다음을 통해 공유


Azure Stack Hub의 비밀 순환

이 문서에서는 Azure Stack Hub 인프라 리소스 및 서비스와의 보안 통신을 유지하기 위해 비밀 회전을 수행하기 위한 지침을 제공합니다.

개요

Azure Stack Hub는 비밀을 사용하여 인프라 리소스 및 서비스와의 보안 통신을 유지합니다. Azure Stack Hub 인프라의 무결성을 유지하려면 운영자는 조직의 보안 요구 사항과 일치하는 빈도로 비밀을 회전할 수 있는 기능이 필요합니다.

비밀이 만료에 가까워지면 관리자 포털에서 다음 경고가 생성됩니다. 비밀 회전을 완료하면 다음 경고가 해결됩니다.

  • 보류 중인 서비스 계정 암호 만료
  • 보류 중인 내부 인증서가 만료됨
  • 보류 중인 외부 인증서가 만료됨

Warning

만료 전에 관리자 포털에서 트리거되는 경고의 2단계는 다음과 같습니다.

  • 만료 90일 전에 경고 경고가 생성됩니다.
  • 만료 30일 전에 중요한 경고가 생성됩니다.

이러한 알림을 받는 경우 비밀 순환을 완료하는 것이 중요합니다. 이렇게 하지 않으면 워크로드가 손실될 수 있으며 Azure Stack Hub를 자체 비용으로 다시 배포해야 할 수 있습니다.

경고 모니터링 및 수정에 대한 자세한 내용은 Azure Stack Hub상태 및 경고 모니터링 참조하세요.

필수 조건

  1. 지원되는 버전의 Azure Stack Hub를 실행하고 인스턴스가 실행 중인 Azure Stack Hub 버전에 사용 가능한 최신 핫픽스를 적용하는 것이 좋습니다. 예를 들어 2408을 실행하는 경우 2408에 사용 가능한 최신 핫픽스를 설치했는지 확인합니다.
  2. 계획된 유지 관리 작업을 사용자에게 알립니다. 업무 외 시간에는 가능한 한 정상적인 유지 관리 기간을 예약합니다. 유지 관리 작업은 사용자 워크로드와 포털 작업 모두에 영향을 줄 수 있습니다.
  3. Azure Stack Hub에 대한 인증서 서명 요청을 생성합니다.
  4. Azure Stack Hub PKI 인증서를 준비합니다.
  5. 비밀 회전 중에 운영자는 경고가 열렸다가 자동으로 닫히는 것을 발견할 수 있습니다. 이는 예상된 동작이며 경고를 무시해도 됩니다. 운영자는 Test-AzureStack PowerShell cmdlet사용하여 이러한 경고의 유효성을 확인할 수 있습니다. 운영자가 System Center Operations Manager를 사용하여 Azure Stack Hub 시스템을 모니터링하는 경우 시스템을 유지 관리 모드로 설정하면 이러한 경고가 ITSM 시스템에 도달하지 못하게 됩니다. 그러나 Azure Stack Hub 시스템에 연결할 수 없게 되면 경고가 계속 표시됩니다.

외부 비밀 회전

Important

다음을 위한 외부 비밀 회전:

이 섹션에서는 외부 연결 서비스를 보호하는 데 사용되는 인증서의 회전에 대해 설명합니다. 이러한 인증서는 Azure Stack Hub 운영자가 다음 서비스에 대해 제공합니다.

  • 관리자 포털
  • Public portal
  • Administrator Azure Resource Manager
  • Global Azure Resource Manager
  • Administrator Key Vault
  • Key Vault
  • Admin Extension Host
  • ACS(BLOB, 테이블 및 큐 스토리지 포함)
  • ADFS1
  • 그래프 1
  • Container Registry2

1ADFS(Active Directory Federated Services)를 사용하는 경우 적용할 수 있습니다.

2ACR(Azure Container Registry)을 사용하는 경우 적용할 수 있습니다.

준비

외부 비밀을 회전하기 전에

  1. 매개 변수를 Test-AzureStack 사용하여 -group SecretRotationReadiness PowerShell cmdlet을 실행하여 비밀을 회전하기 전에 모든 테스트 출력이 정상인지 확인합니다.

  2. 교체용 새 외부 인증서 집합을 준비합니다.

    • 새 집합은 Azure Stack Hub PKI 인증서 요구 사항에 설명된 인증서 사양과 일치해야 합니다.

    • CSR(인증서 서명 요청)을 생성하여 CA(인증 기관)에 제출합니다. 인증서 서명 요청 생성에 설명된 단계를 사용하고 PKI 인증서 준비의 단계를 사용하여 Azure Stack Hub 환경에서 사용하도록 준비합니다. Azure Stack Hub는 다음 컨텍스트에서 새 CA(인증 기관)의 외부 인증서에 대한 비밀 회전을 지원합니다.

      CA에서 회전 CA로 회전 Azure Stack Hub 버전 지원
      자체 서명 Enterprise 1903년 이후
      자체 서명 자체 서명 지원되지 않음
      자체 서명 공공의* 1803 이상
      Enterprise Enterprise 1803 이상; 배포 시 사용된 것과 동일한 엔터프라이즈 CA인 경우 1803-1903
      Enterprise 자체 서명 지원되지 않음
      Enterprise 공공의* 1803 이상
      공공의* Enterprise 1903년 이후
      공공의* 자체 서명 지원되지 않음
      공공의* 공공의* 1803 이상

      *Windows 신뢰할 수 있는 루트 프로그램의 일부입니다.

    • PKI 인증서 유효성 검사에 설명된 단계를 사용하여 준비한 인증서의 유효성을 검사해야 합니다.

    • 암호에 특수 문자(예$: ,*,,#,@or))가 없는지 확인합니다.

    • PFX 암호화가 TripleDES-SHA1인지 확인합니다. 문제가 발생하면 Azure Stack Hub PKI 인증서의 일반적인 문제 해결을 참조 하세요.

  3. 회전에 사용되는 인증서의 백업을 안전한 백업 위치에 저장합니다. 회전이 실행되고 실패한 경우 회전을 다시 실행하기 전에 파일 공유의 인증서를 백업 복사본으로 바꿉니다. 백업 복사본을 안전한 백업 위치에 보관합니다.

  4. ERCS VM에서 액세스할 수 있는 파일 공유를 만듭니다. 파일 공유는 CloudAdmin ID에 대해 읽을 수 있고 쓰기 가능해야 합니다.

  5. 파일 공유에 액세스할 수 있는 컴퓨터에서 PowerShell ISE 콘솔을 엽니다. 파일 공유로 이동하여 외부 인증서를 저장할 디렉터리를 만듭니다.

  6. 파일 공유에 라는 폴더를 만듭니다 Certificates. 인증서 폴더 내에서 허브에서 사용하는 ID 공급자에 따라 이름이 지정된 AAD 하위 폴더를 만듭니다 ADFS. 예를 들어 .\Certificates\AAD 또는 .\Certificates\ADFS입니다. 여기에서 인증서 폴더 및 ID 공급자 하위 폴더 외에 다른 폴더를 만들 수 없습니다.

  7. 2 단계에서 만든 새 대체 외부 인증서 집합을 6단계에서 만든 .\Certificates\<IdentityProvider> 폴더에 복사합니다. 앞에서 설명한 것처럼 ID 공급자 하위 폴더는 AAD 또는 ADFS합니다. 대체 외부 인증서의 주체 대체 이름(SAN)이Azure Stack Hub PKI(공개 키 인프라) 인증서 요구 사항에 지정된 형식을 따르는지 확인합니다.

    다음은 Microsoft Entra ID 공급자에 대한 폴더 구조의 예입니다.

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───Container Registry*
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    

*Microsoft Entra ID 및 AD FS용 Azure Container Registry를 사용할 때 적용할 수 있습니다.

참고 항목

외부 컨테이너 레지스트리 인증서를 회전하는 경우 ID 공급자 하위 폴더에 Container Registry 하위 폴더를 수동으로 만들어야 합니다. 또한 수동으로 만든 이 하위 폴더 내에 해당 .pfx 인증서를 저장해야 합니다.

회전

외부 비밀을 회전하려면 다음 단계를 완료합니다.

  1. 다음 PowerShell 스크립트를 사용하여 비밀을 회전합니다. 이 스크립트를 사용하려면 PEP(권한 있는 엔드포인트) 세션에 액세스해야 합니다. PEP는 PEP를 호스트하는 VM(가상 머신)의 원격 PowerShell 세션을 통해 액세스됩니다. 통합 시스템을 사용하는 경우 각각 다른 호스트의 VM(접두사-ERCS01, Prefix-ERCS02 또는 Prefix-ERCS03) 내에서 실행되는 PEP 인스턴스가 세 개 있습니다. 스크립트에서 수행하는 단계는 다음과 같습니다.

    • CloudAdmin 계정을 사용하여 권한 있는 엔드포인트를 사용하여 PowerShell 세션을 만들고 세션을 변수로 저장합니다. 이 변수는 다음 단계에서 매개 변수로 사용됩니다.

    • Invoke-Command를 실행하여 PEP 세션 변수를 -Session 매개 변수로 전달합니다.

    • 다음 매개 변수를 사용하여 PEP 세션에서 실행됩니다 Start-SecretRotation . 자세한 내용은 Start-SecretRotation 참조를 참조하세요.

      매개 변수 변수 설명
      -PfxFilesPath $CertSharePath 준비 섹션의 6단계에서 설명한 대로 인증서 루트 폴더에 대한 네트워크 경로입니다. 예를 들면 다음과 같습니다\\<IPAddress>\<ShareName>\Certificates.
      -PathAccessCredential $CertShareCreds 공유에 대한 자격 증명에 대한 PSCredential 개체입니다.
      -CertificatePassword $CertPassword 생성된 모든 pfx 인증서 파일에 사용되는 암호의 보안 문자열입니다.
    # Create a PEP session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run secret rotation
    $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPsession -ScriptBlock {
        param($CertSharePath, $CertPassword, $CertShareCreds )
        Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
    } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
    Remove-PSSession -Session $PEPSession
    
  2. 외부 비밀 회전에는 약 1시간이 걸립니다. 성공적으로 완료되면 콘솔에 메시지가 표시 ActionPlanInstanceID ... CurrentStatus: Completed 되고 그 다음에 잇 Action plan finished with status: 'Completed'습니다. 준비 섹션에서 만든 공유에서 인증서를 제거하고 보안 백업 위치에 저장합니다.

    참고 항목

    비밀 회전이 실패하면 오류 메시지의 지침을 따르고 -ReRun 매개 변수를 사용하여 Start-SecretRotation 다시 실행합니다.

    Start-SecretRotation -ReRun
    

    반복되는 비밀 회전 오류가 발생하는 경우 지원에 문의하세요.

  3. 필요에 따라 모든 외부 인증서가 회전되었는지 확인하려면 다음 스크립트를 사용하여 Test-AzureStack 유효성 검사 도구를 실행합니다.

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
    

내부 비밀 회전

내부 비밀에는 Azure Stack Hub 운영자의 개입 없이 Azure Stack Hub 인프라에서 사용되는 인증서, 암호, 보안 문자열 및 키가 포함됩니다. 내부 비밀 순환은 손상된 것으로 의심되거나 만료 경고를 받은 경우에만 필요합니다.

내부 비밀을 회전하려면 다음 단계를 완료합니다.

  1. 다음 PowerShell 스크립트를 실행합니다. 내부 비밀 회전의 경우 "비밀 회전 실행" 섹션에서는 Start-SecretRotation cmdlet-Internal 매개 변수만 사용합니다.

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run Secret Rotation
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    
  2. 성공적으로 완료되면 콘솔에 ActionPlanInstanceID ... CurrentStatus: Completed 메시지와 Action plan finished with status: 'Completed'표시됩니다.

    참고 항목

    비밀 회전이 실패하면 오류 메시지의 지침을 따르고 -Internal-ReRun 매개 변수를 사용하여 Start-SecretRotation 다시 실행합니다.

    Start-SecretRotation -Internal -ReRun
    

    반복되는 비밀 회전 오류가 발생하는 경우 지원에 문의하세요.

Azure Stack Hub 루트 인증서 회전

Azure Stack Hub 루트 인증서는 배포 중에 5년이 만료된 상태에서 프로비전됩니다. 2108부터 내부 비밀 회전도 루트 인증서를 회전합니다. 표준 비밀 만료 경고는 루트 인증서의 만료를 식별하고 90일(경고) 및 30(중요) 일 모두에서 경고를 생성합니다.

루트 인증서를 회전하려면 시스템을 2108로 업데이트하고 내부 비밀 회전을 수행해야 합니다.

다음 예제에서는 권한 있는 엔드포인트를 사용하여 루트 인증서의 만료 날짜를 나열합니다.

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub root certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

BMC 자격 증명 업데이트

베이스보드 관리 컨트롤러는 서버의 물리적 상태를 모니터링합니다. BMC의 사용자 계정 이름 및 암호를 업데이트하는 지침은 OEM(원래 장비 제조업체) 하드웨어 공급업체를 참조하세요.

참고 항목

OEM에서 추가 관리 앱을 제공할 수 있습니다. 다른 관리 앱의 사용자 이름 또는 암호를 업데이트해도 BMC 사용자 이름 또는 암호에는 영향을 주지 않습니다.

  1. OEM 지침에 따라 Azure Stack Hub 물리적 서버에서 BMC를 업데이트합니다. 사용자 환경의 각 BMC에 대한 사용자 이름과 암호는 동일해야 합니다. BMC 사용자 이름은 16자를 초과할 수 없습니다.
  1. OEM 지침에 따라 Azure Stack Hub 물리적 서버에서 BMC 자격 증명을 먼저 업데이트할 필요가 없습니다. 사용자 환경의 각 BMC에 대한 사용자 이름과 암호는 동일해야 하며 16자를 초과할 수 없습니다.
  1. Azure Stack Hub 세션에서 권한 있는 엔드포인트를 엽니다. 자세한 내용은 Azure Stack Hub에서 권한 있는 엔드포인트 사용을 참조하세요.

  2. 권한 있는 엔드포인트 세션을 연 후 아래 PowerShell 스크립트 중 하나를 실행합니다. 이 스크립트는 Invoke-Command 사용하여 Set-BmcCredential실행합니다. 선택적 -BypassBMCUpdate 매개 변수를 Set-BMCCredential사용하는 경우 BMC의 자격 증명이 업데이트되지 않습니다. Azure Stack Hub 내부 데이터 저장소만 업데이트됩니다. 권한 있는 엔드포인트 세션 변수를 매개 변수로 전달합니다.

    다음은 사용자 이름 및 암호를 묻는 PowerShell 스크립트 예제입니다.

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    또한 사용자 이름 및 암호를 변수로 인코딩할 수 있으며, 보안이 떨어질 수 있습니다.

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

참조: Start-SecretRotation cmdlet

Start-SecretRotation cmdlet 은 Azure Stack Hub 시스템의 인프라 비밀을 회전합니다. 이 cmdlet은 매개 변수의 PEP 세션을 전달하는 스크립트 블록을 사용하여 Invoke-Command Azure Stack Hub 권한 있는 엔드포인트에 -Session 대해서만 실행할 수 있습니다. 기본적으로 모든 외부 네트워크 인프라 엔드포인트의 인증서만 회전합니다.

매개 변수 Type Required Position 기본값 설명
PfxFilesPath 문자열 False named None 모든 외부 네트워크 엔드포인트 인증서를 포함하는 \Certificates 루트 폴더의 파일 공유 경로입니다. 외부 비밀을 회전할 때만 필요합니다. 경로는 \\IPAddress\ShareName<\>Certificates>야 합니다.
CertificatePassword SecureString False named None -PfXFilesPath에 제공된 모든 인증서의 암호입니다. 외부 비밀이 회전될 때 PfxFilesPath가 제공되는 경우 필수 값입니다.
Internal 문자열 False named None 내부 플래그는 Azure Stack Hub 운영자가 내부 인프라 비밀을 회전하려고 할 때마다 사용해야 합니다.
PathAccessCredential PSCredential False named None 모든 외부 네트워크 엔드포인트 인증서를 포함하는 \Certificates 디렉터리의 파일 공유에 대한 PowerShell 자격 증명입니다. 외부 비밀을 회전할 때만 필요합니다.
ReRun SwitchParameter False named None 실패한 시도 후 비밀 회전이 다시 시도될 때마다 사용해야 합니다.

구문

외부 비밀 회전의 경우

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

내부 비밀 회전의 경우

Start-SecretRotation [-Internal]  

외부 비밀 회전 다시 실행

Start-SecretRotation [-ReRun]

내부 비밀 회전 다시 실행

Start-SecretRotation [-ReRun] [-Internal]

예제

내부 인프라 비밀만 회전

이 명령은 Azure Stack Hub 환경의 권한 있는 엔드포인트를 통해 실행되어야 합니다.

Start-SecretRotation -Internal

이 명령은 Azure Stack Hub 내부 네트워크에 노출되는 모든 인프라 비밀을 회전합니다.

외부 인프라 비밀만 회전

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

이 명령은 Azure Stack Hub의 외부 네트워크 인프라 엔드포인트에 사용되는 TLS 인증서를 회전합니다.

다음 단계

Azure Stack Hub 보안에 대해 자세히 알아보기