피드로 돌아가기
Dev.toInfrastructure
원문 읽기
TCP Port 22 제한 및 Subnet 분리를 통한 FTP 서버 보안 경계 구축
Mastering Azure Management Task: A Hands-On Project (Part 2)
AI 요약
Context
단일 Virtual Network 내의 모든 리소스가 동일한 네트워크 영역에 배치되어 보안 위협에 노출된 상태. 서비스별 트래픽 격리 및 비인가 접근 제어를 위한 구조적 보안 계층 부재.
Technical Solution
- FTP 전용 트래픽 처리를 위한 ftpSubnet 생성으로 네트워크 계층 분리(Segmentation) 수행
- 서브넷 수준의 방화벽 역할을 수행하는 Network Security Group(NSG) 도입을 통한 인바운드 트래픽 제어
- SSH 기반 SFTP 통신을 위해 TCP Port 22번으로의 접근만 허용하는 White-list 방식의 보안 규칙 정의
- 정의된 NSG를 특정 Subnet에 결합(Association)하여 해당 영역 내 모든 리소스에 보안 정책 일괄 적용
- 최소 권한 원칙에 기반하여 불필요한 포트를 차단하고 단일 프로토콜만 허용하는 보안 경계 설정
실천 포인트
1. 서비스 특성별 전용 Subnet을 생성하여 Blast Radius 최소화 여부 검토
2. NSG 규칙 설정 시 Any-to-Any 허용을 지양하고 특정 Port와 Protocol만 정의했는지 확인
3. NSG 생성 후 실제 Subnet과의 Association 단계가 누락되지 않았는지 체크