Azure Stack HCI 보안 고려 사항

  • 아티클

적용 대상: Azure Stack HCI, 버전 22H2 및 21H2; Windows Server 2022, Windows Server 2019

이 항목에서는 Azure Stack HCI 운영 체제와 관련된 보안 고려 사항 및 권장 사항을 제공합니다.

  • 1부에서는 운영 체제를 강화하고 데이터 및 ID를 보호하여 organization 위한 안전한 기반을 효율적으로 구축하기 위한 기본 보안 도구와 기술을 다룹니다.
  • 2부에서는 클라우드용 Microsoft Defender 통해 사용할 수 있는 리소스에 대해 설명합니다. 클라우드 소개에 대한 Microsoft Defender 참조하세요.
  • 3부에서는 이러한 영역에서 organization 보안 태세를 더욱 강화하기 위한 고급 보안 고려 사항을 다룹니다.

보안 고려 사항이 중요한 이유는 무엇인가요?

보안은 상위 수준 관리에서 정보 작업자에 이르기까지 organization 모든 사용자에게 영향을 줍니다. 보안 위반으로 인해 모든 정상적인 비즈니스가 잠재적으로 중단되고 organization 중단될 수 있으므로 부적절한 보안은 조직에 실질적인 위험입니다. 잠재적인 공격을 더 빨리 감지할수록 보안 손상을 더 빨리 완화할 수 있습니다.

환경의 약점을 조사하여 악용한 후 공격자는 일반적으로 초기 손상 후 24~48시간 이내에 권한을 에스컬레이션하여 네트워크의 시스템을 제어할 수 있습니다. 좋은 보안 조치는 공격자가 공격자의 움직임을 차단하여 잠재적으로 제어하는 데 걸리는 시간을 몇 시간에서 몇 주 또는 몇 달까지 연장하기 위해 환경의 시스템을 강화합니다. 이 항목에서 보안 권장 사항을 구현하면 organization 이러한 공격을 최대한 빨리 감지하고 대응할 수 있습니다.

1부: 보안 기반 구축

다음 섹션에서는 사용자 환경에서 Azure Stack HCI 운영 체제를 실행하는 서버에 대한 보안 기반을 구축하기 위한 보안 도구 및 기술을 권장합니다.

환경 강화

이 섹션에서는 운영 체제에서 실행되는 서비스 및 VM(가상 머신)을 보호하는 방법에 대해 설명합니다.

  • Azure Stack HCI 인증 하드웨어는 일관된 보안 부팅, UEFI 및 TPM 설정을 기본으로 제공합니다. 가상화 기반 보안 및 인증된 하드웨어를 결합하면 보안에 민감한 워크로드를 보호할 수 있습니다. 이 신뢰할 수 있는 인프라를 클라우드용 Microsoft Defender 연결하여 빠르게 변화하는 워크로드 및 위협을 고려하여 동작 분석 및 보고를 활성화할 수도 있습니다.

    • 보안 부팅 은 OEM(Original Equipment Manufacturer)에서 신뢰할 수 있는 소프트웨어만 사용하여 디바이스가 부팅되도록 하기 위해 PC 업계에서 개발한 보안 표준입니다. 자세한 내용은 보안 부팅을 참조하세요.
    • UEFI(United Extensible Firmware Interface) 는 서버의 부팅 프로세스를 제어한 다음 Windows 또는 다른 운영 체제에 제어를 전달합니다. 자세한 내용은 UEFI 펌웨어 요구 사항을 참조하세요.
    • TPM(신뢰할 수 있는 플랫폼 모듈) 기술은 하드웨어 기반 보안 관련 기능을 제공합니다. TPM 칩은 암호화 키의 사용을 생성, 저장 및 제한하는 보안 암호화 프로세서입니다. 자세한 내용은 신뢰할 수 있는 플랫폼 모듈 기술 개요를 참조하세요.

    Azure Stack HCI 인증 하드웨어 공급자에 대한 자세한 내용은 Azure Stack HCI 솔루션 웹 사이트를 참조하세요.

  • 보안 도구는 기본적으로 Windows Admin Center 단일 서버와 Azure Stack HCI 클러스터 모두에 사용할 수 있어 보안 관리 및 제어가 더 쉬워집니다. 이 도구는 시스템의 보안 코어 상태 보는 기능을 포함하여 서버 및 클러스터에 대한 몇 가지 주요 보안 설정을 중앙 집중화합니다.

    자세한 내용은 보안 코어 서버를 참조하세요.

  • Device GuardCredential Guard. Device Guard는 알려진 서명, 서명되지 않은 코드 및 커널에 대한 액세스 권한을 획득하여 중요한 정보를 캡처하거나 시스템을 손상시키는 맬웨어로부터 보호합니다. Windows Defender Credential Guard는 가상화 기반 보안을 사용하여 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 비밀을 격리합니다.

    자세한 내용은 Windows Defender Credential Guard 관리를 참조하고 Device Guard 및 Credential Guard 하드웨어 준비 도구를 다운로드합니다.

  • Windows펌웨어 업데이트는 운영 체제와 시스템 하드웨어가 공격자로부터 보호되도록 하기 위해 클러스터, 서버(게스트 VM 포함) 및 PC에 필수적입니다. Windows Admin Center 업데이트 도구를 사용하여 개별 시스템에 업데이트를 적용할 수 있습니다. 하드웨어 공급자가 드라이버, 펌웨어 및 솔루션 업데이트를 가져오기 위한 Windows Admin Center 지원을 포함하는 경우 Windows 업데이트와 동시에 이러한 업데이트를 가져올 수 있습니다. 그렇지 않으면 공급업체에서 직접 가져올 수 있습니다.

    자세한 내용은 클러스터 업데이트를 참조하세요.

    한 번에 여러 클러스터 및 서버의 업데이트를 관리하려면 Windows Admin Center 통합된 선택적 Azure Update Management 서비스를 구독하는 것이 좋습니다. 자세한 내용은 Windows Admin Center 사용하여 Azure 업데이트 관리를 참조하세요.

데이터 보호

이 섹션에서는 Windows Admin Center 사용하여 운영 체제에서 데이터 및 워크로드를 보호하는 방법을 설명합니다.

  • 저장소 공간 BitLocker는 미사용 데이터를 보호합니다. BitLocker를 사용하여 운영 체제에서 저장소 공간 데이터 볼륨의 콘텐츠를 암호화할 수 있습니다. BitLocker를 사용하여 데이터를 보호하면 조직이 FIPS 140-2 및 HIPAA와 같은 정부, 지역 및 산업별 표준을 준수하는 데 도움이 될 수 있습니다.

    Windows Admin Center BitLocker 사용에 대한 자세한 내용은 볼륨 암호화, 중복 제거 및 압축 사용을 참조하세요.

  • Windows 네트워킹에 대한 SMB 암호화는 전송 중인 데이터를 보호합니다. SMB(서버 메시지 블록) 는 컴퓨터의 애플리케이션이 파일을 읽고 쓸 수 있고 컴퓨터 네트워크의 서버 프로그램에서 서비스를 요청할 수 있도록 하는 네트워크 파일 공유 프로토콜입니다.

    SMB 암호화를 사용하도록 설정하려면 SMB 보안 향상을 참조하세요.

  • Windows Defender 바이러스 백신은 바이러스, 맬웨어, 스파이웨어 및 기타 위협으로부터 클라이언트 및 서버의 운영 체제를 보호합니다. 자세한 내용은 Windows Server에서 바이러스 백신 Microsoft Defender 참조하세요.

ID 보호

이 섹션에서는 Windows Admin Center 사용하여 권한 있는 ID를 보호하는 방법을 설명합니다.

  • 액세스 제어 는 관리 환경의 보안을 향상시킬 수 있습니다. Windows Admin Center 서버를 사용하는 경우(Windows 10 PC에서 실행되는 경우) Windows Admin Center 자체에 대한 두 가지 액세스 수준(게이트웨이 사용자 및 게이트웨이 관리자)을 제어할 수 있습니다. 게이트웨이 관리자 ID 공급자 옵션은 다음과 같습니다.

    • 스마트 카드 인증을 적용하기 위한 Active Directory 또는 로컬 컴퓨터 그룹입니다.
    • 조건부 액세스 및 다단계 인증을 적용하려면 ID를 Microsoft Entra.

    자세한 내용은 Windows Admin Center 사용자 액세스 옵션사용자 Access Control 및 권한 구성을 참조하세요.

  • Windows Admin Center 브라우저 트래픽은 HTTPS를 사용합니다. Windows Admin Center 관리되는 서버로의 트래픽은 WinRM(Windows 원격 관리)을 통해 표준 PowerShell 및 WMI(Windows Management Instrumentation)를 사용합니다. Windows Admin Center LAPS(로컬 관리자 암호 솔루션), 리소스 기반 제한 위임, AD(Active Directory) 또는 Microsoft Entra ID를 사용하는 게이트웨이 액세스 제어 및 Windows Admin Center 게이트웨이를 관리하기 위한 RBAC(역할 기반 액세스 제어)를 지원합니다.

    Windows Admin Center Windows 10 Microsoft Edge(Windows 10, 버전 1709 이상), Google Chrome 및 Microsoft Edge 참가자를 지원합니다. Windows 10 PC 또는 Windows 서버에 Windows Admin Center 설치할 수 있습니다.

    서버에 Windows Admin Center 설치하는 경우 호스트 서버에 UI가 없는 게이트웨이로 실행됩니다. 이 시나리오에서 관리자는 호스트에서 자체 서명된 보안 인증서로 보호되는 HTTPS 세션을 통해 서버에 로그온할 수 있습니다. 그러나 신뢰할 수 있는 VPN을 통해 로컬 IP 주소에 연결되더라도 지원되는 브라우저는 자체 서명된 연결을 안전하지 않은 것으로 처리하므로 신뢰할 수 있는 인증 기관의 적절한 SSL 인증서를 로그온 프로세스에 사용하는 것이 좋습니다.

    organization 설치 옵션에 대한 자세한 내용은 적합한 설치 유형을 참조하세요.

  • CredSSP는 Windows Admin Center 관리 대상으로 하는 특정 서버 이외의 컴퓨터에 자격 증명을 전달하는 데 몇 가지 경우에 사용하는 인증 공급자입니다. 현재 Windows Admin Center 다음을 수행하려면 CredSSP가 필요합니다.

    • 새 클러스터를 만듭니다.
    • 업데이트 도구에 액세스하여 장애 조치(failover) 클러스터링 또는 Cluster-Aware 업데이트 기능을 사용합니다.
    • VM에서 세분화된 SMB 스토리지를 관리합니다.

    자세한 내용은 Windows Admin Center CredSSP를 사용하나요?를 참조하세요.

  • ID를 관리하고 보호하는 데 사용할 수 있는 Windows Admin Center 보안 도구에는 Active Directory, 인증서, 방화벽, 로컬 사용자 및 그룹 등이 포함됩니다.

    자세한 내용은 Windows Admin Center 사용하여 서버 관리를 참조하세요.

2부: 클라우드용 Microsoft Defender 사용(MDC)

클라우드용 Microsoft Defender 데이터 센터의 보안 태세를 강화하고 클라우드 및 온-프레미스의 하이브리드 워크로드에서 고급 위협 방지를 제공하는 통합 인프라 보안 관리 시스템입니다. 클라우드용 Defender는 네트워크의 보안 상태 평가하고, 워크로드를 보호하고, 보안 경고를 발생시키고, 특정 권장 사항을 따라 공격을 수정하고 향후 위협을 해결하는 도구를 제공합니다. 클라우드용 Defender는 Azure 서비스를 사용하여 자동 프로비저닝 및 보호를 통해 배포 오버헤드 없이 클라우드에서 이러한 모든 서비스를 고속으로 수행합니다.

클라우드용 Defender는 이러한 리소스에 Log Analytics 에이전트를 설치하여 Windows 서버와 Linux 서버 모두에 대한 VM을 보호합니다. Azure는 에이전트가 수집하는 이벤트를 워크로드를 안전하게 만들기 위해 수행하는 권장 사항(강화 작업)으로 상호 연결합니다. 보안 모범 사례에 따른 강화 작업에는 보안 정책 관리 및 적용이 포함됩니다. 그런 다음 클라우드용 Defender 모니터링을 통해 결과를 추적하고 시간이 지남에 따라 규정 준수 및 거버넌스를 관리하는 동시에 모든 리소스에서 공격 표면을 줄일 수 있습니다.

Azure 리소스 및 구독에 대한 누가 액세스할 수 있는지 관리하는 것은 Azure 거버넌스 전략에서 중요한 부분을 차지합니다. Azure RBAC는 Azure에서 액세스를 관리하는 기본 방법입니다. 자세한 내용은 역할 기반 액세스 제어를 사용하여 Azure 환경에 대한 액세스 관리를 참조하세요.

Windows Admin Center 통해 클라우드용 Defender를 사용하려면 Azure 구독이 필요합니다. 시작하려면 클라우드용 Microsoft Defender 사용하여 Windows Admin Center 리소스 보호를 참조하세요. 시작하려면 서버용 Defender 배포 계획을 참조하세요. 서버용 Defender 라이선스(서버 계획)는 서버용 Defender 계획 선택을 참조하세요.

등록한 후 Windows Admin Center MDC에 액세스: 모든 연결 페이지에서 서버 또는 VM을 선택하고 도구에서 클라우드용 Microsoft Defender 선택한 다음, Azure에 로그인을 선택합니다.

자세한 내용은 클라우드용 Microsoft Defender란?을 참조하세요.

3부: 고급 보안 추가

다음 섹션에서는 사용자 환경에서 Azure Stack HCI 운영 체제를 실행하는 서버를 더욱 강화하기 위해 고급 보안 도구 및 기술을 권장합니다.

환경 강화

  • Microsoft 보안 기준 은 국방부와 같은 상업 조직 및 미국 정부와의 파트너십을 통해 얻은 Microsoft의 보안 권장 사항을 기반으로 합니다. 보안 기준에는 Windows 방화벽, Windows Defender 등에 대한 권장 보안 설정이 포함됩니다.

    보안 기준은 AD DS(Active Directory Domain Services)로 가져온 다음 도메인에 가입된 서버에 배포하여 환경을 강화할 수 있는 그룹 정책 개체(GPO) 백업으로 제공됩니다. 로컬 스크립트 도구를 사용하여 보안 기준을 사용하여 독립 실행형(도메인에 가입되지 않은) 서버를 구성할 수도 있습니다. 보안 기준을 사용하려면 Microsoft 보안 준수 도구 키트 1.0을 다운로드합니다.

    자세한 내용은 Microsoft 보안 기준을 참조하세요.

데이터 보호

  • Hyper-V 환경을 강화 하려면 물리적 서버에서 실행되는 운영 체제를 강화하는 것처럼 VM에서 실행되는 Windows Server를 강화해야 합니다. 가상 환경에는 일반적으로 동일한 물리적 호스트를 공유하는 여러 VM이 있으므로 물리적 호스트와 해당 호스트에서 실행되는 VM을 모두 보호해야 합니다. 호스트를 손상시키는 공격자는 워크로드 및 서비스에 더 큰 영향을 미치는 여러 VM에 영향을 줄 수 있습니다. 이 섹션에서는 Hyper-V 환경에서 Windows Server를 강화하는 데 사용할 수 있는 다음 방법에 대해 설명합니다.

    • Windows Server의 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)은 VM용 TPM을 지원하므로 VM에서 BitLocker와 같은 고급 보안 기술을 사용할 수 있습니다. Hyper-V 관리자 또는 Enable-VMTPM Windows PowerShell cmdlet을 사용하여 2세대 Hyper-V VM에서 TPM 지원을 사용하도록 설정할 수 있습니다.

      참고

      vTPM을 사용하도록 설정하면 VM 이동성에 영향을 줍니다. VM이 원래 vTPM을 사용하도록 설정한 것과 다른 호스트에서 시작할 수 있도록 하려면 수동 작업이 필요합니다.

      자세한 내용은 Enable-VMTPM을 참조하세요.

    • Azure Stack HCI 및 Windows Server의 SDN(소프트웨어 정의 네트워킹)은 인프라의 소프트웨어 부하 분산 장치, 데이터 센터 방화벽, 게이트웨이 및 가상 스위치와 같은 가상 네트워크 디바이스를 중앙에서 구성하고 관리합니다. Hyper-V 가상 스위치, Hyper-V 네트워크 가상화 및 RAS 게이트웨이와 같은 가상 네트워크 요소는 SDN 인프라의 필수 요소로 설계되었습니다.

      자세한 내용은 SDN(소프트웨어 정의 네트워킹)을 참조하세요.

      참고

      Host Guardian Service로 보호되는 보호된 VM은 Azure Stack HCI에서 지원되지 않습니다.

ID 보호

  • LAPS(로컬 관리자 암호 솔루션) 는 각 컴퓨터의 로컬 관리자 계정 암호를 새 임의 및 고유 값으로 주기적으로 설정하는 Active Directory 도메인 가입 시스템에 대한 간단한 메커니즘입니다. 암호는 특정 권한이 부여된 사용자만 검색할 수 있는 Active Directory의 해당 컴퓨터 개체에 있는 보안 기밀 특성에 저장됩니다. LAPS는 도메인 계정 사용보다 몇 가지 이점을 제공하는 방식으로 원격 컴퓨터 관리에 로컬 계정을 사용합니다. 자세한 내용은 로컬 계정의 원격 사용: LAPS 변경 내용을 참조하세요.

    LAPS 사용을 시작하려면 LAPS(로컬 관리자 암호 솔루션)를 다운로드합니다.

  • MICROSOFT ATA(Advanced Threat Analytics) 는 권한 있는 ID를 손상시키려는 공격자를 검색하는 데 사용할 수 있는 온-프레미스 제품입니다. ATA는 인증, 권한 부여 및 Kerberos 및 DNS와 같은 정보 수집 프로토콜에 대한 네트워크 트래픽을 구문 분석합니다. ATA는 데이터를 사용하여 네트워크에서 사용자 및 기타 엔터티의 동작 프로필을 빌드하여 변칙 및 알려진 공격 패턴을 검색합니다.

    자세한 내용은 Advanced Threat Analytics란?을 참조하세요.

  • Windows Defender Remote Credential Guard는 Kerberos 요청을 연결을 요청하는 디바이스로 다시 리디렉션하여 원격 데스크톱 연결을 통해 자격 증명을 보호합니다. 또한 원격 데스크톱 세션에 대한 SSO(Single Sign-On)를 제공합니다. 원격 데스크톱 세션 중에 대상 디바이스가 손상된 경우 자격 증명 및 자격 증명 파생 항목이 네트워크를 통해 대상 디바이스로 전달되지 않으므로 자격 증명이 노출되지 않습니다.

    자세한 내용은 Windows Defender Credential Guard 관리를 참조하세요.

  • id용 Microsoft Defender 사용자 동작 및 활동을 모니터링하고, 공격 표면을 줄이고, 하이브리드 환경에서 AD FS(Active Directory Federal Service)를 보호하고, 사이버 공격 킬 체인에서 의심스러운 활동 및 고급 공격을 식별하여 권한 있는 ID를 보호하는 데 도움이 됩니다.

    자세한 내용은 Microsoft Defender for Identity?을 참조하세요.

다음 단계

보안 및 규정 준수에 대한 자세한 내용은 다음을 참조하세요.