Azure Stack 허브 인프라 보안 제어Azure Stack Hub infrastructure security controls

보안 고려 사항 및 규정 준수 규정은 하이브리드 클라우드를 사용하는 주요 요인에 속합니다.Security considerations and compliance regulations are among the main drivers for using hybrid clouds. Azure Stack 허브는 이러한 시나리오를 위해 설계 되었습니다.Azure Stack Hub is designed for these scenarios. 이 문서에서는 Azure Stack 허브에 대해 적용 되는 보안 컨트롤을 설명 합니다.This article explains the security controls in place for Azure Stack Hub.

두 개의 보안 상태 계층이 Azure Stack 허브에 공존 합니다.Two security posture layers coexist in Azure Stack Hub. 첫 번째 계층은 Azure Resource Manager 최대 하드웨어 구성 요소를 포함 하는 Azure Stack 허브 인프라입니다.The first layer is the Azure Stack Hub infrastructure, which includes the hardware components up to the Azure Resource Manager. 첫 번째 계층에는 관리자와 사용자 포털이 포함 됩니다.The first layer includes the administrator and the user portals. 두 번째 계층은 테 넌 트가 생성, 배포 및 관리 하는 작업으로 구성 됩니다.The second layer consists of the workloads created, deployed, and managed by tenants. 두 번째 계층에는 가상 컴퓨터 및 App Services 웹 사이트와 같은 항목이 포함 됩니다.The second layer includes items like virtual machines and App Services web sites.

보안 방법Security approach

Azure Stack 허브의 보안 상태는 최신 위협 으로부터 보호 하 고 주요 규정 준수 표준의 요구 사항을 충족 하도록 설계 되었습니다.The security posture for Azure Stack Hub is designed to defend against modern threats and was built to meet the requirements from the major compliance standards. 따라서 Azure Stack 허브 인프라의 보안 상태는 두 가지 핵심 요소을 기반으로 합니다.As a result, the security posture of the Azure Stack Hub infrastructure is built on two pillars:

  • 위반 가정Assume Breach
    시스템이 이미 위반 된 것으로 가정 하 고 공격을 방지 하는 것과 비교 하 여 위반의 영향을 검색 하 고 제한 하는 데 초점을 둡니다.Starting from the assumption that the system has already been breached, focus on detecting and limiting the impact of breaches versus only trying to prevent attacks.

  • 기본적으로 확정 됨Hardened by Default
    인프라는 잘 정의 된 하드웨어 및 소프트웨어에서 실행 되므로 Azure Stack 허브는 기본적으로 모든 보안 기능을 사용 하도록 설정 하 고 유효성을 검사 합니다.Since the infrastructure runs on well-defined hardware and software, Azure Stack Hub enables, configures, and validates all the security features by default.

Azure Stack 허브는 통합 시스템으로 제공 되기 때문에 Azure Stack 허브 인프라의 보안 상태는 Microsoft에서 정의 합니다.Because Azure Stack Hub is delivered as an integrated system, the security posture of the Azure Stack Hub infrastructure is defined by Microsoft. Azure에서와 마찬가지로 테 넌 트는 테 넌 트 워크 로드의 보안 상태를 정의 해야 합니다.Just like in Azure, tenants are responsible for defining the security posture of their tenant workloads. 이 문서에서는 Azure Stack 허브 인프라의 보안 상태에 대 한 기본적인 정보를 제공 합니다.This document provides foundational knowledge on the security posture of the Azure Stack Hub infrastructure.

미사용 데이터 암호화Data at rest encryption

모든 Azure Stack 허브 인프라 및 테 넌 트 데이터는 BitLocker를 사용 하 여 미사용에 암호화 됩니다.All Azure Stack Hub infrastructure and tenant data are encrypted at rest using BitLocker. 이 암호화는 Azure Stack 허브 저장소 구성 요소의 도난 또는 도난 방지를 방지 합니다.This encryption protects against physical loss or theft of Azure Stack Hub storage components. 자세한 내용은 Azure Stack Hub의 미사용 데이터 암호화를 참조 하세요.For more information, see data at rest encryption in Azure Stack Hub.

전송 암호화의 데이터Data in transit encryption

Azure Stack 허브 인프라 구성 요소는 TLS 1.2로 암호화 된 채널을 사용 하 여 통신 합니다.The Azure Stack Hub infrastructure components communicate using channels encrypted with TLS 1.2. 암호화 인증서는 인프라에서 자체 관리 됩니다.Encryption certificates are self-managed by the infrastructure.

REST 끝점 또는 Azure Stack 허브 포털과 같은 모든 외부 인프라 끝점은 보안 통신용 TLS 1.2를 지원 합니다.All external infrastructure endpoints, like the REST endpoints or the Azure Stack Hub portal, support TLS 1.2 for secure communications. 타사 또는 엔터프라이즈 인증 기관에서 이러한 끝점에 대 한 암호화 인증서를 제공 해야 합니다.Encryption certificates, either from a third party or your enterprise Certificate Authority, must be provided for those endpoints.

이러한 외부 끝점에 대해 자체 서명 된 인증서를 사용할 수 있지만 Microsoft는 이러한 인증서를 사용 하는 것을 강력 하 게 권장 합니다.While self-signed certificates can be used for these external endpoints, Microsoft strongly advises against using them. Azure Stack Hub의 외부 끝점에서 TLS 1.2을 적용 하는 방법에 대 한 자세한 내용은 Azure Stack 허브 보안 제어 구성을 참조 하세요.For more information on how to enforce TLS 1.2 on the external endpoints of Azure Stack Hub, see Configure Azure Stack Hub security controls.

비밀 관리Secret management

Azure Stack 허브 인프라는 암호 및 인증서와 같은 수많은 암호를 사용 하 여 기능을 작동 합니다.Azure Stack Hub infrastructure uses a multitude of secrets, like passwords and certificates, to function. 내부 서비스 계정에 연결 된 대부분의 암호는 gMSA (그룹 관리 서비스 계정)이기 때문에, 내부 도메인 컨트롤러에서 직접 관리 하는 도메인 계정의 유형인 24 시간 마다 자동으로 회전 됩니다.Most of the passwords associated with the internal service accounts are automatically rotated every 24 hours because they're group Managed Service Accounts (gMSA), a type of domain account managed directly by the internal domain controller.

Azure Stack 허브 인프라는 모든 내부 인증서에 대해 4096 비트 RSA 키를 사용 합니다.Azure Stack Hub infrastructure uses 4096-bit RSA keys for all its internal certificates. 외부 끝점에도 동일한 키 길이 인증서를 사용할 수 있습니다.Same key-length certificates can also be used for the external endpoints. 비밀 및 인증서 회전에 대 한 자세한 내용은 Azure Stack 허브에서 비밀 회전을 참조 하세요.For more information on secrets and certificate rotation, please refer to Rotate secrets in Azure Stack Hub.

Windows Defender Application ControlWindows Defender Application Control

Azure Stack Hub에서는 최신 Windows Server 보안 기능을 사용합니다.Azure Stack Hub makes use of the latest Windows Server security features. 그 중 하나는 실행 파일 필터링을 제공 하 고 Azure Stack 허브 인프라 내에서 권한 있는 코드만 실행 되도록 하는 Windows Defender 응용 프로그램 제어 (이전에는 코드 무결성)입니다.One of them is Windows Defender Application Control (WDAC, formerly known as Code Integrity), which provides executables filtering and ensures that only authorized code runs within the Azure Stack Hub infrastructure.

승인 된 코드는 Microsoft 또는 OEM 파트너가 서명 합니다.Authorized code is signed by either Microsoft or the OEM partner. 서명 된 인증 코드는 Microsoft에서 정의한 정책에 지정 된 허용 되는 소프트웨어 목록에 포함 됩니다.The signed authorized code is included in the list of allowed software specified in a policy defined by Microsoft. 즉, Azure Stack 허브 인프라에서 실행 하도록 승인 된 소프트웨어만 실행할 수 있습니다.In other words, only software that has been approved to run in the Azure Stack Hub infrastructure can be executed. 권한 없는 코드를 실행하려는 시도는 차단되고 경고가 생성됩니다.Any attempt to execute unauthorized code is blocked and an alert is generated. Azure Stack Hub는 UMCI(사용자 모드 코드 무결성) 및 HVCI(하이퍼바이저 코드 무결성)를 모두 적용합니다.Azure Stack Hub enforces both User Mode Code Integrity (UMCI) and Hypervisor Code Integrity (HVCI).

또한 WDAC 정책은 타사 에이전트 또는 소프트웨어가 Azure Stack 허브 인프라에서 실행 되지 않도록 합니다.The WDAC policy also prevents third-party agents or software from running in the Azure Stack Hub infrastructure. WDAC에 대 한 자세한 내용은 Windows Defender 응용 프로그램 제어 및 코드 무결성의 가상화 기반 보호를 참조 하세요.For more information on WDAC, please refer to Windows Defender Application Control and virtualization-based protection of code integrity.

Credential GuardCredential Guard

Azure Stack 허브의 또 다른 Windows Server 보안 기능은 Windows Defender Credential Guard 이며,이는 해시 통과 및 티켓 전달 공격 으로부터 Azure Stack 허브 인프라 자격 증명을 보호 하는 데 사용 됩니다.Another Windows Server security feature in Azure Stack Hub is Windows Defender Credential Guard, which is used to protect Azure Stack Hub infrastructure credentials from Pass-the-Hash and Pass-the-Ticket attacks.

맬웨어 방지Antimalware

Azure Stack 허브의 모든 구성 요소 (Hyper-v 호스트 및 가상 컴퓨터)는 Windows Defender 바이러스 백신으로 보호 됩니다.Every component in Azure Stack Hub (both Hyper-V hosts and virtual machines) is protected with Windows Defender Antivirus.

연결 된 시나리오에서 바이러스 백신 정의 및 엔진 업데이트는 하루에 여러 번 적용 됩니다.In connected scenarios, antivirus definition and engine updates are applied multiple times a day. 연결 되지 않은 시나리오에서 맬웨어 방지 업데이트는 월별 Azure Stack 허브 업데이트의 일부로 적용 됩니다.In disconnected scenarios, antimalware updates are applied as part of monthly Azure Stack Hub updates. 연결 되지 않은 시나리오에서 Windows Defender의 정의에 대 한 업데이트를 자주 업데이트 해야 하는 경우 Azure Stack 허브가 Windows Defender 업데이트 가져오기를 지원 합니다.In case a more frequent update to the Windows Defender's definitions is required in disconnected scenarios, Azure Stack Hub also support importing Windows Defender updates. 자세한 내용은 Azure Stack Hub에서 Windows Defender 바이러스 백신 업데이트를 참조 하세요.For more information, see update Windows Defender Antivirus on Azure Stack Hub.

보안 부팅Secure Boot

Azure Stack 허브는 모든 Hyper-v 호스트 및 인프라 가상 컴퓨터에서 보안 부팅을 적용 합니다.Azure Stack Hub enforces Secure Boot on all the Hyper-V hosts and infrastructure virtual machines.

제약 된 관리 모델Constrained administration model

Azure Stack 허브의 관리는 각각 특정 용도의 세 가지 진입점을 통해 제어 됩니다.Administration in Azure Stack Hub is controlled through three entry points, each with a specific purpose:

  • 관리자 포털 은 일상적인 관리 작업을 위한 특정 시점 및 클릭 환경을 제공 합니다.The administrator portal provides a point-and-click experience for daily management operations.
  • Azure Resource Manager은 PowerShell 및 Azure CLI에서 사용 하는 REST API를 통해 관리자 포털의 모든 관리 작업을 노출 합니다.Azure Resource Manager exposes all the management operations of the administrator portal via a REST API, used by PowerShell and Azure CLI.
  • 특정 하위 수준 작업 (예: 데이터 센터 통합 또는 지원 시나리오)의 경우 Azure Stack 허브는 권한 있는 끝점이라는 PowerShell 끝점을 노출 합니다.For specific low-level operations (for example, datacenter integration or support scenarios), Azure Stack Hub exposes a PowerShell endpoint called privileged endpoint. 이 끝점은 허용 되는 cmdlet 집합만 노출 하 고 매우 감사 됩니다.This endpoint exposes only an allowed set of cmdlets and it's heavily audited.

네트워크 컨트롤Network controls

Azure Stack 허브 인프라에는 여러 계층의 네트워크 Access Control 목록 (ACL)이 제공 됩니다.Azure Stack Hub infrastructure comes with multiple layers of network Access Control List (ACL). Acl을 사용 하면 인프라 구성 요소에 대 한 무단 액세스를 방지 하 고 인프라 통신을 작동 하는 데 필요한 경로만 제한할 수 있습니다.The ACLs prevent unauthorized access to the infrastructure components and limit infrastructure communications to only the paths that are required for its functioning.

네트워크 Acl은 다음 세 가지 계층으로 적용 됩니다.Network ACLs are enforced in three layers:

  • 계층 1: 랙 스위치 상단Layer 1: Top of Rack switches
  • 계층 2: 소프트웨어 정의 네트워크Layer 2: Software Defined Network
  • 계층 3: 호스트 및 VM 운영 체제 방화벽Layer 3: Host and VM operating system firewalls

규정 준수Regulatory compliance

Azure Stack 허브는 제 3 자 독립적인 감사 회사의 공식 기능 평가를 통해 왔습니다.Azure Stack Hub has gone through a formal capability assessment by a third party-independent auditing firm. 따라서 Azure Stack Hub 인프라를 사용 하는 방법에 대 한 설명서를 사용 하 여 몇 가지 주요 규정 준수 표준에서 적용 가능한 컨트롤을 사용할 수 있습니다.As a result, documentation on how the Azure Stack Hub infrastructure meets the applicable controls from several major compliance standards is available. 표준에는 여러 담당자 관련 컨트롤과 프로세스 관련 컨트롤이 포함 되어 있으므로 설명서는 Azure Stack 허브의 인증을 받지 않습니다.The documentation isn't a certification of Azure Stack Hub because the standards include several personnel-related and process-related controls. 대신 고객이이 설명서를 사용 하 여 인증 프로세스를 바로 시작할 수 있습니다.Rather, customers can use this documentation to jump-start their certification process.

평가에는 다음 표준이 포함 됩니다.The assessments include the following standards:

  • PCI DSS 는 지불 카드 업계를 해결 합니다.PCI-DSS addresses the payment card industry.
  • CSA Cloud Control 행렬 은 FedRAMP 보통, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 등을 비롯 한 여러 표준에 걸친 포괄적인 매핑입니다.CSA Cloud Control Matrix is a comprehensive mapping across multiple standards, including FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, and others.
  • 정부 고객을 위한 FedRAMP 높음FedRAMP High for government customers.

준수 설명서는 Microsoft 서비스 신뢰 포털에서 찾을 수 있습니다.The compliance documentation can be found on the Microsoft Service Trust Portal. 규정 준수 가이드는 보호 된 리소스 이며 Azure 클라우드 서비스 자격 증명을 사용 하 여 로그인 해야 합니다.The compliance guides are a protected resource and require you to sign in with your Azure cloud service credentials.

다음 단계Next steps