Azure Stack HCI 버전 23H2의 보안 기본값 관리
적용 대상: Azure Stack HCI, 버전 23H2
이 문서에서는 Azure Stack HCI 클러스터에 대한 기본 보안 설정을 관리하는 방법을 설명합니다. 배포 중에 정의된 드리프트 제어 및 보호된 보안 설정을 수정하여 디바이스가 알려진 양호한 상태로 시작되도록 할 수도 있습니다.
필수 조건
시작하기 전에 Azure Stack HCI, 배포, 등록 및 Azure에 연결된 버전 23H2 시스템에 액세스할 수 있는지 확인합니다.
Azure Portal에서 보안 기본 설정 보기
Azure Portal에서 보안 기본 설정을 보려면 MCSB 이니셔티브를 적용했는지 확인합니다. 자세한 내용은 Microsoft Cloud Security Benchmark 적용 이니셔티브를 참조 하세요.
보안 기본 설정을 사용하여 클러스터의 클러스터 보안, 드리프트 제어 및 보안 코어 서버 설정을 관리할 수 있습니다.
데이터 보호 네트워크 보호> 탭에서 SMB 서명 상태를 봅니다. SMB 서명을 사용하면 Azure Stack HCI 시스템과 다른 시스템 간의 SMB 트래픽에 디지털 서명할 수 있습니다.
Azure Portal에서 보안 기준 준수 보기
클라우드용 Microsoft Defender 사용하여 Azure Stack HCI 시스템을 등록하거나 기본 제공 정책 Windows 머신이 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 하는 정책을 할당하면 규정 준수 보고서가 생성됩니다. Azure Stack HCI 서버와 비교되는 규칙의 전체 목록은 Windows 보안 기준을 참조하세요.
Azure Stack HCI 서버의 경우 Secured-core에 대한 모든 하드웨어 요구 사항이 충족되면 준수 점수는 288개 규칙 중 281개입니다. 즉, 288개 규칙 중 281개는 규정을 준수합니다.
다음 표에서는 규정을 준수하지 않는 규칙과 현재 간격의 근거를 설명합니다.
규칙 이름 | 예상 값: ... | 실제 | 논리 | 설명 |
---|---|---|---|---|
대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트 | 예상: | 현실의: | 연산자: NOTEQUALS |
드리프트 컨트롤이 없는 이 값을 정의해야 합니다. |
대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목 | 예상: | 현실의: | 연산자: NOTEQUALS |
드리프트 컨트롤이 없는 이 값을 정의해야 합니다. |
최소 암호 길이 | 예상: 14 | 실제: 0 | 연산자: GREATEROREQUAL |
조직의 정책에 맞는 드리프트 제어 없이 이 값을 정의해야 합니다. |
인터넷에서 디바이스 메타데이터 검색 금지 | 예상: 1 | 실제: (null) | 연산자: EQUALS |
이 컨트롤은 Azure Stack HCI에 적용되지 않습니다. |
사용자와 앱에서 위험한 웹사이트에 액세스하지 못하도록 방지 | 예상: 1 | 실제: (null) | 연산자: EQUALS |
이 컨트롤은 Windows Defender 보호의 일부이며 기본적으로 사용하도록 설정되지 않습니다. 사용하도록 설정할지 여부를 평가할 수 있습니다. |
강화된 UNC 경로 - NETLOGON | 예상: RequireMutualAuthentication=1 RequireIntegrity=1 |
실제: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
연산자: EQUALS |
Azure Stack HCI는 더 제한적입니다. 이 규칙은 무시해도 됩니다. |
강화된 UNC 경로 - SYSVOL | 예상: RequireMutualAuthentication=1 RequireIntegrity=1 |
현실의: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
연산자: EQUALS |
Azure Stack HCI는 더 제한적입니다. 이 규칙은 무시해도 됩니다. |
PowerShell을 사용하여 보안 기본값 관리
드리프트 보호를 사용하도록 설정하면 보호되지 않는 보안 설정만 수정할 수 있습니다. 기준선을 형성하는 보호된 보안 설정을 수정하려면 먼저 드리프트 보호를 사용하지 않도록 설정해야 합니다. 보안 설정의 전체 목록을 보고 다운로드하려면 보안 기준을 참조 하세요.
보안 기본값 수정
초기 보안 기준부터 시작한 다음 배포 중에 정의된 드리프트 제어 및 보호된 보안 설정을 수정합니다.
드리프트 컨트롤 사용
드리프트 컨트롤을 사용하도록 설정하려면 다음 단계를 사용합니다.
Azure Stack HCI 노드에 연결합니다.
다음 cmdlet을 실행합니다.
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
- 로컬 - 로컬 노드에만 영향을 줍니다.
- 클러스터 - 오케스트레이터를 사용하여 클러스터의 모든 노드에 영향을 줍니다.
드리프트 컨트롤 사용 안 함
드리프트 컨트롤을 사용하지 않도록 설정하려면 다음 단계를 사용합니다.
Azure Stack HCI 노드에 연결합니다.
다음 cmdlet을 실행합니다.
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
- 로컬 - 로컬 노드에만 영향을 줍니다.
- 클러스터 - 오케스트레이터를 사용하여 클러스터의 모든 노드에 영향을 줍니다.
Important
드리프트 컨트롤을 사용하지 않도록 설정하면 보호된 설정을 수정할 수 있습니다. 드리프트 컨트롤을 다시 사용하도록 설정하면 보호된 설정에 대한 변경 내용을 덮어씁니다.
배포 중 보안 설정 구성
배포의 일부로 클러스터의 보안 기준을 구성하는 드리프트 제어 및 기타 보안 설정을 수정할 수 있습니다.
다음 표에서는 배포 중에 Azure Stack HCI 클러스터에서 구성할 수 있는 보안 설정에 대해 설명합니다.
기능 영역 | 기능 | 설명 | 드리프트 제어를 지원합니까? |
---|---|---|---|
거버넌스 | 보안 기준 | 각 서버에서 보안 기본값을 유지 관리합니다. 변경으로부터 보호하는 데 도움이 됩니다. | 예 |
자격 증명 보호 | Windows Defender Credential Guard | 가상화 기반 보안을 사용하여 자격 증명 도난 공격으로부터 비밀을 격리합니다. | 예 |
응용 프로그램 제어 | Windows Defender 애플리케이션 컨트롤 | 각 서버에서 직접 실행할 수 있는 드라이버 및 앱을 제어합니다. | 아니요 |
미사용 데이터 암호화 | OS 부팅 볼륨용 BitLocker | 각 서버에서 OS 시작 볼륨을 암호화합니다. | 아니요 |
미사용 데이터 암호화 | 데이터 볼륨에 대한 BitLocker | 이 클러스터의 CSV(클러스터 공유 볼륨)를 암호화합니다. | 아니요 |
전송 중인 데이터 보호 | 외부 SMB 트래픽에 대한 서명 | 릴레이 공격을 방지하기 위해 이 시스템과 다른 시스템 간에 SMB 트래픽에 서명합니다. | 예 |
전송 중인 데이터 보호 | 클러스터 내 트래픽에 대한 SMB 암호화 | 클러스터의 서버 간 트래픽을 암호화합니다(스토리지 네트워크). | 아니요 |
배포 후 보안 설정 수정
배포가 완료되면 PowerShell을 사용하여 드리프트 제어를 유지하면서 보안 설정을 수정할 수 있습니다. 일부 기능을 적용하려면 다시 부팅해야 합니다.
PowerShell cmdlet 속성
다음 cmdlet 속성은 AzureStackOSConfigAgent 모듈에 대한 것입니다. 모듈은 배포 중에 설치됩니다.
Get-AzsSecurity
-Scope: <Local | PerNode | AllNodes | 클러스터>- Local - 로컬 노드에서 부울 값(true/False)을 제공합니다. 일반 원격 PowerShell 세션에서 실행할 수 있습니다.
- PerNode - 노드당 부울 값(true/False)을 제공합니다.
- 보고서 - RDP(원격 데스크톱 프로토콜) 연결을 사용하여 CredSSP 또는 Azure Stack HCI 서버가 필요합니다.
- AllNodes – 노드 간에 계산된 부울 값(true/False)을 제공합니다.
- 클러스터 – ECE 저장소에서 부울 값을 제공합니다. 오케스트레이터와 상호 작용하고 클러스터의 모든 노드에 작동합니다.
Enable-AzsSecurity
-Scope <Local | 클러스터>Disable-AzsSecurity
-Scope <Local | 클러스터>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- 드리프트 컨트롤
- Credential Guard
- VBS(가상화 기반 보안) - Enable 명령만 지원합니다.
- DRTM(측정을 위한 동적 신뢰 루트)
- HVCI(코드 무결성이 적용되는 경우 하이퍼바이저 적용)
- 측면 채널 완화
- SMB 서명
- SMB 클러스터 암호화
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
다음 표에서는 지원되는 보안 기능, 드리프트 제어를 지원하는지 여부 및 기능을 구현하기 위해 재부팅이 필요한지 여부를 설명합니다.
속성 | 기능 | 드리프트 제어 지원 | 다시 부팅 필요 |
---|---|---|---|
를 입력합니다. |
VBS(가상화 기반 보안) | 예 | 예 |
를 입력합니다. |
Credential Guard | 예 | 예 |
를 입력합니다. 사용 안 함 |
DRTM(Dynamic Root of Trust for Measurement) | 예 | 예 |
를 입력합니다. 사용 안 함 |
HVCI(하이퍼바이저로 보호된 코드 무결성) | 예 | 예 |
를 입력합니다. 사용 안 함 |
측면 채널 완화 | 예 | 예 |
를 입력합니다. 사용 안 함 |
SMB 서명 | 예 | 예 |
를 입력합니다. 사용 안 함 |
SMB 클러스터 암호화 | 아니요, 클러스터 설정 | 아니요 |
다음 단계
- BitLocker 암호화를 이해합니다.