Azure Stack HCI에서 신뢰할 수 있는 엔터프라이즈 가상화 구현
재무 운영의 매우 민감한 성격을 고려할 때 Contoso 경영진은 Azure Stack HCI에서 실행되는 데이터를 사이버 위협으로부터 보호하기를 바랍니다. 클러스터 노드에서 실행 중인 운영 체제가 악용되는 경우에도 마찬가지입니다. 이러한 요구를 해결하기 위해 Azure Stack HCI 하드웨어 및 하이퍼바이저에 기본으로 제공되며 신뢰할 수 있는 엔터프라이즈 가상화 기능을 사용하려고 합니다.
Azure Stack HCI 시나리오에서 신뢰할 수 있는 엔터프라이즈 가상화의 이점은 무엇인가요?
Azure Stack HCI는 VBS(가상화 기반 보안)에 대한 기본 제공 지원을 통해 신뢰할 수 있는 엔터프라이즈 가상화를 제공합니다. VBS는 Hyper-V를 사용하여 가상 보안 모드라고 하는 메커니즘을 구현합니다. 이를 통해 개별 VM 내에 격리된 메모리 영역을 만들 수 있습니다. 이러한 영역은 커널 수준 코드를 포함하여 게스트 VM 및 Hyper-V 호스트 내에서 실행되는 운영 체제로부터 보호됩니다.
소프트웨어 개발자는 프로그래밍 기술을 사용하여 동일한 하드웨어에서 실행되는 다른 소프트웨어에 노출하지 않고 이러한 격리된 메모리 영역에서 지정된 보안에 민감한 작업을 수행하는 애플리케이션을 구현할 수 있습니다. 이렇게 하면 Hyper-V 호스트의 운영 체제 커널을 손상하는 익스플로잇을 포함하여 다양한 익스플로잇에 대한 취약성을 최소화할 수 있습니다.
VBS를 통해 HVCI(하이퍼바이저 적용 코드 무결성) 및 Credential Guard를 구현할 수 있으므로 Azure Stack HCI 기반 워크로드를 보호하는 데 도움이 됩니다. HVCI 코드 무결성 정책 적용은 코드 무결성을 향상시켜 디바이스 드라이버 및 운영 체제 파일 무단 변경을 확인하고 수정합니다. HVCI는 가상 보안 모드 내에서 코드 무결성 서비스를 실행하여 운영 체제 기반 맬웨어로부터 서비스를 보호합니다. Credential Guard는 캐시된 로그인 자격 증명을 가상 보안 모드에 저장하여 보호합니다. 두 기능 모두 Azure Stack HCI 하드웨어에 포함된 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용합니다.
Azure Stack HCI 워크로드에 신뢰할 수 있는 엔터프라이즈 가상화 구현
Azure Stack HCI VDI에서 실행되는 워크로드를 사이버 위협으로부터 보호해야 한다는 Contoso 경영진의 요구를 해결하기 위해 신뢰할 수 있는 엔터프라이즈 가상화를 사용하기로 결정했습니다. 계획은 개략적으로 다음 단계를 포함합니다.
신뢰할 수 있는 엔터프라이즈 가상화에 최적화된 Azure Stack HCI 하드웨어를 확인하고 구매합니다. Azure Stack HCI 카탈로그에는 통합 시스템 및 유효성이 검사된 노드의 검색 필터링 조건 중 하나로 신뢰할 수 있는 엔터프라이즈 가상화가 포함되어 있습니다.
HVCI를 활성화합니다. HVCI는 Azure Stack HCI 인증 하드웨어에서 사용할 수 있지만 자동으로 활성화되지는 않습니다. 활성화하려면 그룹 정책 또는 직접 레지스트리 변경을 사용하세요.
필요한 경우 Azure Stack HCI를 Azure Defender와 통합합니다. Azure Defender는 Azure Stack HCI VM에서 실행되는 워크로드를 포함하여 온-프레미스 워크로드를 위한 클라우드 기반 고급 보안 관리 및 위협 검색 이점을 제공합니다.