마이그레이션된 가상 머신 보안

완료됨

클라우드로의 워크로드 마이그레이션을 완료했습니다. 이 파일럿에는 업무상 중요한 것으로 간주되지 않는 이전 애플리케이션으로 구성된 소수의 VM이 포함됩니다. 마이그레이션 프로세스의 작동 방식에 대해 자세히 살펴봤으므로 이제 더 많은 복잡한 워크로드를 Azure로 이동할 준비가 되었습니다.

워크로드를 클라우드로 이동한다고 해서 운영 체제, 애플리케이션 및 데이터의 보안에 대한 모든 책임이 면제되는 것은 아닙니다. Azure 플랫폼은 보안 인프라를 제공하지만 공유 보안 책임 모델이 있습니다. 관리, 애플리케이션 및 네트워크 계층에서 Azure 환경이 안전하게 보호 되는지 확인해야 합니다.

환경 보호는 지속적인 활동이므로 마이그레이션 직후 특정 조치를 취하여 워크로드를 보호하고 안전하게 유지해야 합니다.

이 단원에서는 마이그레이션 직후 새로 마이그레이션된 VM을 보호하는 데 사용할 수 있는 기술에 대해 알아봅니다. 고객의 데이터와 자산을 보호하기 위해 노력하면서 시간 경과에 따라 워크로드 및 애플리케이션에 대한 보안 제어를 계속 세부적으로 조정합니다.

가상 머신 복원력 개선

고객은 애플리케이션을 필요할 때 사용할 수 있고 해당 데이터가 안전하게 보호되기를 기대합니다. 사이버 위협이 증가하고 계획되지 않은 애플리케이션 가동 중지 시간이 발생하여 사용자 환경을 손상시킬 수 있습니다.

사용자는 다양한 이유로 클라우드 기반 환경에서 애플리케이션 가동 중지 시간을 경험할 수 있습니다. 백업 및 복구 솔루션을 구현하여 마이그레이션된 VM에 충분한 수준의 복원력이 있는지 확인합니다.

첫 번째 단계로 Azure Backup 서비스를 사용하는 것이 좋습니다. Azure Backup는 Azure에 기본 제공되며 추가 인프라가 필요하지 않습니다.

Azure Backup를 사용하면 전체 Windows 또는 Linux VM, 파일, 폴더 및 SQL 데이터베이스의 정기 백업을 예약할 수 있습니다. 더 복잡한 시나리오의 경우 복원력을 개선하기 위한 추가 옵션을 고려하는 것이 좋습니다. 그러나 Azure Backup를 통해 마이그레이션된 VM에 대한 보안 제어를 즉시 적용할 수 있습니다.

솔루션을 더욱 강화하려면 권한 있는 사용자만 중요한 백업 작업을 수행할 수 있도록 MFA(다단계 인증)를 설정합니다.

가상 머신에 대한 인바운드 액세스 제한

이제 워크로드가 클라우드에 있으므로 Azure VM은 포트 3389와 같은 개방형 관리 포트를 통한 보안 공격에 취약해질 수 있습니다. Azure IP 주소는 잘 알려져 있으므로 해커는 개방형 3389 포트를 공격하기 위해 지속적으로 프로브합니다. 공격자가 개방형 관리 포트를 통해 VM에 대한 액세스 권한을 얻을 수 있는 경우 사용자 환경으로 침입하는 발판을 마련할 수 있습니다.

개방형 포트를 통한 공격의 위험을 줄이기 위해 VM에 대한 인바운드 액세스를 제한할 수 있습니다. Azure Security Center를 사용하여 JIT(Just-In-Time) 가상 머신 액세스를 사용 설정합니다. JIT는 NSG(네트워크 보안 그룹) 및 수신 규칙을 사용하여 특정 포트가 개방되는 시간을 제한합니다.

개별 VM에서 JIT 정책을 구성합니다. VM에서 직접 또는 프로그래밍 방식으로 Security Center에서 이 작업을 수행할 수 있습니다. 정책은 사용자가 VM에 연결하는 방법에 대한 규칙을 지정합니다.

사용자에게 VM에 대한 권한이 있는 경우 액세스 요청이 승인되고 Security Center는 정책에 지정된 기간 동안 선택된 포트에 대한 인바운드 트래픽을 허용하도록 NSG를 구성합니다. 시간이 만료되면 Security Center는 방화벽 및 NSG 규칙을 이전 상태로 복원합니다.

디스크 암호화

데이터 손실을 초래하는 보안 위반은 심각한 결과를 야기할 수 있으며 일반적으로 위반이 발생하는 회사는 중대한 법적 및 재정적 처벌을 받게 됩니다. 본질적으로 HIPPA 및 PCI와 같은 주요 규정 준수 이니셔티브에는 강력한 데이터 암호화 요구 사항이 있습니다.

데이터 암호화는 하드 드라이브에 대한 무단 액세스 또는 하드 드라이브의 제거를 방지하여 분실 또는 도난으로부터 디바이스를 보호합니다. 공격자가 다른 방법으로 액세스하려고 시도하는 경우에도 내부 파일을 보호합니다.

Azure VM을 보호하려면 Azure Disk Encryption을 사용하여 Windows 및 Linux VM 디스크를 암호화합니다. 디스크 암호화는 Windows용 BitLocker와 Linux용 DM-Crypt를 활용하여 OS 및 데이터 디스크에 볼륨 암호화를 제공합니다.

Azure에서 생성한 암호화 키를 사용하거나 Azure Key Vault에서 보호되는 사용자 고유의 암호화 키를 제공할 수 있습니다. Azure Disk Encryption을 사용하면 VM 시작 동안 미사용(디스크) IaaS(infrastructure as a Service) VM 데이터가 보호됩니다.

Azure Security Center는 Azure 퍼블릭 클라우드를 사용하여 가상 머신 및 기타 클라우드 컴퓨팅 리소스의 보안을 모니터링하고 관리하기 위한 도구 세트를 제공합니다. Azure Security Center를 사용하는 경우 암호화되지 않은 VM이 있으면 경고하고 이를 암호화하도록 권장합니다.

가상 머신 블레이드의 디스크 암호화 적용을 보여주는 Azure Security Center 스크린샷. 스크린샷은 현재 암호화되어 있지 않기 때문에 높은 심각도 경고가 있는 두 대의 가상 머신을 보여줍니다. 이러한 머신을 암호화하는 것이 좋습니다.

지식 점검

1.

다음 중 개방형 관리 포트를 통한 보안 공격에 대한 Azure VM의 취약성을 줄이는 데 도움이 되는 작업은 무엇인가요?

2.

다음 중 Azure Disk Encryption의 기능은 무엇인가요?