확장 보안
이 문서에서는 Azure Arc 지원 서버에 대한 VM 확장의 기본 사항을 설명하고 확장 설정을 사용자 지정하는 방법을 자세히 알아봅니다.
확장 기본 사항
Azure Arc 지원 서버에 대한 VM 확장은 모니터링, 패치 관리, 스크립트 실행과 같은 다른 기능을 활성화하는 선택적 추가 기능입니다. 확장은 Microsoft 및 Azure Marketplace의 엄선된 타사에서 게시하며 Microsoft 관리형 스토리지 계정에 저장됩니다. 모든 확장은 게시 프로세스의 일부로 맬웨어를 검사합니다. Azure Arc 지원 서버의 확장은 Azure VM에서 사용 가능한 확장과 동일하므로 운영 환경 전반에 걸쳐 일관성이 보장됩니다.
프라이빗 엔드포인트를 구성하지 않은 경우 확장은 설치 또는 업그레이드 시 Azure Storage(*.blob.core.windows.net)에서 직접 다운로드됩니다. 스토리지 계정은 정기적으로 변경되며 미리 예측할 수 없습니다. 프라이빗 엔드포인트를 사용하는 경우 확장은 대신 Azure Arc 서비스에 대한 지역 URL을 통해 프록시됩니다.
디지털 서명된 카탈로그 파일은 확장 패키지와 별도로 다운로드되며 확장 관리자가 확장 패키지를 열거나 실행하기 전에 각 확장의 무결성을 확인하는 데 사용됩니다. 확장을 위해 다운로드한 ZIP 파일이 카탈로그 파일의 내용과 일치하지 않으면 확장 작업이 중단됩니다.
확장 프로그램은 모니터링 에이전트를 클라우드 서비스에 연결하기 위한 프록시 URL 또는 API 키와 같이 설치를 사용자 지정하거나 구성하기 위한 설정을 사용할 수 있습니다. 확장 설정은 일반 설정과 보호 설정이라는 두 가지 형태로 제공됩니다. 보호 설정은 Azure에서 유지되지 않으며 로컬 컴퓨터에서 미사용 시 암호화됩니다.
모든 확장 작업은 API 호출, CLI, PowerShell 또는 포털 작업을 통해 Azure에서 시작됩니다. 이러한 설계는 서버의 확장을 설치, 업데이트 또는 업그레이드하는 모든 작업이 Azure 활동 로그에 기록되도록 합니다. Azure Connected Machine Agent는 문제 해결 및 정리를 위해 확장을 로컬로 제거할 수 있도록 허용합니다. 그러나 확장이 로컬로 제거되고 서비스에서는 여전히 컴퓨터에 확장이 설치되어 있을 것으로 예상하는 경우 다음에 확장 관리자가 Azure와 동기화할 때 확장이 다시 설치됩니다.
스크립트 실행
확장 관리자를 사용하면 사용자 지정 스크립트 확장 또는 실행 명령을 사용하여 컴퓨터에서 스크립트를 실행할 수 있습니다. 기본적으로 이러한 스크립트는 확장 관리자의 사용자 컨텍스트(Windows의 경우 로컬 시스템, Linux의 경우 루트)에서 실행되므로 컴퓨터에 제한 없이 액세스할 수 있습니다. 이러한 기능을 사용하지 않으려는 경우 허용 목록 또는 차단 목록을 사용하여 차단할 수 있습니다. 다음 섹션에서 예시를 확인할 수 있습니다.
로컬 에이전트 보안 컨트롤
에이전트 버전 1.16부터 필요에 따라 서버에 설치할 수 있는 확장을 제한하고 게스트 구성을 사용하지 않도록 설정할 수 있습니다. 이러한 컨트롤은 서버에서 다른 관리 기능을 사용할 수 없도록 이벤트 로그 수집과 같은 단일 용도로 서버를 Azure에 연결할 때 유용할 수 있습니다.
이러한 보안 컨트롤은 서버 자체에서 명령을 실행하는 방식으로만 구성할 수 있으며 Azure에서는 수정할 수 없습니다. 이 접근 방법은 Azure Arc에서 원격 관리 시나리오를 사용하도록 설정할 때 서버 관리자의 의도를 유지하지만 나중에 변경하기로 결정할 경우 설정을 변경하는 것이 더 어렵다는 것을 의미하기도 합니다. 이 기능은 중요한 서버를 위한 것입니다(예: Active Directory 도메인 컨트롤러, 결제 데이터를 처리하는 서버 및 엄격한 변경 제어 조치가 적용되는 서버). 대부분의 경우 이러한 설정을 수정할 필요가 없습니다.
허용 목록 및 차단 목록
Azure Connected Machine Agent는 허용 목록 및 차단 목록을 지원하여 컴퓨터에 설치할 수 있는 확장을 제한합니다. 허용 목록은 배타적입니다. 즉, 목록에 포함된 특정 확장만 설치할 수 있습니다. 차단 목록은 배타적입니다. 즉, 해당 확장을 제외한 모든 확장을 설치할 수 있습니다. 허용 목록은 향후 제공되는 새로운 확장을 본질적으로 차단하므로 차단 목록보다 선호됩니다. 허용 목록 및 차단 목록은 서버별로 로컬로 구성됩니다. 이렇게 하면 Azure에서 소유자 또는 전역 관리자 권한이 있는 사용자를 포함한 누구도 권한 없는 확장을 설치하려고 시도하여 보안 규칙을 재정의할 수 없습니다. 누군가가 권한 없는 확장을 설치하려고 하면 확장 관리자가 설치를 거부하고 Azure에 확장 설치 실패 보고를 전송합니다. 에이전트가 Azure에 연결되기 전을 포함하여 에이전트가 설치된 후 언제든지 허용 목록 및 차단 목록을 구성할 수 있습니다.
에이전트에 허용 목록 또는 차단 목록이 구성되지 않은 경우 모든 확장이 허용됩니다.
가장 안전한 옵션은 설치해도 되는 확장을 명시적으로 허용하는 것입니다. 허용 목록에 없는 모든 확장은 자동으로 차단됩니다. Linux용 Azure Monitor 에이전트만 허용하도록 Azure Connected Machine 에이전트를 구성하려면 각 서버에서 다음 명령을 실행합니다.
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorLinuxAgent"
다음은 임의 스크립트 실행 기능으로 모든 확장을 차단하는 차단 목록의 예입니다.
azcmagent config set extensions.blocklist "Microsoft.Cplat.Core/RunCommandHandlerWindows, Microsoft.Cplat.Core/RunCommandHandlerLinux,Microsoft.Compute/CustomScriptExtension,Microsoft.Azure.Extensions/CustomScript,Microsoft.Azure.Automation.HybridWorker/HybridWorkerForWindows,Microsoft.Azure.Automation/HybridWorkerForLinux,Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent, Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux"
게시자 및 형식을 슬래시 /로 구분하여 확장명을 지정합니다. 문서에서 가장 일반적인 확장 목록을 참조하거나 포털, Azure PowerShell 또는 Azure CLI의 서버에 이미 설치된 VM 확장을 나열합니다.
이 표에서는 허용 목록 또는 차단 목록이 구성된 에이전트에 대해 확장 작업을 수행할 때의 동작에 대해 설명합니다.
| 연산 | 허용 목록에 있음 | 차단 목록에 있음 | 허용 목록 및 차단 목록 모두에 있음 | 어느 목록에도 없지만 허용 목록이 구성됨 |
|---|---|---|---|---|
| 확장 설치 | 허용됨 | 차단됨 | 차단됨 | 차단됨 |
| 확장 업데이트(다시 구성) | 허용됨 | 차단됨 | 차단됨 | 차단됨 |
| 확장 업그레이드 | 허용됨 | 차단됨 | 차단됨 | 차단됨 |
| 확장 삭제 | 허용됨 | 허용됨 | 허용됨 | 허용됨 |
Important
허용 목록 또는 차단 목록을 구성하기 전에 확장이 서버에 이미 설치된 경우 자동으로 제거되지 않습니다. Azure에서 확장을 삭제하여 컴퓨터에서 확장을 완전히 제거하는 것은 사용자의 책임입니다. 이 시나리오를 수용하기 위해 삭제 요청은 항상 수락됩니다. 삭제되면 허용 목록 및 차단 목록에 따라 향후 설치 시도를 허용할지 여부가 결정됩니다.
에이전트 버전 1.35부터 확장 관리자에게 실행하도록 지시하지만 확장을 설치할 수 없도록 하는 특수 허용 목록 값 Allow/None이 있습니다. 다른 확장을 사용하지 않고 Azure Arc를 사용하여 Windows Server 2012 ESU(확장 보안 업데이트)를 제공할 때 권장되는 구성입니다.
azcmagent config set extensions.allowlist "Allow/None"
Azure 정책을 사용하여 설치할 수 있는 확장을 제한할 수도 있습니다. Azure 정책은 클라우드에서 구성할 수 있고 승인된 확장 목록을 변경해야 하는 경우 각 개별 서버에서 변경할 필요가 없다는 장점이 있습니다. 그러나 정책 할당을 수정할 수 있는 권한이 있는 사용자는 이 보호를 재정의하거나 제거할 수 있습니다. Azure 정책을 사용하여 확장을 제한하도록 선택한 경우 조직의 어떤 계정에 정책 할당을 편집할 수 있는 권한이 있는지, 그리고 적절한 변경 제어 조치가 마련되어 있는지 검토해야 합니다.
잠긴 컴퓨터 모범 사례
제한된 기능 세트로 Azure Connected Machine 에이전트를 구성할 때는 누군가가 이러한 제한을 제거하고 적절한 컨트롤을 구현하는 데 사용할 수 있는 메커니즘을 고려하는 것이 중요합니다. 서버에서 관리자 또는 루트 사용자로 명령을 실행할 수 있는 모든 사람이 Azure Connected Machine 에이전트 구성을 변경할 수 있습니다. 확장 및 게스트 구성 정책은 서버의 권한 있는 컨텍스트에서 실행되며, 따라서 에이전트 구성을 변경할 수 있습니다. 로컬 에이전트 보안 컨트롤을 적용하여 에이전트를 잠그는 경우 로컬 서버 관리자만 에이전트 구성을 업데이트할 수 있도록 다음 모범 사례가 권장됩니다.
- 가능하면 확장에 차단 목록 대신 허용 목록을 사용합니다.
- 에이전트 구성을 변경할 수 있는 임의의 스크립트의 실행을 방지하기 위해 확장 허용 목록에 사용자 지정 스크립트 확장을 포함하지 않습니다.
- 에이전트 구성을 변경할 수 있는 사용자 지정 게스트 구성 정책을 사용하지 않도록 게스트 구성을 사용하지 않도록 설정합니다.
모니터링 및 보안 시나리오에 대한 예제 구성
Azure Arc를 사용하여 Azure Monitor 및 Microsoft Sentinel로 서버를 모니터링하고, 클라우드용 Microsoft Defender로 서버를 보호하는 것이 일반적입니다. 이 섹션에는 모니터링 및 보안 시나리오만 지원하도록 에이전트를 잠그는 방법에 대한 예제가 포함되어 있습니다.
Azure Monitor Agent만
Windows 서버의 관리자 권한 명령 콘솔에서 다음 명령을 실행합니다.
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorWindowsAgent"
azcmagent config set guestconfiguration.enabled false
Linux 서버에서 다음 명령을 실행합니다.
sudo azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorLinuxAgent"
sudo azcmagent config set guestconfiguration.enabled false
Log Analytics 및 종속성(Azure Monitor VM Insights)만
이 구성은 레거시 Log Analytics 에이전트 및 종속성 에이전트에 대한 것입니다.
Windows 서버의 관리자 권한 콘솔에서 다음 명령을 실행합니다.
azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent,Microsoft.Azure.Monitoring.DependencyAgent/DependencyAgentWindows"
azcmagent config set guestconfiguration.enabled false
Linux 서버에서 다음 명령을 실행합니다.
sudo azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux,Microsoft.Azure.Monitoring.DependencyAgent/DependencyAgentLinux"
sudo azcmagent config set guestconfiguration.enabled false
모니터링 및 보안
클라우드용 Microsoft Defender는 서버에 확장을 배포하여 서버의 취약한 소프트웨어를 식별하고 엔드포인트용 Microsoft Defender를 사용하도록 설정할 수 있습니다(구성된 경우). 클라우드용 Microsoft Defender는 규정 준수 기능에 게스트 구성도 사용합니다. 사용자 지정 게스트 구성 할당을 사용하여 에이전트 제한의 실행을 취소할 수 있으므로 규정 준수 기능이 필요한지 여부와 결과적으로 컴퓨터에서 게스트 구성을 사용하도록 설정해야 하는지 여부를 신중하게 평가해야 합니다.
Windows 서버의 관리자 권한 명령 콘솔에서 다음 명령을 실행합니다.
azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent,Qualys/WindowsAgent.AzureSecurityCenter,Microsoft.Azure.AzureDefenderForServers/MDE.Windows,Microsoft.Azure.AzureDefenderForSQL/AdvancedThreatProtection.Windows"
azcmagent config set guestconfiguration.enabled true
Linux 서버에서 다음 명령을 실행합니다.
sudo azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux,Qualys/LinuxAgent.AzureSecurityCenter,Microsoft.Azure.AzureDefenderForServers/MDE.Linux"
sudo azcmagent config set guestconfiguration.enabled true
에이전트 모드
모니터링 및 보안 시나리오에 대한 로컬 보안 컨트롤을 구성하는 더 간단한 방법은 에이전트 버전 1.18 이상에서 사용할 수 있는 모니터 모드를 사용하는 것입니다. 모드는 Microsoft에서 유지 관리하는 확장 허용 목록 및 게스트 구성 에이전트의 미리 정의된 구성입니다. 모니터링 시나리오를 사용하도록 설정하는 새 확장을 사용할 수 있게 되면 Microsoft는 새 기능을 적절하게 포함하거나 제외하도록 허용 목록 및 에이전트 구성을 업데이트합니다.
두 가지 모드 중에서 선택할 수 있습니다.
- full - 기본 모드입니다. 이는 모든 에이전트 기능을 허용합니다.
- monitor - 게스트 구성 정책 에이전트를 사용하지 않도록 설정하고 모니터링 및 보안과 관련된 확장만 사용하도록 허용하는 제한된 모드입니다.
모니터 모드를 사용하도록 설정하려면 다음 명령을 실행합니다.
azcmagent config set config.mode monitor
다음 명령을 사용하여 에이전트의 현재 모드 및 허용된 확장을 확인할 수 있습니다.
azcmagent config list
모니터 모드에서는 확장 허용 목록 또는 차단 목록을 수정할 수 없습니다. 두 목록 중 하나를 변경해야 하는 경우 에이전트를 전체 모드로 다시 변경하고 고유한 허용 목록 및 차단 목록을 지정합니다.
에이전트를 전체 모드로 다시 변경하려면 다음 명령을 실행합니다.
azcmagent config set config.mode full
확장 관리자 비활성화
Azure Arc에서 확장을 사용할 필요가 없는 경우 확장 관리자를 완전히 비활성화할 수도 있습니다. 다음 명령을 사용하여 확장 관리자를 비활성화할 수 있습니다(각 컴퓨터에서 로컬로 실행).
azcmagent config set extensions.enabled false
확장 관리자를 사용하지 않도록 설정해도 서버에 이미 설치된 확장은 제거되지 않습니다. 자체 Windows 또는 Linux 서비스에서 호스트되는 확장(예: Log Analytics Agent)은 확장 관리자가 사용하지 않도록 설정된 경우에도 계속 실행할 수 있습니다. 확장 관리자 자체에서 호스트하는 다른 확장(예: Azure Monitor Agent)은 확장 관리자가 사용하지 않도록 설정된 경우 실행되지 않습니다. 확장 관리자를 사용하지 않도록 설정하기 전에 확장을 제거하여 서버에서 확장이 계속 실행되지 않도록 해야 합니다.