Azure VMware Solution 워크로드에 대한 보안 고려 사항

이 문서에서는 Azure VMware Solution 워크로드의 보안 디자인 영역에 대해 설명합니다. 이 논의에서는 Azure VMware Solution 워크로드를 보호하고 보호하는 데 도움이 되는 다양한 조치를 다룹니다. 이러한 조치는 인프라, 데이터 및 애플리케이션을 보호하는 데 도움이 됩니다. 보안에 대한 이 접근 방식은 organization 핵심 우선 순위에 부합하는 전체적인 접근 방식입니다.

Azure VMware Solution 보호하려면 Microsoft Azure 및 VMware가 보안의 특정 측면을 모두 담당하는 공유 책임 모델이 필요합니다. 적절한 보안 조치를 구현하려면 IT 팀, VMware 및 Microsoft 간의 공동 책임 모델과 협업을 명확하게 이해해야 합니다.

규정 준수 및 거버넌스 관리

영향: 보안, 운영 우수성

비규격 서버를 검색하는 것이 중요합니다. 이 목적을 위해 Azure Arc를 사용할 수 있습니다. Azure Arc는 Azure 관리 기능 및 Azure 서비스를 온-프레미스 또는 다중 클라우드 환경으로 확장합니다. Azure Arc는 서버에 대한 중앙 집중식 관리 및 거버넌스를 제공하여 업데이트 및 핫 픽스를 적용하기 위한 단일 창 보기를 제공합니다. 그 결과 Azure, 온-프레미스 시스템 및 Azure VMware Solution 구성 요소를 관리하기 위한 일관된 환경이 생성됩니다.

권장 사항

• Azure VMware Solution 게스트 VM(가상 머신)을 Azure Arc 지원 서버로 구성합니다. 컴퓨터를 연결하는 데 사용할 수 있는 방법은 Azure 연결된 컴퓨터 에이전트 배포 옵션을 참조하세요.
• 인증된 타사 솔루션 또는 azure Arc for Azure VMware Solution(미리 보기)를 배포합니다.
• Azure Arc 지원 서버에 Azure Policy 사용하여 Azure VMware Solution 게스트 VM에 대한 보안 제어를 감사하고 적용합니다.

게스트 운영 체제 보호

영향: 보안

운영 체제를 패치하고 정기적으로 업데이트하지 않으면 취약성에 취약해지고 전체 플랫폼이 위험에 처하게 됩니다. 패치를 정기적으로 적용하면 시스템을 최신 상태로 유지합니다. 또한 엔드포인트 보호 솔루션을 사용하는 경우 일반적인 공격 벡터가 운영 체제를 대상으로 하지 못하도록 방지할 수 있습니다. 취약성 검사 및 평가를 정기적으로 수행하는 것도 중요합니다. 이러한 도구는 보안 약점 및 취약성을 식별하고 수정하는 데 도움이 됩니다.

클라우드용 Microsoft Defender 다음을 포함하여 Azure VMware Solution 및 온-프레미스 VM에서 고급 위협 방지 기능을 제공하는 고유한 도구를 제공합니다.

• 파일 무결성 모니터링
• 파일리스 공격 검색.
• 운영 체제 패치 평가.
• 보안 잘못된 구성 평가.
• 엔드포인트 보호 평가.

권장 사항

• 서버용 Azure Arc를 통해 Azure VMware Solution 게스트 VM에 Azure 보안 에이전트를 설치하여 보안 구성 및 취약성을 모니터링합니다.
• 클라우드용 Defender에 대한 기본 데이터 수집 규칙과의 연결을 자동으로 만들도록 Azure Arc 머신을 구성합니다.
• Azure VMware Solution 프라이빗 클라우드를 배포하고 실행하는 데 사용하는 구독에서 서버 보호를 포함하는 클라우드용 Defender 계획을 사용합니다.
• Azure VMware Solution 프라이빗 클라우드에서 보안 혜택이 확장된 게스트 VM이 있는 경우 정기적으로 보안 업데이트를 배포합니다. 볼륨 정품 인증 관리 도구 사용하여 이러한 업데이트를 배포합니다.

데이터 암호화

영향: 보안, 운영 우수성

데이터 암호화는 무단 액세스로부터 Azure VMware Solution 워크로드를 보호하고 중요한 데이터의 무결성을 유지하는 중요한 측면입니다. 암호화에는 시스템의 미사용 데이터와 전송 중인 데이터가 포함됩니다.

권장 사항

• 고객 관리형 키를 사용하여 VMware vSAN 데이터 저장소를 암호화하여 미사용 데이터를 암호화합니다.
• BitLocker와 같은 네이티브 암호화 도구를 사용하여 게스트 VM을 암호화합니다.
• Azure VMware Solution 프라이빗 클라우드 게스트 VM에서 실행되는 데이터베이스에 대해 네이티브 데이터베이스 암호화 옵션을 사용합니다. instance 경우 SQL Server TDE(투명한 데이터 암호화)를 사용할 수 있습니다.
• 데이터베이스 활동에서 의심스러운 활동을 모니터링합니다. 이 목적을 위해 SQL Server 활동 모니터와 같은 네이티브 데이터베이스 모니터링 도구를 사용할 수 있습니다.

네트워크 보안 구현

영향: 운영 우수성

네트워크 보안의 목표는 Azure VMware Solution 구성 요소에 대한 무단 액세스를 방지하는 것입니다. 이 목표를 달성하기 위한 한 가지 방법은 네트워크 구분을 통해 경계를 구현하는 것입니다. 이 방법은 애플리케이션을 격리하는 데 도움이 됩니다. 세분화의 일부로 가상 LAN은 데이터 링크 계층에서 작동합니다. 해당 가상 LAN은 물리적 네트워크를 논리적 네트워크로 분할하여 트래픽을 구분하여 VM을 물리적으로 분리합니다.

그런 다음 세그먼트를 만들어 고급 보안 기능 및 라우팅을 제공합니다. 예를 들어 애플리케이션, 웹 및 데이터베이스 계층에는 3계층 아키텍처에 별도의 세그먼트가 있을 수 있습니다. 애플리케이션은 보안 규칙을 사용하여 각 세그먼트의 VM 간의 네트워크 통신을 제한하여 마이크로 구분 수준을 추가할 수 있습니다.

계층 1 라우터는 세그먼트 앞에 배치됩니다. 이러한 라우터는 SDDC(소프트웨어 정의 데이터 센터) 내에서 라우팅 기능을 제공합니다. 여러 계층 1 라우터를 배포하여 여러 세그먼트 집합을 분리하거나 특정 라우팅을 달성할 수 있습니다. 예를 들어 프로덕션, 개발 및 테스트 워크로드를 들어오고 들어오는 East-West 트래픽을 제한한다고 가정합니다. 분산 수준 1 계층을 사용하여 특정 규칙 및 정책에 따라 해당 트래픽을 분할하고 필터링할 수 있습니다.

권장 사항

• 네트워크 세그먼트를 사용하여 구성 요소를 논리적으로 분리하고 모니터링합니다.
• VMware NSX-T Data Center에 네이티브인 마이크로 구분 기능을 사용하여 애플리케이션 구성 요소 간의 네트워크 통신을 제한합니다.
• 중앙 집중식 라우팅 어플라이언스 사용하여 세그먼트 간의 라우팅을 보호하고 최적화합니다.
• 네트워크 구분이 조직 보안 또는 네트워킹 정책, 규정 준수 요구 사항, 사업부, 부서 또는 환경에 의해 구동되는 경우 엇갈린 계층 1 라우터를 사용합니다.

IDPS(침입 감지 및 방지 시스템) 사용

영향: 보안

IDPS는 Azure VMware Solution 환경에서 네트워크 기반 공격 및 악의적인 활동을 감지하고 방지하는 데 도움이 될 수 있습니다.

권장 사항

• VMware NSX-T 데이터 센터 분산 방화벽을 사용하여 Azure VMware Solution 구성 요소 간의 East-West 트래픽에서 악성 패턴 및 맬웨어를 검색할 수 있습니다.
• azure 또는 Azure VMware Solution 실행되는 Azure Firewall 또는 인증된 타사 NVA와 같은 Azure 서비스를 사용합니다.

RBAC(역할 기반 액세스 제어) 및 다단계 인증 사용

영향: 보안, 운영 우수성

ID 보안은 Azure VMware Solution 프라이빗 클라우드 워크로드 및 해당 워크로드에서 실행되는 애플리케이션에 대한 액세스를 제어하는 데 도움이 됩니다. RBAC를 사용하여 특정 사용자 및 그룹에 적합한 역할 및 권한을 할당할 수 있습니다. 이러한 역할 및 권한은 최소 권한 원칙에 따라 부여됩니다.

사용자 인증에 다단계 인증을 적용하여 무단 액세스에 대한 추가 보안 계층을 제공할 수 있습니다. 모바일 푸시 알림과 같은 다양한 다단계 인증 방법은 편리한 사용자 환경을 제공하고 강력한 인증을 보장하는 데도 도움이 됩니다. Azure VMware Solution Microsoft Entra ID와 통합하여 사용자 관리를 중앙 집중화하고 Microsoft Entra 고급 보안 기능을 활용할 수 있습니다. 기능의 예로는 권한 있는 ID 관리, 다단계 인증 및 조건부 액세스가 있습니다.

권장 사항

• Microsoft Entra Privileged Identity Management 사용하여 Azure Portal 및 제어 창 작업에 대한 시간 제한 액세스를 허용합니다. 권한 있는 ID 관리 감사 기록을 사용하여 높은 권한의 계정에서 수행하는 작업을 추적합니다.
• 다음을 수행할 수 있는 Microsoft Entra 계정 수를 줄입니다.
  • Azure Portal 및 API에 액세스합니다.
  • Azure VMware Solution 프라이빗 클라우드로 이동합니다.
  • VMware vCenter Server 및 VMware NSX-T Data Center 관리 계정을 읽습니다.
• VMware vCenter Server 및 VMware NSX-T 데이터 센터에 대한 로컬 cloudadmin 계정 자격 증명을 회전하여 이러한 관리 계정의 오용 및 남용을 방지합니다. 이러한 계정은 비상 시나리오에서만 사용합니다. VMware vCenter Server에 대한 서버 그룹 및 사용자를 만들고 외부 ID 원본에서 ID를 할당합니다. 특정 VMware vCenter Server 및 VMware NSX-T 데이터 센터 작업에 이러한 그룹 및 사용자를 사용합니다.
• 게스트 VM 및 애플리케이션에 대한 인증 및 권한 부여 서비스를 구성하려면 중앙 집중식 ID 원본을 사용합니다.

보안 모니터링 및 위협 검색

영향: 보안, 운영 우수성

보안 모니터링 및 위협 탐지에는 Azure VMware Solution 프라이빗 클라우드 워크로드의 보안 상태 변경 내용을 검색하고 대응하는 작업이 포함됩니다. 업계 모범 사례를 따르고 다음을 비롯한 규정 요구 사항을 준수하는 것이 중요합니다.

• HIPAA(건강 보험 이식성 및 책임법).
• PCI DSS(결제 카드 업계 데이터 보안 표준).

SIEM(보안 정보 및 이벤트 관리) 도구 또는 Microsoft Sentinel을 사용하여 보안 로그 및 이벤트를 집계, 모니터링 및 분석할 수 있습니다. 이 정보는 잠재적인 위협을 감지하고 대응하는 데 도움이 됩니다. 정기적으로 감사 검토를 수행하면 위협을 방지하는 데도 도움이 됩니다. Azure VMware Solution 환경을 정기적으로 모니터링하는 경우 보안 표준 및 정책에 부합하도록 더 나은 위치에 있습니다.

권장 사항

• 다음 Azure 정책을 사용하여 클라우드용 Defender의 권장 사항에 대한 응답을 자동화합니다.
  • 보안 경고에 대한 워크플로 자동화
  • 보안 추천 사항에 대한 워크플로 자동화
  • 규정 준수 변경에 대한 워크플로 자동화
• Microsoft Sentinel을 배포하고 대상을 Log Analytics 작업 영역으로 설정하여 Azure VMware Solution 프라이빗 클라우드 게스트 VM에서 로그를 수집합니다.
• 데이터 커넥터를 사용하여 Microsoft Sentinel 및 클라우드용 Defender를 연결합니다.
• Microsoft Sentinel 플레이북 및 Azure Automation 규칙을 사용하여 위협 대응을 자동화합니다.

보안 기준 설정

영향: 보안

Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0에서 정의한 컨트롤을 Azure Policy 적용합니다.

권장 사항

• 워크로드를 보호하려면 Azure VMware Solution 대한 Azure 보안 기준에 지정된 권장 사항을 적용합니다.

다음 단계

이제 Azure VMware Solution 보안을 위한 모범 사례를 살펴보았으므로 비즈니스 우수성을 달성하기 위한 운영 관리 절차를 조사합니다.

작업

평가 도구를 사용하여 디자인 선택을 평가합니다.

평가