 작업에서는 새로 만든 인바운드 NSG 규칙을 테스트하여 VM에 대한 RDP(원격 데스크톱) 연결을 설정할 수 있는지 확인합니다. VM 내부에서 VM에서 인터넷에 대한 아웃바운드 연결을 확인합니다.

  1. 브라우저에서 SC900-WinVM – Microsoft Azure 탭을 엽니다.

  2. 왼쪽 탐색 패널에서 연결을 선택합니다.

  3. 포트가 3389로 설정되어 있는지 확인하고 액세스 확인을 선택합니다. 상태가 “액세스 가능”으로 표시되어야 합니다. “액세스할 수 없음”이 계속 표시되면 페이지를 새로 고치고 다시 시도합니다. 액세스 확인 옵션에서 새 인바운드 규칙을 확인하는 데 몇 분 정도 걸릴 수 있습니다.

  4. 이제 네이티브 RDP 상자에서 선택을 클릭하여 VM에 직접 연결합니다.

    1. 네이티브 RDP 창이 열리면 RDP 파일 다운로드를 선택합니다.
    2. 다운로드 경고가 나타나면 유지를 선택한 후 표시되는 팝업 창에서 파일 열기를 선택합니다.
    3. 원격 데스크톱 연결 창이 열리면 연결을 선택합니다.
    4. 그러면 자격 증명을 묻는 메시지가 표시됩니다. VM의 사용자 이름 및 암호를 입력합니다(랩 지침 패널의 리소스 탭 참조).
    5. 원격 데스크톱 연결 창이 열리고 원격 컴퓨터의 ID를 확인할 수 없습니다. 연결하시겠습니까? 라는 메시지가 나타납니다. 를 선택합니다.

  5. 이제 VM에 연결되었습니다. 이번에 VM에 연결할 수 있었던 이유는, 방금 만든 인바운드 트래픽 규칙이 RDP를 통해 VM으로 전송되는 인바운드 트래픽을 허용하기 때문입니다. 시작 화면에서 몇 초 후에 디바이스의 개인 정보 설정 선택 창이 표시될 수 있습니다. 이 경우 수락을 선택합니다. 네트워크 창이 표시되면 아니요를 선택합니다.

  6. RDP 세션에서 VM이 가동되고 실행되면 VM에서 인터넷에 대한 아웃바운드 연결을 테스트합니다.
    1. 열려 있는 VM에서 Microsoft Edge를 선택하여 브라우저를 엽니다. VM과 브라우저를 여는 것은 이번이 처음이므로 몇 가지 기본 설정을 묻는 메시지가 표시될 수 있습니다.
    2. 디바이스에 대한 개인 정보 설정을 선택하라는 메시지가 표시될 수 있습니다. 기본값을 그대로 두고 수락을 선택합니다.
    3. 네트워크용 측면 패널이 표시될 수 있습니다. 아니요를 선택합니다.
    4. “Windows에서 가장 성능이 뛰어난 브라우저로 웹 검색”이라는 창이 표시될 수 있습니다. 계속을 선택하고 사용자 데이터 없이 시작을 선택하고 확인하고 계속을 선택한 다음 이 데이터 없이 계속을 선택하고 마지막으로 확인하고 검색 시작을 선택합니다.
    5. 브라우저 주소 표시줄에 www.bing.com을 입력하고 검색 엔진에 연결할 수 있는지 확인합니다.
    6. www.bing.com에 액세스할 수 있음을 확인했으면 VM에서 브라우저 창을 닫고 VM을 종료합니다.

  7. VM의 IP 주소가 표시된 파란색 탭에서 밑줄 _ 을 선택하여 VM을 최소화합니다. 그러면 SC900-WinVM | 연결 페이지가 다시 표시됩니다.

  8. 다음 작업에서 사용할 것이므로 브라우저 탭을 열어 두세요.

작업 4

이전 작업에서 VM에 대한 RDP 연결을 설정할 수 있음을 확인했습니다. 그리고 VM에서는 인터넷으로의 아웃바운드 연결을 설정할 수 있다는 것도 확인했습니다. NSG에 대한 기본 아웃바운드 규칙이 아웃바운드 인터넷 트래픽을 허용하기 때문에 아웃바운드 인터넷 트래픽이 허용되었습니다. 이 작업에서는 나가는 인터넷 트래픽을 차단하고 해당 규칙을 테스트하는 사용자 지정 아웃바운드 규칙을 만드는 프로세스를 수행합니다.

  1. SC900-WinVM | 연결 페이지가 표시되어 있어야 합니다. 왼쪽 탐색 패널에서 네트워킹을 선택합니다. 이전에 브라우저 탭을 닫은 경우 페이지 맨 위에 있는 파란색 검색 창을 선택하고 가상 머신을 선택한 다음 VM, SC900-WinVM을 선택한 후 네트워킹을 선택합니다.

  2. 아웃바운드 포트 규칙 탭을 선택합니다. 기본 아웃바운드 규칙을 확인할 수 있습니다. 기본 규칙은 “AllowInternetOutBound”입니다. 이 규칙은 모든 아웃바운드 인터넷 트래픽을 허용합니다. 기본 규칙을 제거할 수는 없지만 우선 순위가 더 높은 규칙을 만들어 규칙을 재정의할 수는 있습니다. 페이지 오른쪽에서 +크레이트 포트 규칙을 선택한 다음 드롭다운 목록에서 아웃바운드 포트 규칙을 선택합니다.

  3. 아웃바운드 보안 규칙 추가 페이지에서 다음 설정을 지정합니다.
    1. 원본: 모두
    2. 원본 포트 범위: *
    3. 대상: 서비스 태그
    4. 대상 서비스 태그: 인터넷
    5. 서비스: 사용자 지정(기본값 유지)
    6. 대상 포트 범위: *(대상 포트 범위 필드에 별표를 추가해야 함)
    7. 프로토콜: 모두
    8. 작업: Deny
    9. 우선 순위: 1000
    10. 이름: 기본 이름을 그대로 두거나 고유한 설명이 포함된 이름을 만듭니다.
    11. 추가 선택

  4. 프로비전된 규칙은 아웃바운드 규칙 목록에 표시됩니다. 규칙이 목록에 표시되기는 하지만 적용되려면 몇 분 정도 걸립니다(다음 단계를 계속 진행하기 전에 몇 분 기다려야 함).

  5. VM으로 돌아옵니다. 페이지 아래쪽의 작업 표시줄에 VM의 RDP 아이콘이 표시되어야 합니다.

  6. VM에서 Microsoft Edge 브라우저를 열고 www.bing.com을 입력합니다. 해당 페이지는 표시되지 않습니다. 연결할 수 있고 아웃바운드 규칙의 모든 매개 변수가 올바르게 설정되었음을 확인한 경우 규칙이 적용되는 데 몇 분 정도 걸릴 수 있기 때문입니다. 이 경우에는 브라우저를 닫고 몇 분 정도 기다렸다가 다시 시도하세요. 랩 환경의 Azure 구독에서는 규칙이 표시될 때까지 시간이 더 오래 걸릴 수도 있습니다.

  7. IP 주소가 표시된 페이지 위쪽 가운데에서 X를 선택하여 원격 데스크톱 연결을 닫습니다. 원격 세션의 연결이 끊어짐을 나타내는 팝업 창이 표시됩니다. 확인을 선택합니다.

  8. 창 왼쪽 위에서 ‘Microsoft Azure’가 표시된 파란색 막대 바로 아래의 을 선택하여 Azure 서비스 홈 페이지로 돌아옵니다.

  9. Azure 탭은 브라우저에 열어 두세요.

검토

이 랩에서는 NSG(네트워크 보안 그룹)를 설정하고, NSG를 가상 머신의 네트워크 인터페이스에 연결하고, 인바운드 RDP 트래픽을 허용하고 아웃바운드 인터넷 트래픽을 차단하는 새 규칙을 NSG에 추가하는 과정을 살펴보았습니다.