Windows Server에서 Hyper-V 보안 계획

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

Hyper-V 호스트 운영 체제, 가상 머신, 구성 파일 및 가상 머신 데이터를 보호합니다. Hyper-V 환경을 보호하는 데 도움이 되도록 다음 권장 사례 목록을 검사 목록으로 사용합니다.

Hyper-V 호스트 보호

  • 호스트 OS를 안전하게 유지합니다.

    • 관리 운영 체제에 필요한 최소 Windows Server 설치 옵션을 사용하여 공격 노출 영역을 최소화합니다. 자세한 내용은 Windows Server 기술 콘텐츠 라이브러리의 설치 옵션 섹션을 참조하세요. Windows 10의 Hyper-V에서 프로덕션 워크로드를 실행하는 것은 권장되지 않습니다.
    • 최신 보안 업데이트를 사용하여 Hyper-V 호스트 운영 체제, 펌웨어 및 디바이스 드라이버를 최신 상태로 유지합니다. 공급업체의 권장 사항을 확인하여 펌웨어 및 드라이버를 업데이트합니다.
    • Hyper-V 호스트를 워크스테이션으로 사용하거나 불필요한 소프트웨어를 설치하지 마세요.
    • Hyper-V 호스트를 원격으로 관리합니다. Hyper-V 호스트를 로컬로 관리해야 하는 경우 Credential Guard를 사용합니다. 자세한 내용은 Credential Guard를 사용하여 파생된 do기본 자격 증명 보호를 참조하세요.
    • 코드 무결성 정책을 사용하도록 설정합니다. 가상화 기반 보안 보호 코드 무결성 서비스를 사용합니다. 자세한 내용은 Device Guard 배포 가이드를 참조 하세요.

  • 보안 네트워크를 사용합니다.

    • 물리적 Hyper-V 컴퓨터에 대한 전용 네트워크 어댑터와 함께 별도의 네트워크를 사용합니다.
    • 프라이빗 또는 보안 네트워크를 사용하여 VM 구성 및 가상 하드 디스크 파일에 액세스합니다.
    • 실시간 마이그레이션 트래픽에 프라이빗/전용 네트워크를 사용합니다. 이 네트워크에서 IPSec를 사용하도록 설정하여 암호화를 사용하고 마이그레이션하는 동안 네트워크를 통해 VM의 데이터를 보호하는 것이 좋습니다. 자세한 내용은 장애 조치(failover) 클러스터링 없이 실시간 마이그레이션을 위한 호스트 설정을 참조 하세요.

  • 스토리지 마이그레이션 트래픽을 보호합니다.

    SMB 데이터의 엔드투엔드 암호화 및 신뢰할 수 없는 네트워크에서 데이터 보호 변조 또는 도청에 SMB 3.0을 사용합니다. 프라이빗 네트워크를 사용하여 SMB 공유 콘텐츠에 액세스하여 중간에서 맨 인 더 미들 공격을 방지합니다. 자세한 내용은 SMB 보안 향상 기능을 참조 하세요.

  • 호스트를 보호된 패브릭의 일부로 구성합니다.

    자세한 내용은 보호된 패브릭을 참조 하세요.

  • 디바이스를 보호합니다.

    가상 머신 리소스 파일을 보관하는 스토리지 디바이스를 보호합니다.

  • 하드 드라이브를 보호합니다.

    BitLocker 드라이브 암호화를 사용하여 리소스를 보호합니다.

  • Hyper-V 호스트 운영 체제를 강화합니다.

    Windows Server 보안 기준에 설명된 기준 보안 설정 권장 사항을 사용합니다.

  • 적절한 권한을 부여합니다.

    • Hyper-V 호스트를 관리해야 하는 사용자를 Hyper-V 관리자 그룹에 추가합니다.
    • Hyper-V 호스트 운영 체제에 대한 가상 머신 관리자 권한을 부여하지 마세요.

  • Hyper-V에 대한 바이러스 백신 제외 및 옵션을 구성합니다.

    Windows Defender에는 이미 자동 제외가 구성되어 있습니다 . 제외에 대한 자세한 내용은 Hyper-V 호스트에 대한 권장 바이러스 백신 제외를 참조 하세요.

  • 알 수 없는 VHD를 탑재하지 마세요. 이렇게 하면 호스트를 파일 시스템 수준 공격에 노출할 수 있습니다.

  • 필요한 경우가 아니면 프로덕션 환경에서 중첩을 사용하도록 설정하지 마세요.

    중첩을 사용하도록 설정하는 경우 가상 머신에서 지원되지 않는 하이퍼바이저를 실행하지 마세요.

더 안전한 환경의 경우:

가상 머신 보안

  • 지원되는 게스트 운영 체제에 대한 2세대 가상 머신을 만듭니다.

    자세한 내용은 2세대 보안 설정을 참조 하세요.

  • 보안 부팅을 사용하도록 설정합니다.

    자세한 내용은 2세대 보안 설정을 참조 하세요.

  • 게스트 OS를 안전하게 유지합니다.

    • 프로덕션 환경에서 가상 머신을 켜기 전에 최신 보안 업데이트를 설치합니다.
    • 필요한 지원되는 게스트 운영 체제에 대한 통합 서비스를 설치하고 최신 상태로 유지합니다. 지원되는 Windows 버전을 실행하는 게스트에 대한 통합 서비스 업데이트는 Windows 업데이트 통해 사용할 수 있습니다.
    • 수행하는 역할에 따라 각 가상 머신에서 실행되는 운영 체제를 강화합니다. Windows 보안 기준에 설명된 기준 보안 설정 권장 사항을 사용합니다.

  • 보안 네트워크를 사용합니다.

    가상 네트워크 어댑터가 올바른 가상 스위치에 연결되고 적절한 보안 설정 및 제한이 적용되었는지 확인합니다.

  • 가상 하드 디스크 및 스냅샷 파일을 안전한 위치에 저장합니다.

  • 디바이스를 보호합니다.

    가상 머신에 필요한 디바이스만 구성합니다. 특정 시나리오에 필요한 경우가 아니면 프로덕션 환경에서 개별 디바이스 할당을 사용하도록 설정하지 마세요. 사용하도록 설정하는 경우 신뢰할 수 있는 공급업체의 디바이스만 노출해야 합니다.

  • 가상 머신 역할에 따라 가상 머신 내에서 바이러스 백신, 방화벽 및 침입 검색 소프트웨어를 적절하게 구성합니다.

  • Windows 10 또는 Windows Server 2016 이상을 실행하는 게스트에 대해 가상화 기반 보안을 사용하도록 설정합니다.

    자세한 내용은 Device Guard 배포 가이드를 참조하세요.

  • 특정 워크로드에 필요한 경우에만 개별 디바이스 할당을 사용하도록 설정합니다.

    물리적 디바이스를 통과하는 특성상 디바이스 제조업체와 협력하여 안전한 환경에서 사용해야 하는지 파악합니다.

더 안전한 환경의 경우:

  • 보호가 활성화된 가상 머신을 배포하고 보호된 패브릭에 배포합니다.

    자세한 내용은 2세대 보안 설정보호된 패브릭을 참조하세요.