Azure Security Center에 Azure Arc 사용 서버 연결Connect Azure Arc enabled servers to Azure Security Center

이 문서에서는 Azure Security Center (Azure Security Center)에 Azure Arc 사용 서버를 등록 하는 방법에 대 한 지침을 제공 합니다.This article provides guidance on how to onboard an Azure Arc enabled server to Azure Security Center (Azure Security Center). 이를 통해 보안 관련 구성 및 이벤트 로그 수집을 시작할 수 있으므로 작업을 권장 하 고 전반적인 Azure 보안 상태를 개선할 수 있습니다.This helps you start collecting security-related configurations and event logs so you can recommend actions and improve your overall Azure security posture.

다음 절차에서는 Azure 구독에서 Azure Security Center 표준 계층을 사용 하도록 설정 하 고 구성 합니다.In the following procedures, you enable and configure Azure Security Center Standard tier on your Azure subscription. 이는 ATP (advanced threat protection) 및 검색 기능을 제공 합니다.This provides advanced threat protection (ATP) and detection capabilities. 프로세스에는 다음이 포함 됩니다.The process includes:

  • 분석을 위해 로그 및 이벤트를 집계 하는 Log Analytics 작업 영역을 설정 합니다.Setup a Log Analytics workspace where logs and events are aggregated for analysis.
  • Security Center의 기본 보안 정책을 할당 합니다.Assign Security Center's default security policies.
  • Azure Security Center 권장 사항을 검토 합니다.Review Azure Security Center's recommendations.
  • 빠른 수정 재구성을 사용 하 여 Azure Arc 사용 서버에 권장 구성을 적용 합니다.Apply recommended configurations on Azure Arc enabled servers using the Quick Fix remediations.

중요

이 문서의 절차에서는 이미 Vm을 배포 했거나 온-프레미스 또는 다른 클라우드에서 실행 중인 서버를 Azure Arc에 연결 했다고 가정 합니다. 그렇지 않은 경우 다음 정보를 통해이를 자동화할 수 있습니다.The procedures in this article assumes you've already deployed VMs, or servers that are running on-premises or on other clouds, and you have connected them to Azure Arc. If you haven't, the following information can help you automate this.

사전 요구 사항Prerequisites

  1. Azure Arc Jumpstart 리포지토리를 복제 합니다.Clone the Azure Arc Jumpstart repository.

    git clone https://github.com/microsoft/azure_arc
    
  2. 앞서 언급 했 듯이이 가이드는 이미 Vm 또는 운영 체제 미 설치 서버를 Azure Arc에 배포 하 고 연결 했던 지점부터 시작 됩니다. 이 시나리오에서는 Azure Arc에 이미 연결 되어 있으며 Azure에서 리소스로 표시 되는 GCP (Google Cloud Platform) 인스턴스를 사용 합니다.As mentioned, this guide starts at the point where you already deployed and connected VMs or bare-metal servers to Azure Arc. For this scenario, we use a Google Cloud Platform (GCP) instance that has been already connected to Azure Arc and is visible as a resource in Azure. 다음 스크린샷에 표시 된 것과 같습니다.As shown in the following screenshots:

    Azure Portal에서 Azure Arc 사용 서버에 대 한 스크린샷

    Azure Portal에서 Azure Arc 사용 서버에 대 한 세부 정보의 스크린샷

  3. Azure CLI를 설치 하거나 업데이트합니다.Install or update Azure CLI. Azure CLI 버전 2.7 이상을 실행 해야 합니다.Azure CLI should be running version 2.7 or later. az --version현재 설치 된 버전을 확인 하는 데 사용 합니다.Use az --version to check your current installed version.

  4. Azure 서비스 주체를 만듭니다.Create an Azure service principal.

    Azure Arc에 VM 또는 운영 체제 미 설치 서버를 연결 하려면 참가자 역할을 사용 하 여 할당 된 Azure 서비스 주체가 필요 합니다.To connect a VM or bare-metal server to Azure Arc, Azure service principal assigned with the Contributor role is required. 이를 만들려면 Azure 계정에 로그인 하 고 다음 명령을 실행 합니다.To create it, sign in to your Azure account and run the following command. Azure Cloud Shell에서이 명령을 실행할 수도 있습니다.You can also run this command in Azure Cloud Shell.

    az login
    az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor
    

    다음은 그 예입니다. For example:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor
    

    출력은 다음과 같습니다.Output should look like this:

    {
      "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "displayName": "AzureArcServers",
      "name": "http://AzureArcServers",
      "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
    }
    

참고

서비스 주체를 특정 Azure 구독 및 리소스 그룹으로 범위를 지정 하는 것이 좋습니다.We highly recommend that you scope the service principal to a specific Azure subscription and resource group.

Azure Security Center 온보드Onboard Azure Security Center

  1. Azure Security Center에 의해 수집 된 데이터는 Log Analytics 작업 영역에 저장 됩니다.Data collected by Azure Security Center is stored in a Log Analytics workspace. Azure Security Center에 의해 생성 된 기본값 또는 사용자가 만든 사용자 지정 항목을 사용할 수 있습니다.You can either use the default one created by Azure Security Center or a custom one created by you. 전용 작업 영역을 만들려면 Azure Resource Manager 템플릿 (ARM 템플릿) 매개 변수 파일을 편집 하 여 배포를 자동화할 수 있습니다. 작업 영역에 대 한 이름 및 위치를 제공 합니다.If you want to create a dedicated workspace, you can automate the deployment by editing the Azure Resource Manager template (ARM template) parameters file, provide a name and location for your workspace:

    ARM 템플릿의 스크린샷

  2. ARM 템플릿을 배포 하려면 배포 폴더로 이동 하 고 다음 명령을 실행 합니다.To deploy the ARM template, navigate to the deployment folder and run the following command:

    az deployment group create --resource-group <Name of the Azure resource group> \
    --template-file <The `log_analytics-template.json` template file location> \
    --parameters <The `log_analytics-template.parameters.json` template file location>
    
  3. 사용자 정의 작업 영역을 사용 하는 경우 기본 작업 영역 대신 사용 하도록 Security Center 지시 해야 합니다. 다음 명령을 사용 합니다.If you are going for an user-defined workspace, you should instruct Security Center to use it instead of the default one, use the following command:

    az security workspace-setting create --name default \
    --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
    
  4. Azure Security Center 계층을 선택 합니다.Select the Azure Security Center tier. 무료 계층은 모든 Azure 구독에서 기본적으로 사용 하도록 설정 되며 지속적인 보안 평가 및 실행 가능한 보안 권장 사항을 제공 합니다.The Free tier is enabled on all your Azure subscriptions by default and will provide continuous security assessment and actionable security recommendations. 이 가이드에서는 하이브리드 클라우드 워크 로드에서 통합 보안 관리 및 위협 방지 기능을 제공 하는 이러한 기능을 확장 하는 Azure Virtual Machines에 대 한 표준 계층을 사용 합니다.In this guide, you use the Standard tier for Azure Virtual Machines that extends these capabilities providing unified security management and threat protection across your hybrid cloud workloads. Vm에 대 한 Azure Security Center 표준 계층을 사용 하도록 설정 하려면 다음 명령을 실행 합니다.To enable the Standard tier of Azure Security Center for VMs, run the following command:

    az security pricing create -n VirtualMachines --tier 'standard'
    
  5. 기본 Security Center 정책 이니셔티브를 할당 합니다.Assign the default Security Center policy initiative. Azure Security Center는 정책을 기반으로 보안 권장 사항을 만듭니다.Azure Security Center makes its security recommendations based on policies. 정의 ID를 사용 하 여 Security Center 정책을 그룹화 하는 특정 이니셔티브가 있습니다 1f3afdf9-d0c9-4c3d-847f-89da613e70a8 .There is an specific initiative that groups Security Center policies with the definition ID 1f3afdf9-d0c9-4c3d-847f-89da613e70a8. 다음 명령은 Azure Security Center 이니셔티브를 구독에 할당 합니다.The following command will assign the Azure Security Center initiative to your subscription.

    az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
    --scope '/subscriptions/<Your subscription ID>' \
    --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
    

Azure Arc 및 Azure Security Center 통합Azure Arc and Azure Security Center integration

Azure Security Center 성공적으로 등록 한 후에는 Azure Arc 사용 서버를 포함 하 여 리소스를 보호 하는 데 도움이 되는 권장 사항을 얻을 수 있습니다.After you successfully onboard Azure Security Center, you'll get recommendations to help you protect your resources, including your Azure Arc enabled servers. Azure Security Center는 Azure 리소스의 보안 상태를 주기적으로 분석 하 여 잠재적인 보안 취약성을 식별 합니다.Azure Security Center will periodically analyze the security state of your Azure resources to identify potential security vulnerabilities.

Vm & 서버 아래의 계산 & 앱 섹션에서 Azure Security Center azure Vm, azure 클래식 Vm, 서버 및 azure Arc 컴퓨터를 포함 하 여 vm 및 컴퓨터에 대해 검색 된 모든 보안 권장 사항에 대 한 개요를 제공 합니다.In the Compute & Apps section under VM & Servers, Azure Security Center provides an overview of all the discovered security recommendations for your VMs and computers, including Azure VMs, Azure classic VMs, servers, and Azure Arc machines.

Azure Security Center에서 * * Compute & Apps * *의 스크린샷

Azure Arc 사용 서버에서 Log Analytics 에이전트를 설치 하는 것이 좋습니다 Azure Security Center.On the Azure Arc enabled servers, Azure Security Center recommends installing the Log Analytics agent. 각 권장 사항에는 다음 항목도 포함 됩니다.Each recommendation also includes:

  • 권장 사항에 대 한 간단한 설명입니다.A short description of the recommendation.
  • 보안 점수에 영향을 줍니다 .이 경우에는 높은 상태입니다.A secure score impact, in this case, with a status of High.
  • 권장 사항을 구현 하기 위해 수행할 수정 단계입니다.The remediation steps to carry out in order to implement the recommendation.

다음 스크린샷에서와 같이 특정 권장 사항에 대해서는 여러 리소스에 대 한 권장 사항을 빠르게 수정할 수 있는 빠른 수정 도 제공 됩니다.For specific recommendations, like in the following screenshot, you will also get a Quick Fix that enables you to quickly remediate a recommendation on multiple resources.

Azure Arc 사용 서버에 대 한 Azure Security Center 권장 사항의 스크린샷

Log Analytics를 설치 하는 Azure Security Center 권장 사항의 스크린샷

다음 수정 퀵 픽스 는 ARM 템플릿을 사용 하 여 Azure Arc 컴퓨터에 Microsoft Monitoring Agent 확장을 배포 합니다.The following remediation Quick Fix is using an ARM template to deploy the Microsoft Monitoring Agent extension on the Azure Arc machine.

Azure Security Center * * 빠른 수정 * * ARM 템플릿의 스크린샷

Azure Security Center에 사용 되는 Log Analytics 작업 영역을 선택 하 고 1 리소스 재구성 을 선택 하 여 AZURE SECURITY CENTER 대시보드에서 ARM 템플릿으로 재구성을 트리거할 수 있습니다.You can trigger the remediation with the ARM template from the Azure Security Center dashboard, by selecting the Log Analytics workspace used for Azure Security Center and then choosing Remediate 1 resource.

Azure Security Center에서 수정 단계를 트리거하는 방법의 스크린샷

Azure Arc 사용 서버에 권장 사항을 적용 한 후에는 리소스가 정상으로 표시 됩니다.After you apply the recommendation on the Azure Arc enabled server, the resource will be marked as healthy.

정상적인 Azure Arc 사용 서버에 대 한 스크린샷

환경 정리Clean up your environment

다음 단계를 완료 하 여 환경을 정리 합니다.Complete the following steps to clean up your environment.

  1. 각 가이드의 해체 지침에 따라 각 환경에서 가상 컴퓨터를 제거 합니다.Remove the virtual machines from each environment by following the teardown instructions from each guide.

  2. Azure CLI에서 다음 스크립트를 실행 하 여 Log Analytics 작업 영역을 제거 합니다.Remove the Log Analytics workspace by executing the following script in Azure CLI. Log Analytics 작업 영역을 만들 때 사용한 작업 영역 이름을 제공 합니다.Provide the workspace name you used when creating the Log Analytics workspace.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes