Azure Stack HCI 버전 23H2에 대한 보안 기본값 관리
적용 대상: Azure Stack HCI, 버전 23H2
이 문서에서는 Azure Stack HCI 클러스터에 대한 기본 보안 설정을 관리하는 방법을 설명합니다. 디바이스가 알려진 양호한 상태로 시작되도록 배포 중에 정의된 드리프트 제어 및 보호된 보안 설정을 수정할 수도 있습니다.
사전 요구 사항
시작하기 전에 Azure Stack HCI, Azure에 배포, 등록 및 연결된 버전 23H2 시스템에 액세스할 수 있는지 확인합니다.
Azure Portal 보안 기본 설정 보기
Azure Portal 보안 기본 설정을 보려면 MCSB 이니셔티브를 적용했는지 확인합니다. 자세한 내용은 Microsoft Cloud Security Benchmark 이니셔티브 적용을 참조하세요.
보안 기본 설정을 사용하여 클러스터의 클러스터 보안, 드리프트 제어 및 보안 코어 서버 설정을 관리할 수 있습니다.
데이터 보호네트워크 보호> 탭에서 SMB 서명 상태 봅니다. SMB 서명을 사용하면 Azure Stack HCI 시스템과 다른 시스템 간에 SMB 트래픽에 디지털 서명할 수 있습니다.
Azure Portal 보안 기준 준수 보기
클라우드용 Microsoft Defender Azure Stack HCI 시스템을 등록하거나 기본 제공 정책을 할당한 후 서버에 대한 보고서가 생성됩니다. 이 시점에서 Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 합니다. Azure Stack HCI 서버와 비교되는 규칙의 전체 목록은 Windows 보안 기준을 참조하세요.
Azure Stack HCI 서버의 경우 보안 코어에 대한 모든 하드웨어 요구 사항이 충족되면 준수 점수는 288점 만점에 281점입니다. 이 점수는 288개 규칙 중 281개 규칙이 준수됨을 나타냅니다.
다음 표에서는 규정을 준수하지 않는 규칙과 현재 간격의 근거를 설명합니다.
| 규칙 이름 | 예상 | Actual | 논리 | 의견 |
|---|---|---|---|---|
| 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트 | 예상: | 실제: | 연산자: NOTEQUALS |
드리프트 컨트롤이 없는 이 값을 정의해야 합니다. |
| 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목 | 예상: | 실제: | 연산자: NOTEQUALS |
드리프트 컨트롤이 없는 이 값을 정의해야 합니다. |
| 최소 암호 길이 | 예상 날짜: 14 | 실제: 0 | 연산자: GREATEROREQUAL |
organization 정책과 일치하는 드리프트 컨트롤이 없는 이 값을 정의해야 합니다. |
| 인터넷에서 디바이스 메타데이터 검색 금지 | 예상 날짜: 1 | 실제: (null) | 연산자: EQUALS |
이 컨트롤은 Azure Stack HCI에 적용되지 않습니다. |
| 사용자와 앱에서 위험한 웹사이트에 액세스하지 못하도록 방지 | 예상 날짜: 1 | 실제: (null) | 연산자: EQUALS |
이 컨트롤은 기본적으로 사용하도록 설정되지 않은 Windows Defender 보호의 일부입니다. 사용하도록 설정할지 여부를 평가할 수 있습니다. |
| 강화된 UNC 경로 - NETLOGON | 예상: RequireMutualAuthentication=1 RequireIntegrity=1 |
실제: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
연산자: EQUALS |
Azure Stack HCI는 더 제한적입니다. 이 규칙은 무시해도 됩니다. |
| 강화된 UNC 경로 - SYSVOL | 예상: RequireMutualAuthentication=1 RequireIntegrity=1 |
실제: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
연산자: EQUALS |
Azure Stack HCI는 더 제한적입니다. 이 규칙은 무시해도 됩니다. |
PowerShell을 사용하여 보안 기본값 관리
드리프트 보호를 사용하도록 설정하면 보호되지 않는 보안 설정만 수정할 수 있습니다. 기준을 형성하는 보호된 보안 설정을 수정하려면 먼저 드리프트 보호를 사용하지 않도록 설정해야 합니다. 보안 설정의 전체 목록을 보고 다운로드하려면 SecurityBaseline을 참조하세요.
보안 기본값 수정
초기 보안 기준부터 시작한 다음 배포 중에 정의된 드리프트 제어 및 보호된 보안 설정을 수정합니다.
드리프트 컨트롤 사용
드리프트 컨트롤을 사용하도록 설정하려면 다음 단계를 사용합니다.
Azure Stack HCI 노드에 연결합니다.
다음 cmdlet을 실행합니다.
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- 로컬 - 로컬 노드에만 영향을 줍니다.
- 클러스터 - 오케스트레이터를 사용하여 클러스터의 모든 노드에 영향을 줍니다.
드리프트 컨트롤 사용 안 함
드리프트 컨트롤을 사용하지 않도록 설정하려면 다음 단계를 사용합니다.
Azure Stack HCI 노드에 연결합니다.
다음 cmdlet을 실행합니다.
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- 로컬 - 로컬 노드에만 영향을 줍니다.
- 클러스터 - 오케스트레이터를 사용하여 클러스터의 모든 노드에 영향을 줍니다.
배포 중 보안 설정 구성
배포의 일부로 클러스터의 보안 기준을 구성하는 드리프트 제어 및 기타 보안 설정을 수정할 수 있습니다.
다음 표에서는 배포 중에 Azure Stack HCI 클러스터에서 구성할 수 있는 보안 설정에 대해 설명합니다.
| 기능 영역 | 기능 | Description | 드리프트 제어를 지원합니까? |
|---|---|---|---|
| 거버넌스 | 보안 기준 | 각 서버에서 보안 기본값을 유지 관리합니다. 변경으로부터 보호하는 데 도움이 됩니다. | Yes |
| 자격 증명 보호 | Windows Defender Credential Guard | 가상화 기반 보안을 사용하여 자격 증명 도난 공격으로부터 비밀을 격리합니다. | Yes |
| 애플리케이션 제어 | Windows Defender 애플리케이션 제어 | 각 서버에서 직접 실행할 수 있는 드라이버 및 앱을 제어합니다. | No |
| 미사용 데이터 암호화 | OS 부팅 볼륨용 BitLocker | 각 서버에서 OS 시작 볼륨을 암호화합니다. | No |
| 미사용 데이터 암호화 | 데이터 볼륨에 대한 BitLocker | 이 클러스터의 CSV(클러스터 공유 볼륨)를 암호화합니다. | No |
| 전송 중인 데이터 보호 | 외부 SMB 트래픽에 대한 서명 | 이 시스템과 다른 시스템 간에 SMB 트래픽을 서명하여 릴레이 공격을 방지합니다. | Yes |
| 전송 중인 데이터 보호 | 클러스터 내 트래픽에 대한 SMB 암호화 | 클러스터의 서버 간 트래픽을 암호화합니다(스토리지 네트워크). | No |
배포 후 보안 설정 수정
배포가 완료되면 PowerShell을 사용하여 드리프트 제어를 유지하면서 보안 설정을 수정할 수 있습니다. 일부 기능을 적용하려면 다시 부팅해야 합니다.
PowerShell cmdlet 속성
다음 cmdlet 속성은 AzureStackOSConfigAgent 모듈에 대한 것입니다. 모듈은 배포 중에 설치됩니다.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | 클러스터>- 로컬 - 로컬 노드에서 부울 값(true/False)을 제공합니다. 일반 원격 PowerShell 세션에서 실행할 수 있습니다.
- PerNode - 노드당 부울 값(true/False)을 제공합니다.
- 보고서 - RDP(원격 데스크톱 프로토콜) 연결을 사용하여 CredSSP 또는 Azure Stack HCI 서버가 필요합니다.
- AllNodes – 노드 간에 계산된 부울 값(true/False)을 제공합니다.
- 클러스터 – ECE 저장소에서 부울 값을 제공합니다. 오케스트레이터와 상호 작용하고 클러스터의 모든 노드에 작동합니다.
Enable-AzsSecurity-Scope <Local | 클러스터>Disable-AzsSecurity-Scope <Local | 클러스터>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | Vbs>
- Credential Guard
- 드리프트 컨트롤
- VBS(가상화 기반 보안) - enable 명령만 지원합니다.
- DRTM(측정을 위한 동적 신뢰 루트)
- HVCI(코드 무결성인 경우 하이퍼바이저 적용)
- 사이드 채널 완화
- SMB 암호화
- SMB 서명
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | Vbs>
다음 표에서는 지원되는 보안 기능, 드리프트 제어 지원 여부 및 기능을 구현하기 위해 다시 부팅이 필요한지 여부를 설명합니다.
| Name | 기능 | 드리프트 컨트롤 지원 | 다시 부팅 필요 |
|---|---|---|---|
| 사용 |
VBS(가상화 기반 보안) | Yes | Yes |
| 사용 사용 안 함 |
DRTM(Dynamic Root of Trust for Measurement) | Yes | Yes |
| 사용 사용 안 함 |
HVCI(하이퍼바이저로 보호된 코드 무결성) | Yes | Yes |
| 사용 사용 안 함 |
사이드 채널 완화 | Yes | Yes |
| 사용 사용 안 함 |
SMB 서명 | Yes | Yes |
| 사용 사용 안 함 |
SMB 클러스터 암호화 | 아니요, 클러스터 설정 | 아니요 |
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기