Azure Stack HCI에 신뢰할 수 있는 엔터프라이즈 가상화 배포
적용 대상: Azure Stack HCI, 버전 22H2 및 21H2
이 항목에서는 Azure Stack HCI 운영 체제에서 신뢰할 수 있는 엔터프라이즈 가상화를 사용하는 매우 안전한 인프라를 계획, 구성 및 배포하는 방법에 대한 지침을 제공합니다. Azure Stack HCI 투자를 활용하여 Windows Admin Center 및 Azure Portal 통해 VBS(가상화 기반 보안) 및 하이브리드 클라우드 서비스를 사용하는 하드웨어에서 보안 워크로드를 실행합니다.
개요
VBS는 보안 위협으로부터 호스트 및 VM(가상 머신)을 보호하기 위해 Azure Stack HCI 에 대한 보안 투자의 핵심 구성 요소입니다. 예를 들어 DoD(국방부) 정보 시스템의 보안을 개선하기 위한 도구로 게시된 STIG(보안 기술 구현 가이드)는 VBS 및 HVCI(하이퍼바이저 보호 코드 무결성) 를 일반적인 보안 요구 사항으로 나열합니다. 손상된 호스트는 VM 보호를 보장할 수 없으므로 VBS 및 HVCI에서 사용하도록 설정된 호스트 하드웨어를 사용하여 VM의 워크로드를 보호하는 것이 중요합니다.
VBS는 하드웨어 가상화 기능을 사용하여 운영 체제에서 안전한 메모리 영역을 만들고 격리합니다. Windows에서 VSM(가상 보안 모드) 을 사용하여 다양한 보안 솔루션을 호스트하여 운영 체제 취약성 및 악의적인 악용으로부터의 보호를 크게 높일 수 있습니다.
VBS는 Windows 하이퍼바이저를 사용하여 운영 체제 소프트웨어에서 보안 경계를 만들고 관리하고, 중요한 시스템 리소스를 보호하기 위한 제한을 적용하고, 인증된 사용자 자격 증명과 같은 보안 자산을 보호합니다. VBS를 사용하면 맬웨어가 운영 체제 커널에 대한 액세스 권한을 얻더라도 하이퍼바이저가 맬웨어가 코드를 실행하거나 플랫폼 비밀에 액세스하는 것을 방지하므로 가능한 악용을 크게 제한하고 포함할 수 있습니다.
시스템 소프트웨어의 권한 수준이 가장 높은 하이퍼바이저는 시스템 메모리 전체에 R/W/X 권한을 적용합니다. VSM에서 페이지는 코드 무결성 검사를 통과한 후에만 실행할 수 있습니다. 맬웨어가 메모리 수정을 시도할 수 있는 버퍼 오버플로와 같은 취약성이 발생하더라도 코드 페이지를 수정할 수 없으며 수정된 메모리를 실행할 수 없습니다. VBS 및 HVCI는 코드 무결성 정책 적용을 크게 강화합니다. 모든 커널 모드 드라이버와 이진 파일은 시작하기 전에 검사되고 서명되지 않은 드라이버 또는 시스템 파일은 시스템 메모리에 로드되지 않습니다.
신뢰할 수 있는 엔터프라이즈 가상화 배포
이 섹션에서는 Azure Stack HCI에서 신뢰할 수 있는 엔터프라이즈 가상화를 사용하고 관리를 위해 Windows Admin Center 사용하는 매우 안전한 인프라를 배포하기 위해 하드웨어를 획득하는 방법에 대해 개략적으로 설명합니다.
1단계: Azure Stack HCI에서 신뢰할 수 있는 엔터프라이즈 가상화를 위한 하드웨어 획득
먼저 하드웨어를 조달해야 합니다. 이렇게 하는 가장 쉬운 방법은 Azure Stack HCI 카탈로그 에서 선호하는 Microsoft 하드웨어 파트너를 찾고 Azure Stack HCI 운영 체제가 미리 설치된 통합 시스템을 구매하는 것입니다. 카탈로그에서 필터링하여 이러한 유형의 워크로드에 최적화된 공급업체 하드웨어를 볼 수 있습니다.
그렇지 않으면 자체 하드웨어에 Azure Stack HCI 운영 체제를 배포해야 합니다. Azure Stack HCI 배포 옵션 및 Windows Admin Center 설치에 대한 자세한 내용은 Azure Stack HCI 운영 체제 배포를 참조하세요.
다음으로, Windows Admin Center 사용하여 Azure Stack HCI 클러스터를 만듭니다.
Azure Stack HCI에 대한 모든 파트너 하드웨어는 Hardware Assurance 추가 자격으로 인증됩니다. 자격 프로세스는 필요한 모든 VBS 기능에 대해 테스트합니다. 그러나 VBS 및 HVCI는 Azure Stack HCI에서 자동으로 사용하도록 설정되지 않습니다. 하드웨어 보증 추가 자격에 대한 자세한 내용은 Windows Server 카탈로그의 시스템에서 "하드웨어 보증"을 참조하세요.
경고
HVCI는 Azure Stack HCI 카탈로그에 나열되지 않은 하드웨어 디바이스와 호환되지 않을 수 있습니다. 신뢰할 수 있는 엔터프라이즈 가상화 인프라를 위해 파트너의 Azure Stack HCI 유효성 검사 하드웨어를 사용하는 것이 좋습니다.
2단계: HVCI 사용
서버 하드웨어 및 VM에서 HVCI를 사용하도록 설정합니다. 자세한 내용은 코드 무결성의 가상화 기반 보호 사용을 참조하세요.
3단계: Windows Admin Center Azure Security Center 설정
Windows Admin Center 위협 방지를 추가하고 워크로드의 보안 상태를 신속하게 평가하도록 Azure Security Center 설정합니다.
자세한 내용은 Security Center를 사용하여 Windows Admin Center 리소스 보호를 참조하세요.
Security Center를 시작하려면 다음을 수행합니다.
- Microsoft Azure를 구독해야 합니다. 구독이 없는 경우 평가판에 등록할 수 있습니다.
- Security Center의 무료 가격 책정 계층은 Azure Portal Azure Security Center dashboard 방문하거나 API를 통해 프로그래밍 방식으로 사용하도록 설정하면 모든 현재 Azure 구독에서 사용하도록 설정됩니다. 고급 보안 관리 및 위협 탐지 기능을 활용하려면 Azure Defender를 사용하도록 설정해야 합니다. Azure Defender를 30일 동안 무료로 사용할 수 있습니다. 자세한 내용은 Security Center 가격 책정을 참조하세요.
- Azure Defender를 사용하도록 설정할 준비가 되면 빠른 시작: Azure Security Center 설정을 참조하여 단계를 안내합니다.
Windows Admin Center 사용하여 Backup, 파일 동기화, Site Recovery, 지점 및 사이트별 VPN 및 업데이트 관리와 같은 추가 Azure 하이브리드 서비스를 설정할 수도 있습니다.
다음 단계
신뢰할 수 있는 엔터프라이즈 가상화와 관련된 자세한 내용은 다음을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기