Azure Local 및 ISO/IEC 27001:2022
이 문서에서는 Azure Local을 통해 조직이 클라우드 및 온-프레미스에서 ISO/IEC 27001:2022의 보안 제어 요구 사항을 충족하는 방법을 간략하게 설명합니다. Azure 로컬 및 보안 표준에서 Azure 로컬 및 기타 보안 표준에 대해 자세히 알아봅니다.
ISO/IEC 27001:2022
ISO/IEC 27001은 ISMS(정보 보안 관리 시스템)를 설정, 구현, 운영, 모니터링, 유지 관리 및 개선하기 위한 요구 사항을 지정하는 글로벌 보안 표준입니다. ISO/IEC 27001:2022 인증을 통해 조직은 보안 태세를 강화하고, 고객과의 신뢰를 구축하며, PCI DSS, HIPAA, HITRUST 및 FedRAMP와 같은 정보 보안을 포함하는 다양한 법률 및 규제 의무를 충족할 수 있습니다. ISO/IEC 27001에서 표준에 대해 자세히 알아보세요.
Azure 로컬
Azure Local은 조직의 온-프레미스 인프라와 Azure 클라우드 서비스 간의 원활한 통합을 제공하는 하이브리드 솔루션으로, 법적 또는 개인 정보 보호를 위해 데이터가 온-프레미스에 남아 있어야 하는 경우 가상화된 워크로드와 컨테이너를 통합하고 클라우드 효율성을 높일 수 있습니다. 솔루션에 대한 ISO/IEC 27001:2022 인증을 원하는 조직은 클라우드 및 온-프레미스 환경을 모두 고려해야 합니다.
연결된 클라우드 서비스
Azure Local은 하이브리드 환경에 새로운 기능을 제공하기 위해 Azure Monitor, Azure Backup 및 Azure Site Recovery와 같은 여러 Azure 서비스와 긴밀한 통합을 제공합니다. 이러한 클라우드 서비스는 ISO/IEC 27001:2022 규정 준수에 대한 정기적인 독립적인 타사 감사를 거칩니다. Azure 규정 준수 제품인 ISO/IEC 27001:2022에서 Azure ISO/IEC 27001:2022 인증서 및 감사 보고서를 검토할 수 있습니다.
Important
Azure 규정 준수 상태는 조직이 Azure 플랫폼에서 빌드하거나 호스트하는 서비스에 대해 ISO/IEC 27001 인증을 부여하지 않습니다. 조직은 ISO/IEC 27001:2022 요구 사항을 사용하여 운영 준수를 보장할 책임이 있습니다.
온-프레미스 솔루션
온-프레미스에서 Azure Local은 조직이 ISO/IEC 27001:2022의 보안 요구 사항을 충족하는 데 도움이 되는 다양한 기능을 제공합니다. 다음 섹션에서는 자세한 정보를 제공합니다.
ISO/IEC 27001:2022와 관련된 Azure 로컬 기능
이 섹션에서는 조직에서 Azure 로컬 기능을 사용하여 ISO/IEC 27001:2022의 부록 A의 보안 제어를 충족하는 방법을 간략하게 설명합니다. 다음 정보는 기술 요구 사항만 다룹니다. Azure Local은 영향을 줄 수 없으므로 보안 작업과 관련된 요구 사항은 범위를 벗어났습니다. 이 지침은 부록 A의 9개 도메인으로 구성됩니다.
이 문서의 지침에서는 Azure 로컬 기능을 사용하여 각 도메인의 요구 사항을 충족하는 방법을 간략하게 설명합니다. 모든 컨트롤이 필수인 것은 아닙니다. 조직은 환경을 분석하고 위험 평가를 수행하여 필요한 제어를 결정해야 합니다. 요구 사항에 대한 자세한 내용은 ISO/IEC 27001을 참조하세요.
네트워크 보안
이 섹션에 설명된 네트워크 보안 기능은 ISO/IEC 27001 표준에 지정된 다음 보안 제어를 충족하는 데 도움이 될 수 있습니다.
- 8.20 – 네트워크 보안
- 8.21 – 네트워크 서비스의 보안
- 8.22 – 네트워크 분리
- 8.23 – 웹 필터링
Azure Local을 사용하면 네트워크 보안 제어를 적용하여 플랫폼 및 플랫폼에서 실행되는 워크로드를 외부 및 내부의 네트워크 위협으로부터 보호할 수 있습니다. 또한 Azure Local은 호스트에서 공정한 네트워크 할당을 보장하고 부하 분산 기능을 사용하여 워크로드 성능 및 가용성을 향상시킵니다. 다음 문서에서 Azure Local의 네트워크 보안에 대해 자세히 알아봅니다.
- 데이터 센터 방화벽 개요
- SDN(소프트웨어 정의 네트워크)용 SLB(소프트웨어 부하 분산 장치)
- SDN용 RAS(원격 액세스 서비스) 게이트웨이
- Azure Local에서 호스트되는 워크로드에 대한 서비스 품질 정책
ID 및 액세스 관리
이 섹션에 설명된 ID 및 액세스 관리 기능은 ISO/IEC 27001 표준에 지정된 다음 보안 제어를 충족하는 데 도움이 될 수 있습니다.
- 8.2 – 권한 있는 액세스 권한
- 8.3 – 정보 액세스 제한
- 8.5 – 보안 인증
Azure Local은 Azure Arc 및 Windows PowerShell과 같은 여러 인터페이스를 통해 컴퓨터에서 실행되는 기본 시스템에 대한 전체 및 직접 액세스를 제공합니다. 로컬 환경에서 기존 Windows 도구 또는 Microsoft Entra ID(이전의 Azure Active Directory)와 같은 클라우드 기반 솔루션을 사용하여 ID 및 플랫폼에 대한 액세스를 관리할 수 있습니다. 두 경우 모두 MFA(다단계 인증), 조건부 액세스, RBAC(역할 기반 액세스 제어) 및 PIM(권한 있는 ID 관리)과 같은 기본 제공 보안 기능을 활용하여 환경이 안전하고 규정을 준수하도록 할 수 있습니다.
Microsoft Identity Manager 및 Active Directory 도메인 Services용 Privileged Access Management에서 로컬 ID 및 액세스 관리에 대해 자세히 알아봅니다. Microsoft Entra ID에서 클라우드 기반 ID 및 액세스 관리에 대해 자세히 알아봅니다.
데이터 보호
이 섹션에 설명된 데이터 보호 기능은 ISO/IEC 27001 표준에 지정된 다음 보안 제어를 충족하는 데 도움이 될 수 있습니다.
- 8.5 – 보안 인증
- 8.20 – 네트워크 보안
- 8.21 - 네트워크 서비스 보안
- 8.24 – 암호화 사용
BitLocker를 사용하여 데이터 암호화
Azure 로컬 인스턴스에서 모든 미사용 데이터는 BitLocker XTS-AES 256비트 암호화를 통해 암호화할 수 있습니다. 기본적으로 시스템에서는 BitLocker를 사용하여 Azure 로컬 배포의 모든 OS(운영 체제) 볼륨 및 CSV(클러스터 공유 볼륨)를 암호화하는 것이 좋습니다. 배포 후 추가된 새 스토리지 볼륨의 경우 BitLocker를 수동으로 켜서 새 스토리지 볼륨을 암호화해야 합니다. BitLocker를 사용하여 데이터를 보호하면 조직이 ISO/IEC 27001을 준수하는 데 도움이 될 수 있습니다. CSV(클러스터 공유 볼륨)와 함께 BitLocker 사용에 대해 자세히 알아보세요.
TLS/DTLS를 사용하여 외부 네트워크 트래픽 보호
기본적으로 로컬 및 원격 엔드포인트에 대한 모든 호스트 통신은 TLS1.2, TLS1.3 및 DTLS 1.2를 사용하여 암호화됩니다. 플랫폼은 TLS/DTLS 1.1 SMB1과 같은 이전 프로토콜/해시 사용을 사용하지 않도록 설정합니다. 또한 Azure Local은 NIST 곡선 P-256 및 P-384로만 제한된 SDL 규격 타원 곡선과 같은 강력한 암호 그룹을 지원합니다.
SMB(서버 메시지 블록)를 사용하여 내부 네트워크 트래픽 보호
SMB 서명은 기본적으로 Azure 로컬 인스턴스의 클라이언트 연결에 사용하도록 설정됩니다. 클러스터 내 트래픽의 경우 SMB 암호화는 배포 중 또는 배포 후에 조직에서 시스템 간 전송 중인 데이터를 보호하기 위해 사용할 수 있는 옵션입니다. AES-256-GCM 및 AES-256-CCM 암호화 제품군은 이제 클라이언트-서버 파일 트래픽 및 클러스터 내 데이터 패브릭에서 사용하는 SMB 3.1.1 프로토콜에서 지원됩니다. 이 프로토콜은 보다 광범위하게 호환되는 AES-128 제품군도 계속 지원합니다. SMB 보안 향상에 대해 자세히 알아보세요.
로깅
이 섹션에 설명된 로깅 기능은 ISO/IEC 27001 표준에 지정된 다음 보안 제어를 충족하는 데 도움이 될 수 있습니다.
- 8.15 – 로깅
- 8.17 – 클록 동기화
로컬 시스템 로그
기본적으로 Azure 로컬 인스턴스 내에서 수행되는 모든 작업은 기록되므로 플랫폼에서 누가 무엇을, 언제, 어디서 수행했는지 추적할 수 있습니다. Windows Defender에서 만든 로그 및 경고도 포함되어 데이터 손상의 가능성과 영향을 방지, 감지 및 최소화할 수 있습니다. 그러나 시스템 로그에는 대용량 정보가 포함되어 있는 경우가 많기 때문에 정보 보안 모니터링과는 관련이 없는 경우가 많으므로 보안 모니터링을 위해 수집 및 활용해야 하는 이벤트를 식별해야 합니다. Azure 모니터링 기능은 해당 로그를 수집, 저장, 경고 및 분석하는 데 도움이 됩니다. 자세한 내용은 Azure Local의 보안 기준을 참조하세요.
로컬 활동 로그
Azure 로컬 수명 주기 관리자는 실행된 모든 작업 계획에 대한 활동 로그를 만들고 저장합니다. 이러한 로그는 심층 조사 및 모니터링을 지원합니다.
클라우드 활동 로그
Azure에 시스템을 등록하면 Azure Monitor 활동 로그를 사용하여 구독 계층의 각 리소스에 대한 작업을 기록하여 구독의 리소스에 대해 수행된 쓰기 작업(배치, 게시 또는 삭제)에 대해 수행할 대상, 대상 및 시기를 결정할 수 있습니다.
클라우드 ID 로그
Microsoft Entra ID를 사용하여 플랫폼에 대한 ID 및 액세스를 관리하는 경우 Azure AD 보고에서 로그를 보거나 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있습니다. 온-프레미스 Active Directory 사용하는 경우 Microsoft Defender for Identity 솔루션을 사용하여 온-프레미스 Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 조직을 대상으로 하는 악의적인 내부자 작업을 식별, 감지 및 조사합니다.
SIEM 통합
클라우드용 Microsoft Defender 및 Microsoft Sentinel은 기본적으로 Arc 지원 Azure 로컬 머신과 통합됩니다. 로그를 사용하도록 설정하고 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 기능을 제공하는 Microsoft Sentinel에 등록할 수 있습니다. Microsoft Sentinel은 다른 Azure 클라우드 서비스와 마찬가지로 ISO/IEC 27001과 같은 많은 잘 설정된 보안 표준을 준수하므로 인증 프로세스에 도움이 될 수 있습니다. 또한 Azure Local은 시스템 이벤트를 타사 SIEM 솔루션으로 보내는 네이티브 syslog 이벤트 전달자를 제공합니다.
모니터링
이 섹션에 설명된 모니터링 기능은 ISO/IEC 27001 표준에 지정된 다음 보안 제어를 충족하는 데 도움이 될 수 있습니다.
- 8.15 – 로깅
Azure Local에 대한 인사이트
Azure Local에 대한 인사이트를 사용하면 Azure에 연결되고 모니터링에 등록된 시스템의 상태, 성능 및 사용량 정보를 모니터링할 수 있습니다. Insights 구성 중에 수집할 데이터를 지정하는 데이터 수집 규칙이 만들어집니다. 이 데이터는 Log Analytics 작업 영역에 저장되며, Azure 통합 문서를 사용하여 미리 빌드된 모니터링 대시보드를 제공하기 위해 집계, 필터링 및 분석됩니다. Azure 로컬 리소스 페이지 또는 Azure Monitor에서 단일 노드 및 다중 노드 시스템 모두에 대한 모니터링 데이터를 볼 수 있습니다. Insights를 사용하여 Azure Local 모니터링에서 자세히 알아보세요.
Azure 로컬에 대한 메트릭
Azure 로컬 메트릭은 모니터링되는 리소스의 숫자 데이터를 시계열 데이터베이스에 저장합니다. Azure Monitor 메트릭 탐색기를 사용하여 메트릭 데이터베이스의 데이터를 대화형으로 분석하고 시간이 지남에 따라 여러 메트릭의 값을 차트로 표시할 수 있습니다. 메트릭을 사용하면 메트릭 값에서 차트를 만들고 추세를 시각적으로 상호 연결할 수 있습니다.
로그 경고:
문제를 실시간으로 나타내려면 평균 서버 CPU, 사용 가능한 메모리, 사용 가능한 볼륨 용량 등과 같은 기존 샘플 로그 쿼리를 사용하여 Azure Local에 대한 경고를 설정합니다. Azure 로컬 시스템에 대한 경고 설정에 대해 자세히 알아봅니다.
메트릭 경고
메트릭 경고 규칙은 정기적으로 리소스 메트릭의 조건을 평가하여 리소스를 모니터링합니다. 조건이 충족되면 경고가 발생합니다. 메트릭 시계열은 일정 기간 동안 캡처된 일련의 메트릭 값입니다. 이러한 메트릭을 사용하여 경고 규칙을 만들 수 있습니다. 메트릭 경고에서 메트릭 경고를 만드는 방법에 대해 자세히 알아봅니다.
서비스 및 디바이스 경고
Azure Local은 연결, OS 업데이트, Azure 구성 등에 대한 서비스 기반 경고를 제공합니다. 클러스터 상태 오류에 대한 디바이스 기반 경고도 사용할 수 있습니다. PowerShell 또는 상태 관리 서비스 사용하여 Azure 로컬 인스턴스 및 해당 기본 구성 요소를 모니터링할 수도 있습니다.
구성 보안
이 섹션에 설명된 보안 구성 기능은 ISO/IEC 27001의 다음 보안 제어 요구 사항을 충족하는 데 도움이 될 수 있습니다.
- 8.8 – 기술 취약성 관리
- 8.9 – 구성 관리
기본적으로 보안
Azure Local은 기본적으로 최신 위협을 방어하고 Azure Compute Security 기준에 부합하는 보안 도구 및 기술로 안전하게 구성됩니다. Azure Local의 보안 기본값 관리에 대해 자세히 알아봅니다.
드리프트 보호
플랫폼의 기본 보안 구성 및 보안 코어 설정은 배포 및 런타임 중에 드리프트 제어 보호를 사용하여 보호됩니다. 사용하도록 설정하면 드리프트 제어 보호가 90분마다 정기적으로 보안 설정을 새로 고쳐 지정된 상태의 변경 내용을 수정합니다. 이 지속적인 모니터링 및 자동 수정을 사용하면 디바이스의 수명 주기 내내 일관되고 안정적인 보안 구성을 가질 수 있습니다. 보안 설정을 구성할 때 배포 중에 드리프트 보호를 사용하지 않도록 설정할 수 있습니다.
워크로드에 대한 보안 기준
Azure Local에서 실행되는 워크로드의 경우 Azure 권장 운영 체제 기준(Windows 및 Linux용)을 벤치마크로 사용하여 컴퓨팅 리소스 구성 기준을 정의할 수 있습니다.
플랫폼 업데이트
운영 체제, 핵심 에이전트 및 서비스 및 솔루션 확장을 포함한 Azure Local의 모든 구성 요소는 수명 주기 관리자를 사용하여 쉽게 유지 관리할 수 있습니다. 이 기능을 사용하면 다양한 구성 요소를 업데이트 릴리스에 번들로 묶고 버전 조합의 유효성을 검사하여 상호 운용성을 보장할 수 있습니다. Azure 로컬 솔루션 업데이트의 수명 주기 관리자에서 자세히 알아봅니다.
고객 워크로드는 이 업데이트 솔루션에서 다루지 않습니다.
위협 보호
이 섹션의 위협 방지 기능은 ISO/IEC 27001의 다음 보안 제어 요구 사항을 충족하는 데 도움이 될 수 있습니다.
- 8.7 – 맬웨어 방지
Windows Defender 바이러스 백신
Windows Defender 바이러스 백신은 실시간 시스템 검사 및 주기적 검사를 적용하여 바이러스, 맬웨어, 스파이웨어 및 기타 위협으로부터 플랫폼 및 워크로드를 보호하는 기능을 제공하는 유틸리티 애플리케이션입니다. 기본적으로 Microsoft Defender 바이러스 백신 Azure Local에서 사용하도록 설정됩니다. 타사 바이러스 백신 및 맬웨어 검색 소프트웨어 및 서비스가 운영 체제의 업데이트 수신 기능에 영향을 미칠 수 있으므로 Azure Local에서 Microsoft Defender 바이러스 백신 사용하는 것이 좋습니다. Windows Server의 Microsoft Defender 바이러스 백신 자세히 알아보세요.
WDAC(Windows Defender 애플리케이션 제어)
WDAC(Windows Defender 애플리케이션 제어)는 기본적으로 Azure Local에서 사용하도록 설정되어 각 컴퓨터에서 직접 실행할 수 있는 드라이버 및 애플리케이션을 제어하여 맬웨어가 시스템에 액세스하지 못하도록 방지합니다. Azure Local에 포함된 기본 정책과 Azure Local용 Windows Defender 애플리케이션 제어에서 추가 정책을 만드는 방법에 대해 자세히 알아봅니다.
Microsoft Defender for Cloud
Endpoint Protection을 사용하는 클라우드용 Microsoft Defender(서버용 Defender 계획을 통해 사용) 고급 위협 방지 기능을 갖춘 보안 관리 솔루션을 제공합니다. 인프라의 보안 상태를 평가하고, 워크로드를 보호하고, 보안 경고를 발생시키고, 특정 권장 사항을 따라 공격을 수정하고 향후 위협을 해결하는 도구를 제공합니다. Azure 서비스를 통한 자동 프로비전 및 보호를 통해 배포 오버헤드 없이 클라우드에서 이러한 모든 서비스를 고속으로 수행합니다. 클라우드용 Microsoft Defender 자세히 알아보세요.
Backup 및 복구
이 섹션에 설명된 백업 및 복구 기능은 ISO/IEC 27001의 다음 보안 제어 요구 사항을 충족하는 데 도움이 될 수 있습니다.
- 8.7 – 맬웨어 방지
- 8.13 – 정보 백업
- 8.14 – 정보의 중복성
확장된 클러스터
Azure Local은 확장된 클러스터링을 통해 가상화된 워크로드의 재해 복구를 기본적으로 지원합니다. 확장된 Azure 로컬 인스턴스를 배포하여 두 개의 개별 온-프레미스 위치에 가상화된 워크로드를 동기적으로 복제하고 해당 워크로드 간에 자동으로 장애 조치(failover)할 수 있습니다. Hyper-V 실시간 마이그레이션을 사용하여 가동 중지 시간 없이 계획된 사이트 장애 조치(failover)가 수행될 수 있습니다.
Kubernetes 클러스터 노드
Azure Local을 사용하여 컨테이너 기반 배포를 호스트하는 경우 플랫폼은 Azure Kubernetes 배포에 내재된 민첩성과 복원력을 향상시키는 데 도움이 됩니다. Azure Local은 기본 물리적 구성 요소의 지역화된 오류가 있는 경우 Kubernetes 클러스터 노드 역할을 하는 VM의 자동 장애 조치(failover)를 관리합니다. 이 구성은 Kubernetes에 기본 제공되는 고가용성을 보완하여 동일한 VM이나 다른 VM에서 실패한 컨테이너를 자동으로 다시 시작합니다.
Azure Site Recovery
이 서비스를 사용하면 온-프레미스 Azure 로컬 VM에서 실행되는 워크로드를 클라우드에 복제하여 스토리지 미디어의 인시던트, 실패 또는 손실이 있는 경우 정보 시스템을 복원할 수 있습니다. 다른 Azure 클라우드 서비스와 마찬가지로 Azure Site Recovery는 HITRUST를 비롯한 보안 인증서의 오랜 실적을 보유하고 있으며, 이를 통해 인증 프로세스를 지원할 수 있습니다. Azure Local에서 Azure Site Recovery를 사용하여 VM 워크로드 보호에 대해 자세히 알아봅니다.
MABS(Microsoft Azure Backup 서버)
이 서비스를 사용하면 원하는 빈도 및 보존 기간을 지정하여 Azure 로컬 가상 머신을 백업할 수 있습니다. MABS를 사용하여 다음을 포함하여 환경 전체에서 대부분의 리소스를 백업할 수 있습니다.
- Azure 로컬 호스트의 시스템 상태/BMR(완전 복구)
- 로컬 또는 직접 연결된 스토리지가 있는 시스템의 게스트 VM
- CSV 스토리지를 사용하는 Azure 로컬 인스턴스의 게스트 VM
- 클러스터 내에서 VM 이동
Azure Backup Server를 사용하여 Azure 로컬 가상 머신 백업에 대해 자세히 알아봅니다.
확장성 및 가용성
이 섹션에 설명된 확장성 및 가용성 기능은 ISO/IEC 27001의 다음 보안 제어 요구 사항을 충족하는 데 도움이 될 수 있습니다.
- 8.6 – 용량 관리
- 8.14 – 정보의 중복성
하이퍼 컨버지드 모델
Azure Local은 저장소 공간 Direct의 하이퍼 컨버지드 모델을 사용하여 워크로드를 배포합니다. 이 배포 모델을 사용하면 가동 중지 시간이 0인 동시에 컴퓨팅 및 스토리지를 자동으로 확장하는 새 노드를 추가하여 쉽게 크기를 조정할 수 있습니다.
장애 조치(Failover) 클러스터
Azure 로컬 인스턴스는 장애 조치(failover) 클러스터입니다. Azure Local의 일부인 서버가 실패하거나 사용할 수 없게 되면 동일한 장애 조치(failover) 클러스터의 다른 서버가 실패한 노드에서 제공하는 서비스를 제공하는 작업을 대신합니다. Azure Local을 실행하는 여러 컴퓨터에서 저장소 공간 직접 사용하도록 설정하여 장애 조치(failover) 클러스터를 만듭니다.