Azure Stack HCI에 신뢰할 수 있는 엔터프라이즈 가상화 배포

적용 대상: Azure Stack HCI, 버전 21H2 및 20H2

이 항목에서는 Azure Stack HCI 운영 체제에서 신뢰할 수 있는 엔터프라이즈 가상화를 사용하는 매우 안전한 인프라를 계획, 구성 및 배포하는 방법에 대한 지침을 제공합니다. Azure Stack HCI 투자를 활용하여 Windows 관리 센터 및 Azure Portal을 통해 VBS(가상화 기반 보안) 및 하이브리드 클라우드 서비스를 사용하는 하드웨어에서 보안 워크로드를 실행합니다.

개요

VBS는 보안 위협으로부터 호스트 및 VM(가상 머신)을 보호하기 위해 Azure Stack HCI 에 대한 보안 투자의 핵심 구성 요소입니다. 예를 들어 국방부(DoD) 정보 시스템의 보안을 개선하기 위한 도구로 게시된 STIG(보안 기술 구현 가이드)는 VBS 및 HVCI(하이퍼바이저 보호 코드 무결성) 를 일반적인 보안 요구 사항으로 나열합니다. 손상된 호스트는 VM 보호를 보장할 수 없으므로 VBS 및 HVCI에서 사용하도록 설정된 호스트 하드웨어를 사용하여 VM의 워크로드를 보호해야 합니다.

VBS는 하드웨어 가상화 기능을 사용하여 운영 체제에서 보안 메모리 영역을 만들고 격리합니다. Windows VSM(가상 보안 모드)을 사용하여 여러 보안 솔루션을 호스트하여 운영 체제 취약성 및 악의적인 악용으로부터의 보호를 크게 높일 수 있습니다.

VBS는 Windows 하이퍼바이저를 사용하여 운영 체제 소프트웨어에서 보안 경계를 만들고 관리하고, 중요한 시스템 리소스를 보호하기 위한 제한을 적용하고, 인증된 사용자 자격 증명과 같은 보안 자산을 보호합니다. VBS를 사용하면 맬웨어가 운영 체제 커널에 액세스할 수 있더라도 하이퍼바이저가 맬웨어가 코드를 실행하거나 플랫폼 비밀에 액세스하는 것을 방지하므로 가능한 악용을 크게 제한하고 포함할 수 있습니다.

시스템 소프트웨어의 가장 권한 있는 수준인 하이퍼바이저는 모든 시스템 메모리에서 페이지 권한을 설정하고 적용합니다. VSM에서 페이지는 코드 무결성 검사를 통과한 후에만 실행할 수 있습니다. 맬웨어가 메모리 수정을 시도할 수 있는 버퍼 오버플로와 같은 취약성이 발생하더라도 코드 페이지를 수정할 수 없으며 수정된 메모리를 실행할 수 없습니다. VBS 및 HVCI는 코드 무결성 정책 적용을 크게 강화합니다. 모든 커널 모드 드라이버와 이진 파일은 시작하기 전에 확인되며 서명되지 않은 드라이버 또는 시스템 파일은 시스템 메모리에 로드되지 않습니다.

신뢰할 수 있는 엔터프라이즈 가상화 배포

이 섹션에서는 Azure Stack HCI 및 관리용 Windows 관리 센터에서 신뢰할 수 있는 엔터프라이즈 가상화를 사용하는 매우 안전한 인프라를 배포하기 위해 하드웨어를 획득하는 방법에 대해 개략적으로 설명합니다.

1단계: Azure Stack HCI에서 신뢰할 수 있는 엔터프라이즈 가상화를 위한 하드웨어 획득

먼저 하드웨어를 조달해야 합니다. 이 작업을 수행하는 가장 쉬운 방법은 Azure Stack HCI 카탈로그 에서 선호하는 Microsoft 하드웨어 파트너를 찾고 미리 설치된 Azure Stack HCI 운영 체제를 사용하여 통합 시스템을 구매하는 것입니다. 카탈로그에서 필터링하여 이러한 유형의 워크로드에 최적화된 공급업체 하드웨어를 확인할 수 있습니다.

그렇지 않으면 사용자 고유의 하드웨어에 Azure Stack HCI 운영 체제를 배포해야 합니다. Azure Stack HCI 배포 옵션 및 Windows 관리 센터 설치에 대한 자세한 내용은 Azure Stack HCI 운영 체제 배포를 참조하세요.

다음으로, Windows 관리 센터를 사용하여 Azure Stack HCI 클러스터를 만듭니다.

Azure Stack HCI에 대한 모든 파트너 하드웨어는 하드웨어 보증 추가 자격으로 인증됩니다. 자격 프로세스는 모든 필수 VBS 기능에 대해 테스트합니다. 그러나 VBS 및 HVCI는 Azure Stack HCI에서 자동으로 사용하도록 설정되지 않습니다. 하드웨어 보증 추가 자격에 대한 자세한 내용은 Windows 서버 카탈로그시스템에서 "하드웨어 보증"을 참조하세요.

경고

HVCI는 Azure Stack HCI 카탈로그에 나열되지 않은 하드웨어 디바이스와 호환되지 않을 수 있습니다. 신뢰할 수 있는 엔터프라이즈 가상화 인프라를 위해 파트너의 Azure Stack HCI 유효성 검사 하드웨어를 사용하는 것이 좋습니다.

2단계: HVCI 사용

서버 하드웨어 및 VM에서 HVCI를 사용하도록 설정합니다. 자세한 내용은 코드 무결성에 대한 가상화 기반 보호 사용을 참조하세요.

3단계: Windows 관리 센터에서 Azure Security Center 설정

Windows 관리 센터에서 위협 방지를 추가하고 워크로드의 보안 상태를 신속하게 평가하도록 Azure Security Center를 설정합니다.

자세한 내용은 Security Center를 사용하여 Windows 관리 센터 리소스 보호를 참조하세요.

Security Center를 시작하려면 다음을 수행합니다.

  • Microsoft Azure를 구독해야 합니다. 구독이 없는 경우 무료 평가판에 등록할 수 있습니다.
  • Azure Portal의 Azure Security Center 대시보드를 방문하거나 API를 통해 프로그래밍 방식으로 사용하도록 설정하면 Security Center의 무료 가격 책정 계층이 모든 현재 Azure 구독에서 사용하도록 설정됩니다. 고급 보안 관리 및 위협 탐지 기능을 활용하려면 Azure Defender를 사용하도록 설정해야 합니다. Azure Defender를 30일 동안 무료로 사용할 수 있습니다. 자세한 내용은 Security Center 가격 책정을 참조하세요.
  • Azure Defender를 사용하도록 설정할 준비가 되면 빠른 시작을 참조하세요. Azure Security Center를 설정 하여 단계를 안내합니다.

Windows 관리 센터를 사용하여 백업, 파일 동기화, Site Recovery, 지점 및 사이트간 VPN 및 업데이트 관리와 같은 추가 Azure 하이브리드 서비스를 설정할 수도 있습니다.

다음 단계

신뢰할 수 있는 엔터프라이즈 가상화와 관련된 자세한 내용은 다음을 참조하세요.