Azure VM의 서비스를 Azure Web App Service에서만 접근하도록 NSG 설정을 제한하는 방법
NSG(Network Security Group)에 특정 포트를 여는 경우, 가능한 접속을 하는 측의 대역을 제한하는 것이 좋습니다. 왜냐하면, RDP 서비스의 경우에도 예전에 썼던 글처럼,
Azure VM의 RDP 접속 위치 제한
; https://www.sysnet.pe.kr/2/0/12322
NSG에서 다음과 같이 설정해 포트를 열면,
Source: Any
Source port ranges: *
Destination: Any
Service: RDP
Action: Allow
이후,
엄청난 해킹 시도를 하는 것을 이벤트 뷰어를 통해 확인할 수 있습니다. 마찬가지로 Azure VM에 띄워놓은 서비스(예를 들어 SQL Server)를 NSG 설정으로 Any 접근을 허용해 두면,
Source: Any
Source port ranges: *
Destination: Any
Service: MS SQL
Action: Allow
이후 무수한 해킹 시도를 경험할 수 있습니다. ^^; 따라서 이것도 가능한 제약을 하는 것이 좋은데요, 물론 IP를 특정할 수 있으면 좋겠지만 일부 환경에서는 그게 안 됩니다. 일례로 같은 Azure에서 호스팅하는 Azure Web App Service에서 VM이 제공하는 서비스를 접속하고 싶다면, App Service 측의 IP가 공개돼 있지 않기 때문에 제약을 걸 수 없습니다.
따라서 이런 경우에는 Source의 제약을 "IP Addresses"가 아닌 "Service Tag"로 설정하는 것이 좋습니다. 그리고, 그 대상을 Web App Service로 제한하고 싶다면 "AzureCloud"로 두면 됩니다.
Source: Service Tag
Source service tag: AzureCloud
Source port ranges: *
Destination: Any
Service: MS SQL
Action: Allow
여기서 한 가지 직관적이지 않은 것이 있는데, Service Tag의 목록에 보면 "AppService"도 있는데요, 사실 Azure Web App Service가 그 유형일 텐데 그걸로 설정하면 통신이 되지 않습니다. (혹시 AppService 태그가 어느 유형을 대표하는지 아시는 분은 덧글 부탁드립니다. ^^)
그나저나 Azure Web App에서 외부로의 통신이 안 되는 경우 이를 진단할 수 있는 방법을 살펴볼까요? ^^ 이를 위해 우선 (가령 SQL Server를 호스팅하고 있는) 서버와 통신이 되나 확인해야 하는데, 아쉽게도 이 과정에서 전통적인 ping을 사용할 수는 없습니다. 왜냐하면, Web App Service의 메뉴에서 제공하는 "Console" 환경은 ping뿐만 아니라 기타 거의 모든 네트워크 관련 프로그램들이 동작하지 않기 때문입니다.
D:\home\site\wwwroot> ping testvm.koreacentral.cloudapp.azure.com
Unable to contact IP driver. General failure.
D:\home\site\wwwroot> ipconfig
Access is denied.
D:\home\site\wwwroot> netstat
Access is denied.
대신 App service의 Console은 tcpping이라는 도구를 제공합니다.
How to ping from an Azure App service with TCPPING
; https://www.code4it.dev/blog/tcpping-azure-portal
하지만 말이 tcpping일 뿐, 기존에 telnet으로 대상 서버의 주소와 포트를 명시해 접근하는 것을 단순화한 도구라면 보면 됩니다. 따라서
대상 VM의 ICMP 포트를 열 필요는 없고, 대상 서비스의 포트가 열려 있어야 합니다. 기본적으로는 포트 명시가 없으면 80 포트를 가정하므로,
D:\home\site\wwwroot> tcpping testvm.koreacentral.cloudapp.azure.com
Connected to testvm.koreacentral.cloudapp.azure.com:80, time taken: 139ms
Connected to testvm.koreacentral.cloudapp.azure.com:80, time taken: <1ms
Connected to testvm.koreacentral.cloudapp.azure.com:80, time taken: <1ms
Connected to testvm.koreacentral.cloudapp.azure.com:80, time taken: <1ms
Complete: 4/4 successful attempts (100%). Average success time: 34.75ms
위의 경우는 웹 서버를 대상으로 결과가 나온 것입니다. 그렇다면 SQL Server가 접근 가능한지 알려면 1433 포트를 지정하면 되는데,
D:\home\site\wwwroot> tcpping testvm.koreacentral.cloudapp.azure.com:1433
Connection attempt failed: Connection timed out.
Connection attempt failed: Connection timed out.
Connection attempt failed: Connection timed out.
Connection attempt failed: Connection timed out.
Complete: 0/4 successful attempts (0%). Average success time: 0ms
열려 있지 않군요. ^^ 이제부터 방화벽 설정과의 싸움을 시작하시면 됩니다.
혹시나 Azure Web App Servvice가 사용하는 공용 IP를 알고 싶을까요? 그걸 알고 싶다면 AppService의 공용 DNS로 외부에서 ping을 해보면 됩니다.
C:\temp> ping testvm.azurewebsites.net
Pinging waws-prod-se1-001.cloudapp.net [52.231.32.120] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 52.231.32.120:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
ping 동작은 안 되도 저렇게 공용 IP는 출력을 해줍니다. 이 IP 주소를 NSG의 Source 측에 해제를 위한 설정값으로 써도 되지만, 몇 번 하다 보면 IP가 바뀌는 것을 볼 수 있는데요, 그래서 굳이 (당연히 임시로) 지정해야 한다면 52.231.32.0/24와 같은 식으로 열어야 합니다.
참고로, Azure Web App Service의 Consoole에도 curl 도구를 제공하기 때문에 공용 IP를 알려주는 서비스를 사용해 볼 수도 있겠지만,
D:\home\site\wwwroot> curl https://api.ipify.org?format=json
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 22 100 22 0 0 26 0 --:--:-- --:--:-- --:--:-- 27
보다시피 응답을 출력해 주지 않습니다. 대신, "Advanced Tools"로 들어가 "Kudu" 서비스에서 제공하는 "Debug Console"에서는 다음과 같은 식으로 응답을 제공합니다. (도대체가 일관성이 없군요. ^^;)
D:\home>curl https://api.ipify.org?format=json
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 22 100 22 0 0 25 0 --:--:-- --:--:-- --:--:-- 26{"ip":"52.231.32.121"}
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]