1. 의미
- Azure Virtual Networks의 기능으로 가상 네트워크 암호화를 사용하면 DTLS 터널을 만들어 Azure Virtual Machines 간에 트래픽을 원활하게 암호화 및 암호 해독할 수 있음.
- 가상 네트워크 암호화를 사용하면 동일한 가상 네트워크 내에서 Virtual Machines와 Virtual Machine Scale Sets 간의 트래픽을 암호화할 수 있습니다. 가상 네트워크 암호화는 지역적으로 피어링된 가상 네트워크와 전역적으로 피어링된 가상 네트워크 간의 트래픽을 암호화
2. 주요 제약사항
- 암호화는 가상 네트워크의 가상 머신 간의 트래픽에만 적용됩니다. 트래픽은 개인 IP 주소에서 개인 IP 주소로 암호화
- 가상 네트워크에서 암호화를 사용하도록 설정한 후에는 기존 가상 머신의 시작/중지가 필요
- 내부 부하 분산 장치의 경우, 부하 분산 장치 뒤에 있는 모든 가상 머신은 지원되는 가상 머신 SKU에 있어야 합니다
- AllowUnencrypted는 일반 공급에서 유일하게 지원되는 적용입니다. DropUnencrypted 적용은 향후 지원될 예정
- 암호화가 사용하도록 설정된 가상 네트워크는 Azure DNS Private Resolver, Application Gateway 및 Azure Firewall을 지원하지 않습니다
- Azure ExpressRoute 게이트웨이가 있는 가상 네트워크에서는 가상 네트워크 암호화를 사용하도록 설정해서는 안 됩니다.
- Azure Private Link 서비스로 구성된 가상 네트워크는 Virtual Network 암호화를 지원하지 않으므로 이러한 Virtual Network에서는 Virtual Network 암호화를 사용하도록 설정해서는 안 됨.
- 부하 분산 장치에 대한 연결 실패를 방지하기 위해 내부 부하 분산 장치의 백 엔드 풀에는 네트워크 인터페이스 보조 IPv4 구성이 포함되어서는 안 됨.
- Azure 기밀 컴퓨팅 VM SKU가 있는 가상 네트워크에서는 Virtual Network 암호화를 사용하도록 설정하면 안 됩니다.
- 지역 피어링, 글로벌 피어링을 통한 가상 머신 간 트래픽에서 지원됩니다.
- Azure CNI(일반 또는 오버레이 모드), Kubenet 또는 BYOCNI를 사용하는 AKS에서 지원됩니다. 노드 및 Pod 트래픽이 암호화됩니다.
- Azure CNI 동적 Pod IP 할당(podSubnetId 지정)을 사용하여 AKS에서 부분적으로 지원됩니다. 노드 트래픽은 암호화되지만 Pod 트래픽은 암호화되지 않습니다.
- AKS 관리 컨트롤 플레인에 대한 트래픽이 가상 네트워크에서 송신되므로 가상 네트워크 암호화 범위에 포함되지 않습니다. 그러나 이 트래픽은 항상 TLS를 통해 암호화됩니다.
3. 추가 암호화 설계
- 외부 인터넷 -> WAF 구간 : mTLS 및 SSL/TLS 1.2버전 이상 통신 암호화 적용
- WAF -> F/W 구간 : SSL/TLS 1.2버전 이상 통신 암호화 적용
- MSA Service <-> 타 시스템 호출 구간 : SSL/TLS 1.2버전 이상 통신 암호화 적용
- Application : Always Encrypted + Dynamic Data Masking 동시 사용
- DBMS - SQL Management Instance : TDE(Transparent data encryption)을 이용한 스토리지 암호화
- Azure Files : CMK 기반의 SSE 지원 설정 혹은 Key Vault + MI 권한 설정 관리를 통한 암호화
- Azure Blob Storage : Azure Key Vault에 저장된 CMK를 사용하여 암호화
4. 네트워크 암호화
- Azure VPN Gateway는 IPsec/IKE 기반 암호화 터널을 사용하며, 내부적으로 AES256/SHA2/PFS 같은 알고리즘을 조합한다
- ExpressRoute → 기본은 암호화 없음. 필요 시
- MACsec(L2) : ExpressRoute Direct서 포트 단 암호화(BYOK, Key Vault 보관).
- IPsec over ER : VPN over ExpressRoute(끝단 간 L3 암호화) 조합 가능. - Virtual Network Encryption (VNE) → 동일 VNet/피어링 간 VM↔VM 트래픽을 DTLS로 암호화. 특정 VM SKU/Accelerated Networking 요구, 일부 네트워크 리소스와 비호환.
- Azure Files: 기본적으로 SMB 3.x + 암호화 필수(암호화 미지원 클라이언트 연결 거부)
5. 참고 문서
- Azure Virtual Network 암호화란? https://learn.microsoft.com/ko-kr/azure/virtual-network/virtual-network-encryption-overview
'Azure 상식' 카테고리의 다른 글
| AKS 장애 대응 - Node Not Ready, POD Pending 등 이슈 원인 파악 및 해결 방안 (1) | 2025.08.25 |
|---|---|
| AKS의 이슈상황 원인과 대응방안 + Pod Lifecycle (1) | 2025.08.25 |
| PV/PVC with Azure File 구성시 필요한 Network 설정 (1) | 2025.08.25 |
| Azure Storage 암호화 (0) | 2025.08.25 |
| Azure Monitoring 활용시 LogData 효율적 관리에 대해 (3) | 2025.08.24 |