다음을 통해 공유

Azure Arc 사용 서버의 거버넌스, 보안, 규정 준수 기준

  • 아티클

이 문서에서는 Azure Arc 사용 서버 배포에 대한 보안, 거버넌스, 규정 준수를 구현할 때의 주요 디자인 고려 사항 및 모범 사례를 설명합니다. 엔터프라이즈급 랜딩 존 설명서에서는 “거버넌스” 및 “보안”을 별도의 토픽으로 다루지만, Azure Arc 사용 서버의 경우 이처럼 중요한 디자인 영역은 단일 토픽으로 통합되어 있습니다.

적절한 제어 메커니즘을 정의하고 적용하는 것은 보안 및 규격을 유지하는 기본 요소이므로 모든 클라우드 구현에서 핵심입니다. 기존 환경의 경우 이러한 메커니즘에는 일반적으로 검토 프로세스 및 수동 제어가 포함됩니다. 그러나 클라우드는 자동화된 가드 레일 및 검사를 통해 IT 거버넌스에 대한 새로운 접근 방식을 도입했습니다. Azure Policy클라우드용 Microsoft Defender는 이러한 컨트롤, 보고서, 수정 작업을 자동화된 방식으로 구현할 수 있는 클라우드 네이티브 도구입니다. Azure Arc와 결합하여 거버넌스 정책 및 보안을 퍼블릭 또는 프라이빗 클라우드의 모든 리소스로 확장할 수 있습니다.

이 문서를 마치면 보안, 거버넌스, 규정 준수를 위한 중요한 디자인 영역을 이해하고 명확한 Microsoft 지침을 준수할 수 있습니다.

아키텍처

다음 이미지는 Azure Arc 사용 서버의 보안, 규정 준수, 거버넌스 디자인 영역을 보여 주는 개념 참조 아키텍처를 표시합니다.

Azure 개념 참조 아키텍처에서 Azure Arc 사용 서버의 엔터프라이즈급 보안, 거버넌스, 규정 준수를 보여 주는 다이어그램

디자인 고려 사항

하이브리드 및 다중 클라우드 리소스가 Azure Resource Manager의 일부가 됨에 따라 Azure 네이티브 VM과 마찬가지로 Azure 도구를 사용하여 관리 및 제어할 수 있습니다.

ID 및 액세스 관리

  • 에이전트 보안 권한: 서버에서 로컬 관리자 권한이 있는 사용자를 검토하여 Azure Connected Machine Agent에 대한 액세스를 보호합니다.
  • 관리 ID:Azure Arc 사용 서버에서 관리 ID를 사용합니다. Microsoft Entra 토큰을 사용할 수 있는 Azure Arc 지원 서버에서 실행되는 애플리케이션을 식별하기 위한 전략을 정의합니다.
  • Azure RBAC(역할 기반 액세스 제어): 조직 내에서 관리, 운영, 엔지니어링 역할을 정의합니다. 이렇게 하면 하이브리드 환경에서 일상적인 작업을 할당하는 데 도움이 됩니다. 각 팀을 작업 및 책임에 매핑하면 Azure RBAC 역할 및 구성이 결정됩니다. RACI 매트릭스를 사용하여 이러한 작업을 지원하고 리소스 일관성 및 인벤토리 관리 지침을 따르면서 정의하는 관리 범위 계층 구조에 컨트롤을 빌드하는 것이 좋습니다. 자세한 내용은 Azure Arc 사용 서버에 대한 ID 및 액세스 관리를 검토하세요.

리소스 조직

거버넌스 분야

  • 위협 방지 및 클라우드 보안 태세 관리: 잘못된 보안 구성을 감지하고 규정 준수를 추적하는 컨트롤을 도입합니다. 또한 Azure의 인텔리전스를 사용하여 위협으로부터 하이브리드 워크로드를 보호합니다. 보안 기준 모니터링, 보안 태세 관리, 위협 방지를 위해 Azure Arc 사용 서버를 포함하는 모든 구독에 대해 서버용 Microsoft Defender를 사용하도록 설정합니다.
  • 비밀 및 인증서 관리:Azure Key Vault를 사용하도록 설정하여 서비스 주체 자격 증명을 보호합니다. Azure Arc 사용 서버에서 인증서 관리에 Azure Key Vault를 사용하는 것이 좋습니다.
  • 정책 관리 및 보고: Azure 정책 및 수정 작업으로 변환되는 하이브리드 서버 및 컴퓨터에 대한 거버넌스 계획을 정의합니다.
  • 데이터 상주: Azure Arc 사용 서버를 프로비전하려는 Azure 지역을 고려하고 이러한 컴퓨터에서 수집되는 메타데이터를 이해합니다.
  • 보안 공개 키: Azure 서비스와 통신하도록 Azure Connected Machine Agent 공개 키 인증을 보호합니다.
  • 비즈니스 연속성 및 재해 복구: 엔터프라이즈급 랜딩 존에 대한 비즈니스 연속성 및 재해 복구 지침을 검토하여 엔터프라이즈 요구 사항이 충족되는지 여부를 확인합니다.
  • Azure 랜딩 존 엔터프라이즈급의 보안, 거버넌스, 규정 준수 디자인 영역을 검토하여 Azure Arc 사용 서버가 전체 보안 및 거버넌스 모델에 미치는 영향을 평가합니다.

관리 분야

  • 에이전트 관리:Azure Connected Machine Agent는 하이브리드 작업에서 중요한 역할을 합니다. 이를 통해 Azure 외부에서 호스트되는 Windows 및 Linux 컴퓨터를 관리하고 거버넌스 정책을 적용할 수 있습니다. 응답하지 않는 에이전트를 추적하는 솔루션을 구현하는 것이 중요합니다.
  • 로그 관리 전략: 추가 분석 및 감사를 위해 Log Analytics 작업 영역에 하이브리드 리소스의 메트릭 및 로그 수집을 계획합니다.

플랫폼 자동화

  • 에이전트 프로비전: Azure Arc 사용 서버를 프로비전하고 온보딩 자격 증명에 대한 액세스를 보호하는 전략을 정의합니다. 대량 등록에 대한 자동화 수준 및 방법을 고려합니다. 파일럿 및 프로덕션 배포를 구성하고 공식적인 계획을 수립하는 방법을 고려합니다. 배포 범위와 계획은 목표, 선택 기준, 성공 기준, 학습 계획, 롤백, 위험을 고려해야 합니다.
  • 소프트웨어 업데이트:
    • 운영 체제의 중요 및 보안 업데이트를 사용하여 보안 규정 준수를 유지하기 위해 사용 가능한 업데이트의 상태를 평가하는 전략을 정의합니다.
    • Windows 운영 체제 버전을 인벤토리화하고 지원 종료 기한을 모니터링하는 전략을 정의합니다. Azure로 마이그레이션하거나 업그레이드할 수 없는 서버의 경우 Azure Arc를 통해 ESU(확장 보안 업데이트)를 계획 합니다 .

디자인 권장 사항

에이전트 프로비저닝

서비스 주체를 사용하여 Azure Arc 사용 서버를 프로비전하는 경우 서비스 주체 암호를 안전하게 저장하고 배포하는 방법을 고려합니다.

에이전트 관리

Azure Connected Machine Agent는 Azure Arc 사용 서버의 핵심 요소입니다. 여기에는 보안, 거버넌스, 관리 작업에서 역할을 하는 몇 가지 논리적 구성 요소가 포함되어 있습니다. Azure Connected Machine Agent가 Azure로의 하트비트 전송을 중지하거나 오프라인 상태가 되면 운영 작업을 수행할 수 없습니다. 따라서 알림 및 응답 계획을 수립해야 합니다.

Azure 활동 로그를 사용하여 리소스 상태 알림을 설정할 수 있습니다. 쿼리를 구현하여 Azure Connected Machine Agent의 현재 및 과거 상태 정보를 유지합니다.

에이전트 보안 권한

Azure Arc 사용 서버에서 Azure Connected Machine Agent에 대한 액세스 권한이 있는 사용자를 제어합니다. 이 에이전트를 구성하는 서비스는 Azure Arc 사용 서버에 대한 모든 통신 및 상호 작용을 제어합니다. Windows의 로컬 관리자 그룹 구성원과 Linux에서 루트 권한이 있는 사용자는 에이전트를 관리할 수 있는 권한이 있습니다.

로컬 에이전트 보안 제어를 사용하여 확장 및 컴퓨터 구성 기능을 제한하여 필요한 관리 작업만 허용하도록 평가합니다( 특히 잠긴 컴퓨터 또는 중요한 컴퓨터의 경우).

관리 ID

만들 때 Microsoft Entra 시스템 할당 ID는 Azure Arc 지원 서버의 상태(예: '마지막으로 본' 하트비트)를 업데이트하는 데만 사용할 수 있습니다. 이 시스템 할당 ID에 Azure 리소스에 대한 추가 액세스 권한을 부여하면 서버의 애플리케이션이 시스템 할당 ID를 사용하여 Azure 리소스에 액세스하도록 허용할 수 있습니다(예: Key Vault에서 비밀을 요청). 다음을 수행해야 합니다.

  • 서버 애플리케이션이 액세스 토큰을 가져오고 Azure 리소스에 액세스하는 동시에 이러한 리소스의 액세스 제어를 계획하는 데 어떤 합법적인 사용 사례가 있는지 고려합니다.
  • Azure 리소스에 대한 무단 액세스를 얻기 위해 시스템 관리 ID가 오용되지 않도록 Azure Arc 지원 서버(Windows의 로컬 관리자 또는 하이브리드 에이전트 확장 애플리케이션 그룹의 구성원 및 Linux의 himds 그룹 구성원)에서 권한 있는 사용자 역할을 제어합니다.
  • Azure RBAC를 사용하여 Azure Arc 지원 서버 관리 ID에 대한 사용 권한을 제어 및 관리하고 이러한 ID에 대한 액세스를 정기적으로 검토합니다.

비밀 및 인증서 관리

Azure Key Vault를 사용하여 Azure Arc 사용 서버에서 인증서를 관리하는 것이 좋습니다. Azure Arc 지원 서버에는 연결된 컴퓨터 및 기타 Azure 에이전트가 해당 서비스에 다시 인증하는 데 사용하는 관리 ID가 있습니다. 키 자격 증명 모음 VM 확장을 사용하면 WindowsLinux 컴퓨터에서 인증서 수명 주기를 관리할 수 있습니다.

다음 이미지는 Azure Arc 사용 서버에 대한 Azure Key Vault 통합을 보여 주는 개념 참조 아키텍처를 표시합니다.

Azure Arc 사용 서버에 대한 Azure Key Vault 통합을 보여 주는 다이어그램

Azure Arc Jumpstart 프로젝트에서 Azure Arc 사용 Linux 서버를 사용하여 Key Vault 관리 인증서를 사용하는 방법을 알아봅니다.

정책 관리 및 보고

정책 기반 거버넌스는 클라우드 네이티브 운영 및 클라우드 채택 프레임워크 기본 원칙입니다. Azure Policy는 대규모로 회사 표준을 적용하고 규정 준수를 평가하는 메커니즘을 제공합니다. 배포 일관성, 규정 준수, 제어 비용에 대한 거버넌스를 구현하고 보안 태세를 개선할 수 있습니다. 규정 준수 대시보드를 사용하면 전체 상태 및 수정 기능을 집계하여 볼 수 있습니다.

Azure Arc 지원 서버는 컴퓨터 구성 정책을 사용하여 Azure 리소스 관리 계층 및 컴퓨터 운영 체제 내에서 Azure Policy를 지원합니다.

Azure 정책 범위와 정책을 적용할 수 있는 위치(관리 그룹, 구독, 리소스 그룹 또는 개별 리소스 수준)를 이해합니다. 클라우드 채택 프레임워크 엔터프라이즈급에 설명된 권장 사례에 따라 관리 그룹 디자인을 작성합니다.

다음 이미지는 Azure Arc 사용 서버에 대한 정책 및 규정 준수 보고 디자인 영역을 보여 주는 개념 참조 아키텍처를 표시합니다.

Azure 개념 참조 아키텍처에서 Azure Arc 사용 서버의 Azure Policy를 보여 주는 다이어그램

로그 관리 전략

Log Analytics 작업 영역 배포를 디자인하고 계획합니다. 이 작업 영역은 데이터가 수집, 집계, 나중에 분석되는 컨테이너가 됩니다. Log Analytics 작업 영역은 데이터의 지리적 위치, 데이터 격리, 데이터 보존과 같은 구성 범위를 나타냅니다. 필요한 작업 영역의 수와 조직 구조에 매핑되는 방법을 식별해야 합니다. 클라우드 채택 프레임워크 관리 및 모니터링 모범 사례에 설명된 대로 단일 Azure Monitor Log Analytics 작업 영역을 사용하여 RBAC를 중앙에서 관리하고 가시성 및 보고를 수행하는 것이 좋습니다.

Azure Monitor 로그 배포 디자인의 모범 사례를 검토합니다.

위협 방지 및 클라우드 보안 태세 관리

클라우드용 Microsoft Defender는 CSPM(클라우드 보안 태세 관리) 및 CWPP(클라우드 워크로드 보호 플랫폼)로 분할된 통합 보안 관리 플랫폼을 제공합니다. 하이브리드 랜딩 존의 보안을 강화하려면 Azure 및 다른 곳에 호스트되는 데이터와 자산을 보호하는 것이 중요합니다. 서버용 Microsoft Defender는 이러한 기능을 Azure Arc 사용 서버로 확장하고 엔드포인트용 Microsoft DefenderEDR(엔드포인트 검색 및 응답)을 제공합니다. 하이브리드 랜딩 존의 보안을 강화하려면 다음을 고려하세요.

  • Azure Arc 사용 서버를 사용하여 클라우드용 Microsoft Defender에서 하이브리드 리소스를 온보딩합니다.
  • Azure Policy 머신 구성을 구현 하여 모든 리소스가 규정을 준수하고 해당 보안 데이터가 Log Analytics 작업 영역으로 수집되도록 합니다.
  • 모든 구독에 Microsoft Defender를 사용하도록 설정하고 Azure Policy를 사용하여 규정 준수를 보장합니다.
  • 클라우드용 Microsoft Defender 및 Microsoft Sentinel에서 보안 정보 및 이벤트 관리 통합을 사용합니다.
  • 클라우드용 Microsoft Defender와 엔드포인트용 Microsoft Defender를 통합하여 엔드포인트를 보호합니다.
  • Azure Arc 사용 서버와 Azure 간의 연결을 보호하려면 이 가이드의 Azure Arc 사용 서버에 대한 네트워크 연결 섹션을 검토합니다.

변경 내용 추적 및 인벤토리

로그를 중앙 집중화하면 추가 보안 계층으로 사용할 수 있는 보고서가 생성되고 가시성의 간격이 줄어듭니다. Azure Automation의 변경 내용 추적 및 인벤토리는 Log Analytics 작업 영역에서 데이터를 전달하고 수집합니다. 서버에 Microsoft Defender를 사용하는 경우 FIM(파일 무결성 모니터링)을 통해 Azure Arc 사용 서버의 Windows 서비스 및 Linux 디먼에 대한 소프트웨어 변경 내용을 검사하고 추적할 수 있습니다.

소프트웨어 업데이트

Azure Arc 사용 서버를 사용하면 중앙 집중식 관리 및 대규모 모니터링을 통해 엔터프라이즈 자산을 관리할 수 있습니다. 더 구체적으로 말하자면, IT 팀에 경고 및 권장 사항을 제공하며 Windows 및 Linux VM의 업데이트 관리를 포함하는 완전한 운영 가시성을 제공합니다.

운영 체제 평가 및 업데이트는 중요 및 보안 업데이트가 릴리스될 때 보안 규정 준수를 유지하기 위한 전반적인 관리 전략의 일부여야 합니다. Azure Update Manager를 Azure 및 하이브리드 리소스 모두에 대한 장기 패치 메커니즘으로 사용합니다. Azure Policy를 사용하여 지원 종료에 도달한 Windows 버전이 있는 Azure Arc 지원 서버에 Azure Arc 지원 서버 및 EUS(확장 보안 업데이트 ) 배포를 포함하여 모든 VM의 유지 관리 구성을 확인하고 적용합니다. 자세한 내용은 Azure Update Manager 개요를 참조하세요.

RBAC(역할 기반 액세스 제어)

최소 권한 원칙따라 "기여자" 또는 "소유자" 또는 "Azure 연결된 컴퓨터 리소스 관리자"와 같은 역할이 할당된 사용자, 그룹 또는 애플리케이션은 기본적으로 Azure Arc 지원 서버에서 루트 액세스 권한이 있는 확장 배포와 같은 작업을 실행할 수 있습니다. 이러한 역할은 폭발 반경을 제한하도록 주의해서 사용하거나 결국에는 사용자 지정 역할로 대체해야 합니다.

사용자의 권한을 제한하고 서버만 Azure에 온보딩할 수 있도록 하려면 Azure Connected Machine 온보딩 역할이 적합합니다. 이 역할은 서버를 온보딩하는 데만 사용할 수 있으며 서버 리소스를 다시 온보딩하거나 삭제할 수 없습니다. 액세스 제어에 대한 자세한 내용은 Azure Arc 지원 서버 보안 개요를 검토해야 합니다.

ID 및 액세스 관련 콘텐츠에 대한 자세한 내용은 이 가이드의 Azure Arc 지원 서버에 대한 ID 및 액세스 관리 섹션을 검토합니다.

또한 Azure Monitor Log Analytics 작업 영역으로 전송되는 중요한 데이터를 고려합니다. 동일한 RBAC 원칙을 데이터 자체에 적용해야 합니다. Azure Arc 지원 서버는 컴퓨터가 등록된 Log Analytics 작업 영역에 저장된 Log Analytics 에이전트에서 수집한 로그 데이터에 대한 RBAC 액세스를 제공합니다. Azure Monitor 로그 배포 디자인 설명서에서 세밀한 Log Analytics 작업 영역 액세스를 구현하는 방법을 검토합니다.

공개 키 보호

Azure Connected Machine Agent는 공개 키 인증을 사용하여 Azure 서비스와 통신합니다. Azure Arc에 서버를 등록한 후에는 프라이빗 키가 디스크에 저장되고 에이전트가 Azure와 통신할 때마다 사용됩니다.

프라이빗 키가 도용된 경우 다른 서버에서 사용되어 서비스와 통신하고 원래 서버처럼 작동하게 할 수 있습니다. 여기에는 시스템 할당 ID에 대한 액세스 권한 및 ID가 액세스할 수 있는 모든 리소스가 포함됩니다.

프라이빗 키 파일은 하이브리드 인스턴스 메타데이터 서비스(himds) 계정 액세스만 읽을 수 있도록 보호됩니다. 서버의 운영 체제 볼륨에서 전체 디스크 암호화(예: BitLocker, dm-crypt 등)를 사용하여 오프라인 공격을 방지해야 합니다. Azure Policy 컴퓨터 구성을 사용하여 언급된 것과 같이 지정된 애플리케이션이 설치된 Windows 또는 Linux 머신 을 감사하는 것이 좋습니다.

다음 단계

하이브리드 클라우드 채택 여정에 대한 자세한 참고 자료는 다음을 검토하세요.