Azure Stack HCI 버전 23H2에 대한 보안 기능
적용 대상: Azure Stack HCI, 버전 23H2
Azure Stack HCI는 처음부터 300개 이상의 보안 설정을 사용하도록 설정된 기본 보안 제품입니다. 기본 보안 설정은 디바이스가 알려진 양호한 상태에서 시작되도록 일관된 보안 기준을 제공합니다.
이 문서에서는 Azure Stack HCI 클러스터와 연결된 다양한 보안 기능에 대한 간략한 개념적 개요를 제공합니다. 기능에는 보안 기본값, WDAC(애플리케이션 제어용 Windows Defender), BitLocker를 통한 볼륨 암호화, 비밀 회전, 로컬 기본 제공 사용자 계정, 클라우드용 Microsoft Defender 등이 포함됩니다.
보안 기본값
Azure Stack HCI에는 일관된 보안 기준, 기준 관리 시스템 및 드리프트 제어 메커니즘을 제공하는 보안 설정이 기본적으로 활성화되어 있습니다.
배포 및 런타임 중에 보안 기준 및 보안 코어 설정을 모니터링할 수 있습니다. 보안 설정을 구성할 때 배포 중에 드리프트 제어를 사용하지 않도록 설정할 수도 있습니다.
드리프트 컨트롤이 적용되면 보안 설정이 90분마다 새로 고쳐집니다. 이 새로 고침 간격은 원하는 상태의 변경 내용을 수정하도록 합니다. 지속적인 모니터링 및 자동 수정을 통해 디바이스의 수명 주기 동안 일관되고 안정적인 보안 태세를 사용할 수 있습니다.
Azure Stack HCI의 보안 기준:
- 레거시 프로토콜 및 암호화를 사용하지 않도록 설정하여 보안 태세를 개선합니다.
- Azure Arc Hybrid Edge 기준을 통해 일관된 대규모 모니터링을 가능하게 하는 기본 제공 드리프트 보호 메커니즘으로 OPEX를 줄입니다.
- OS 및 권장 보안 기준에 대한 CIS(Center for Internet Security) 벤치마크 및 DISA(국방 정보 시스템 기관) STIG(보안 기술 구현 가이드) 요구 사항을 충족할 수 있습니다.
자세한 내용은 Azure Stack HCI에서 보안 기본값 관리를 참조하세요.
Windows Defender 애플리케이션 제어
WDAC는 실행할 수 있는 명시적 소프트웨어 목록을 적용하여 공격 노출 영역을 줄이는 소프트웨어 기반 보안 계층입니다. WDAC는 기본적으로 사용하도록 설정되며 핵심 플랫폼에서 실행할 수 있는 애플리케이션 및 코드를 제한합니다. 자세한 내용은 Azure Stack HCI 버전 23H2에 대한 Windows Defender 애플리케이션 제어 관리를 참조하세요.
WDAC는 적용 모드와 감사 모드의 두 가지 기본 작업 모드를 제공합니다. 적용 모드에서 신뢰할 수 없는 코드가 차단되고 이벤트가 기록됩니다. 감사 모드에서 신뢰할 수 없는 코드를 실행할 수 있으며 이벤트가 기록됩니다. WDAC 관련 이벤트에 대한 자세한 내용은 이벤트 목록을 참조하세요.
중요
보안 위험을 최소화하려면 항상 적용 모드에서 WDAC를 실행합니다.
WDAC 정책 디자인 정보
Microsoft는 적용 모드와 감사 모드 모두에 대해 Azure Stack HCI에 기본 서명된 정책을 제공합니다. 또한 정책에는 애플리케이션 제어 계층에 적용할 미리 정의된 플랫폼 동작 규칙 및 블록 규칙 집합이 포함됩니다.
기본 정책 구성
Azure Stack HCI 기본 정책에는 다음 섹션이 포함됩니다.
- 메타데이터: 메타데이터는 정책 이름, 버전, GUID 등과 같은 정책의 고유한 속성을 정의합니다.
- 옵션 규칙: 이러한 규칙은 정책 동작을 정의합니다. 추가 정책은 기본 정책에 연결된 작은 옵션 규칙 집합과만 다를 수 있습니다.
- 규칙 허용 및 거부: 이러한 규칙은 코드 신뢰 경계를 정의합니다. 규칙은 게시자, 서명자, 파일 해시 등을 기반으로 할 수 있습니다.
옵션 규칙
이 섹션에서는 기본 정책에서 사용하도록 설정된 옵션 규칙에 대해 설명했습니다.
적용된 정책의 경우 기본적으로 다음 옵션 규칙이 사용하도록 설정됩니다.
| 옵션 규칙 | 값 |
|---|---|
| 사용 | UMCI |
| 필수 | Whql |
| 사용 | 추가 정책 허용 |
| 사용 | 서명되지 않은 것으로 해지됨 |
| 사용 안 함 | 플라이트 서명 |
| 사용 | 서명되지 않은 시스템 무결성 정책(기본값) |
| 사용 | 동적 코드 보안 |
| 사용 | 고급 부팅 옵션 메뉴 |
| 사용 안 함 | 스크립트 적용 |
| 사용 | 관리되는 설치 관리자 |
| 사용 | 업데이트 정책 다시 부팅 안 함 |
감사 정책은 기본 정책에 다음 옵션 규칙을 추가합니다.
| 옵션 규칙 | 값 |
|---|---|
| 사용 | 감사 모드(기본값) |
자세한 내용은 전체 옵션 규칙 목록을 참조하세요.
규칙 허용 및 거부
기본 정책의 규칙을 허용하면 OS 및 클라우드 배포에서 제공하는 모든 Microsoft 구성 요소를 신뢰할 수 있습니다. 거부 규칙은 솔루션의 보안 태세에 안전하지 않은 것으로 간주되는 사용자 모드 애플리케이션 및 커널 구성 요소를 차단합니다.
참고
기본 정책의 허용 및 거부 규칙은 제품 재미도를 개선하고 솔루션 보호를 최대화하기 위해 정기적으로 업데이트됩니다.
거부 규칙에 대한 자세한 내용은 다음을 참조하세요.
드라이버 차단 목록입니다.
사용자 모드 차단 목록입니다.
BitLocker 암호화
미사용 데이터 암호화는 배포 중에 생성된 데이터 볼륨에서 사용하도록 설정됩니다. 이러한 데이터 볼륨에는 인프라 볼륨과 워크로드 볼륨이 모두 포함됩니다. 클러스터를 배포할 때 보안 설정을 수정할 수 있습니다.
기본적으로 미사용 데이터 암호화는 배포 중에 사용하도록 설정됩니다. 기본 설정을 적용하는 것이 좋습니다.
Azure Stack HCI가 성공적으로 배포되면 BitLocker 복구 키를 검색할 수 있습니다. BitLocker 복구 키를 시스템 외부의 안전한 위치에 저장해야 합니다.
BitLocker 암호화에 대한 자세한 내용은 다음을 참조하세요.
로컬 기본 제공 사용자 계정
이 릴리스에서는 및 와 연결된 RID 500RID 501 다음 로컬 기본 제공 사용자를 Azure Stack HCI 시스템에서 사용할 수 있습니다.
| 초기 OS 이미지의 이름 | 배포 후 이름 | 기본적으로 사용하도록 설정됨 | Description |
|---|---|---|---|
| 관리자 | ASBuiltInAdmin | True | 컴퓨터/도메인 관리를 위한 기본 제공 계정입니다. |
| 게스트 | ASBuiltInGuest | False | 보안 기준 드리프트 제어 메커니즘으로 보호되는 컴퓨터/도메인에 대한 게스트 액세스를 위한 기본 제공 계정입니다. |
중요
고유한 로컬 관리자 계정을 만들고 잘 알려진 RID 500 사용자 계정을 사용하지 않도록 설정하는 것이 좋습니다.
비밀 만들기 및 회전
Azure Stack HCI의 오케스트레이터는 다른 인프라 리소스 및 서비스와의 보안 통신을 유지하기 위해 여러 구성 요소가 필요합니다. 클러스터에서 실행되는 모든 서비스에는 인증 및 암호화 인증서가 연결되어 있습니다.
보안을 보장하기 위해 내부 비밀 만들기 및 회전 기능을 구현합니다. 클러스터 노드를 검토할 때 LocalMachine/Personal Certificate Store(Cert:\LocalMachine\My) 경로 아래에 만들어진 여러 인증서가 표시됩니다.
이 릴리스에서는 다음 기능을 사용할 수 있습니다.
- 배포 중 및 클러스터 크기 조정 작업 후에 인증서를 만드는 기능입니다.
- 인증서가 만료되기 전에 자동화된 자동 회전 및 클러스터 수명 동안 인증서를 회전하는 옵션입니다.
- 인증서가 여전히 유효한지 여부를 모니터링하고 경고하는 기능입니다.
참고
클러스터 크기에 따라 비밀 만들기 및 회전 작업을 완료하는 데 약 10분이 걸립니다.
자세한 내용은 비밀 회전 관리를 참조하세요.
보안 이벤트의 Syslog 전달
자체 SIEM(로컬 보안 정보 및 이벤트 관리) 시스템이 필요한 고객 및 조직의 경우 Azure Stack HCI 버전 23H2에는 보안 관련 이벤트를 SIEM에 전달할 수 있는 통합 메커니즘이 포함되어 있습니다.
Azure Stack HCI에는 CEF(Common Event Format)의 페이로드를 사용하여 RFC3164 정의된 syslog 메시지를 생성하는 통합 syslog 전달자가 있습니다.
다음 다이어그램에서는 AZURE Stack HCI와 SIEM의 통합을 보여 줍니다. 모든 감사, 보안 로그 및 경고는 각 호스트에서 수집되고 CEF 페이로드를 사용하여 syslog를 통해 노출됩니다.
Syslog 전달 에이전트는 고객이 구성한 syslog 서버에 syslog 메시지를 전달하기 위해 모든 Azure Stack HCI 호스트에 배포됩니다. Syslog 전달 에이전트는 서로 독립적으로 작동하지만 호스트 중 하나에서 함께 관리할 수 있습니다.
Azure Stack HCI의 syslog 전달자는 Syslog 전달이 TCP 또는 UDP를 사용하는지 여부, 암호화가 활성화되었는지 여부, 단방향 인증 또는 양방향 인증이 있는지 여부에 따라 다양한 구성을 지원합니다.
자세한 내용은 syslog 전달 관리를 참조하세요.
클라우드용 Microsoft Defender(미리 보기)
Microsoft Defender for Cloud는 고급 위협 방지 기능을 갖춘 보안 태세 관리 솔루션입니다. 인프라의 보안 상태 평가하고, 워크로드를 보호하고, 보안 경고를 발생시키고, 특정 권장 사항을 따라 공격을 수정하고 향후 위협을 해결하는 도구를 제공합니다. 배포 오버헤드 없이 Azure 서비스를 통한 자동 프로비전 및 보호를 통해 클라우드에서 이러한 모든 서비스를 고속으로 수행합니다.
기본 클라우드용 Defender 계획을 사용하면 추가 비용 없이 Azure Stack HCI 시스템의 보안 상태를 개선하는 방법에 대한 권장 사항을 얻을 수 있습니다. 유료 서버용 Defender 계획을 사용하면 개별 서버 및 Arc VM에 대한 보안 경고를 포함하여 향상된 보안 기능을 얻을 수 있습니다.
자세한 내용은 클라우드용 Microsoft Defender 사용하여 시스템 보안 관리(미리 보기)를 참조하세요.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기