Azure Stack Hub 보안 컨트롤 구성

이 문서에서는 Azure Stack Hub에서 변경할 수 있는 보안 제어에 대해 설명하고 해당하는 경우 절충을 강조 표시합니다.

Azure Stack Hub 아키텍처는 기본적으로 보안 위반 가정 및 강화라는 두 가지 보안 원칙 핵심 요소에 기반합니다. Azure Stack Hub 보안에 대한 자세한 내용은 Azure Stack Hub 인프라 보안 태세를 참조하세요. Azure Stack Hub의 기본 보안 태세는 프로덕션 준비 상태이지만 추가 강화가 필요한 몇 가지 배포 시나리오가 있습니다.

TLS 버전 정책

TLS(전송 계층 보안) 프로토콜은 네트워크를 통해 암호화된 통신을 설정하기 위해 널리 채택된 암호화 프로토콜입니다. TLS는 시간이 지남에 따라 발전했으며 여러 버전이 릴리스되었습니다. Azure Stack Hub 인프라는 모든 통신에 TLS 1.2만 사용합니다. 외부 인터페이스의 경우 Azure Stack Hub는 현재 기본적으로 TLS 1.2를 사용합니다. 그러나 이전 버전과의 호환성을 위해 TLS 1.1까지의 협상도 지원합니다. 및 1.0. TLS 클라이언트가 TLS 1.1 또는 TLS 1.0을 통해 통신하도록 요청하면 Azure Stack Hub는 더 낮은 TLS 버전으로 협상하여 요청을 적용합니다. 클라이언트가 TLS 1.2를 요청하는 경우 Azure Stack Hub는 TLS 1.2를 사용하여 TLS 연결을 설정합니다.

TLS 1.0 및 1.1은 조직 및 규정 준수 표준에 의해 증분 방식으로 사용되지 않거나 금지되므로 이제 Azure Stack Hub에서 TLS 정책을 구성할 수 있습니다. 버전이 1.2보다 낮은 TLS 세션을 설정하려는 시도가 허용되지 않고 거부되는 TLS 1.2 전용 정책을 적용할 수 있습니다.

중요

Microsoft는 Azure Stack Hub 프로덕션 환경에 TLS 1.2 전용 정책을 사용하는 것이 좋습니다.

TLS 정책 가져오기

PEP(권한 있는 엔드포인트)를 사용하여 모든 Azure Stack Hub 엔드포인트에 대한 TLS 정책을 봅니다.

Get-TLSPolicy

예제 출력:

TLS_1.2

TLS 정책 설정

PEP(권한 있는 엔드포인트)를 사용하여 모든 Azure Stack Hub 엔드포인트에 대한 TLS 정책을 설정합니다.

Set-TLSPolicy -Version <String>

Set-TLSPolicy cmdlet에 대한 매개 변수:

매개 변수 Description 형식 필수
버전 Azure Stack Hub에서 허용된 TLS 버전 String

다음 값 중 하나를 사용하여 모든 Azure Stack Hub 엔드포인트에 대해 허용되는 TLS 버전을 구성합니다.

버전 값 Description
TLS_All Azure Stack Hub TLS 엔드포인트는 TLS 1.2를 지원하지만 TLS 1.1 및 TLS 1.0에 대한 다운 협상은 허용됩니다.
TLS_1.2 Azure Stack Hub TLS 엔드포인트는 TLS 1.2만 지원합니다.

TLS 정책을 업데이트하는 작업은 완료하는 데 몇 분 정도 걸립니다.

TLS 1.2 구성 적용 예제

다음은 TLS 1.2만 적용하도록 TLS 정책을 설정하는 예제입니다.

Set-TLSPolicy -Version TLS_1.2

예제 출력:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

모든 버전의 TLS 허용(1.2, 1.1 및 1.0) 구성 예제

다음은 모든 버전의 TLS(1.2, 1.1 및 1.0)를 허용하도록 TLS 정책을 설정하는 예제입니다.

Set-TLSPolicy -Version TLS_All

예제 출력:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

PEP(권한 있는 엔드포인트) 세션에 로그인할 때 법적 알림을 표시하는 것이 유용한 시나리오가 있습니다. Set-AzSLegalNoticeGet-AzSLegalNotice cmdlet은 이러한 법적 통지 텍스트의 캡션 및 본문을 관리하는 데 사용됩니다.

법적 통지 캡션 및 텍스트를 설정하려면 Set-AzSLegalNotice cmdlet을 참조하세요. 법적 통지 캡션 및 텍스트가 이전에 설정된 경우 Get-AzSLegalNotice cmdlet을 사용하여 검토할 수 있습니다.

다음 단계