Azure Local 버전 23H2에 대한 보안 기능
적용 대상: Azure Local, 버전 23H2
Azure Local은 처음부터 300개 이상의 보안 설정을 사용하도록 설정된 기본 보안 제품입니다. 기본 보안 설정은 디바이스가 알려진 양호한 상태에서 시작되도록 일관된 보안 기준을 제공합니다.
이 문서에서는 Azure 로컬 인스턴스와 연결된 다양한 보안 기능에 대한 간략한 개념적 개요를 제공합니다. 기능에는 보안 기본값, WDAC(Windows Defender for Application Control), BitLocker를 통한 볼륨 암호화, 비밀 회전, 로컬 기본 제공 사용자 계정, 클라우드용 Microsoft Defender 등이 있습니다.
보안 기본값
Azure Local에는 일관된 보안 기준, 기준 관리 시스템 및 드리프트 제어 메커니즘을 제공하는 보안 설정이 기본적으로 활성화되어 있습니다.
배포 및 런타임 중에 보안 기준 및 보안 코어 설정을 모니터링할 수 있습니다. 보안 설정을 구성할 때 배포 중에 드리프트 제어를 사용하지 않도록 설정할 수도 있습니다.
드리프트 컨트롤이 적용되면 보안 설정이 90분마다 새로 고쳐집니다. 이 새로 고침 간격을 통해 원하는 상태의 변경 내용을 수정할 수 있습니다. 지속적인 모니터링 및 자동 수정은 디바이스의 수명 주기 동안 일관되고 안정적인 보안 상태를 가능하게 합니다.
Azure 로컬의 보안 기준:
- 레거시 프로토콜 및 암호화를 사용하지 않도록 설정하여 보안 태세를 개선합니다.
- Azure Arc 하이브리드 에지 기준을 통해 일관된 대규모 모니터링을 가능하게 하는 기본 제공 드리프트 보호 메커니즘으로 OPEX를 줄입니다.
- OS 및 권장 보안 기준에 대한 CIS(Center for Internet Security) 벤치마크 및 DISA(국방 정보 시스템 기관) STIG(보안 기술 구현 가이드) 요구 사항을 충족할 수 있습니다.
자세한 내용은 Azure Local의 보안 기본값 관리를 참조 하세요.
Windows Defender 애플리케이션 제어
WDAC는 실행할 수 있는 소프트웨어의 명시적 목록을 적용하여 공격 노출 영역을 줄이는 소프트웨어 기반 보안 계층입니다. WDAC는 기본적으로 사용하도록 설정되며 핵심 플랫폼에서 실행할 수 있는 애플리케이션 및 코드를 제한합니다. 자세한 내용은 Azure Local 버전 23H2용 Windows Defender 애플리케이션 제어 관리를 참조하세요.
WDAC는 적용 모드와 감사 모드의 두 가지 기본 작업 모드를 제공합니다. 적용 모드에서는 신뢰할 수 없는 코드가 차단되고 이벤트가 기록됩니다. 감사 모드에서는 신뢰할 수 없는 코드를 실행할 수 있으며 이벤트가 기록됩니다. WDAC 관련 이벤트에 대한 자세한 내용은 이벤트 목록을 참조 하세요.
Important
보안 위험을 최소화하려면 항상 적용 모드에서 WDAC를 실행합니다.
WDAC 정책 디자인 정보
Microsoft는 적용 모드와 감사 모드 모두에 대해 Azure Local에 기본 서명된 정책을 제공합니다. 또한 정책에는 미리 정의된 플랫폼 동작 규칙 집합과 애플리케이션 제어 계층에 적용할 블록 규칙이 포함됩니다.
기본 정책 구성
Azure 로컬 기본 정책에는 다음 섹션이 포함됩니다.
- 메타데이터: 메타데이터는 정책 이름, 버전, GUID 등과 같은 정책의 고유 속성을 정의합니다.
- 옵션 규칙: 이러한 규칙은 정책 동작을 정의합니다. 추가 정책은 기본 정책에 연결된 작은 옵션 규칙 집합과만 다를 수 있습니다.
- 규칙 허용 및 거부: 이러한 규칙은 코드 신뢰 경계를 정의합니다. 규칙은 게시자, 서명자, 파일 해시 등을 기반으로 할 수 있습니다.
옵션 규칙
이 섹션에서는 기본 정책에서 사용하도록 설정된 옵션 규칙에 대해 설명했습니다.
적용된 정책의 경우 기본적으로 다음 옵션 규칙이 사용하도록 설정됩니다.
옵션 규칙 | 값 |
---|---|
사용 | UMCI |
Required | WHQL |
사용 | 추가 정책 허용 |
사용 | 서명되지 않은 것으로 해지됨 |
사용 안 함 | 플라이트 서명 |
사용 | 서명되지 않은 시스템 무결성 정책(기본값) |
사용 | 동적 코드 보안 |
사용 | 고급 부팅 옵션 메뉴 |
사용 안 함 | 스크립트 적용 |
사용 | 관리되는 설치 관리자 |
사용 | 업데이트 정책 다시 부팅 안 함 |
감사 정책은 기본 정책에 다음 옵션 규칙을 추가합니다.
옵션 규칙 | 값 |
---|---|
사용 | 감사 모드(기본값) |
자세한 내용은 옵션 규칙의 전체 목록을 참조하세요.
규칙 허용 및 거부
기본 정책의 규칙을 허용하면 OS 및 클라우드 배포에서 제공하는 모든 Microsoft 구성 요소를 신뢰할 수 있습니다. 거부 규칙은 솔루션의 보안 태세에 안전하지 않은 것으로 간주되는 사용자 모드 애플리케이션 및 커널 구성 요소를 차단합니다.
참고 항목
기본 정책의 허용 및 거부 규칙은 정기적으로 업데이트되어 제품 재미를 개선하고 솔루션 보호를 최대화합니다.
거부 규칙에 대한 자세한 내용은 다음을 참조하세요.
BitLocker 암호화
미사용 데이터 암호화는 배포 중에 만든 데이터 볼륨에서 사용하도록 설정됩니다. 이러한 데이터 볼륨에는 인프라 볼륨과 워크로드 볼륨이 모두 포함됩니다. 시스템을 배포할 때 보안 설정을 수정할 수 있습니다.
기본적으로 미사용 데이터 암호화는 배포 중에 사용하도록 설정됩니다. 기본 설정을 적용하는 것이 좋습니다.
Azure Local이 성공적으로 배포되면 BitLocker 복구 키를 검색할 수 있습니다. BitLocker 복구 키를 시스템 외부의 안전한 위치에 저장해야 합니다.
BitLocker 암호화에 대한 자세한 내용은 다음을 참조하세요.
- CSV(클러스터 공유 볼륨)와 함께 BitLocker를 사용합니다.
- Azure Local에서 BitLocker 암호화를 관리합니다.
로컬 기본 제공 사용자 계정
이 릴리스에서는 연결된 다음 로컬 기본 제공 사용자를 RID 500
RID 501
Azure 로컬 시스템에서 사용할 수 있습니다.
초기 OS 이미지의 이름 | 배포 후 이름 | 기본적으로 사용하도록 설정됨 | 설명 |
---|---|---|---|
관리자 | ASBuiltInAdmin | True | 컴퓨터/도메인 관리를 위한 기본 제공 계정입니다. |
게스트 | ASBuiltInGuest | False | 보안 기준 드리프트 제어 메커니즘으로 보호되는 컴퓨터/도메인에 대한 게스트 액세스를 위한 기본 제공 계정입니다. |
Important
고유한 로컬 관리자 계정을 만들고 잘 알려진 RID 500
사용자 계정을 사용하지 않도록 설정하는 것이 좋습니다.
비밀 만들기 및 회전
Azure Local의 오케스트레이터는 다른 인프라 리소스 및 서비스와의 보안 통신을 유지하기 위해 여러 구성 요소가 필요합니다. 시스템에서 실행되는 모든 서비스에는 인증 및 암호화 인증서가 연결되어 있습니다.
보안을 보장하기 위해 내부 비밀 생성 및 회전 기능을 구현합니다. 시스템 노드를 검토하면 LocalMachine/개인 인증서 저장소(Cert:\LocalMachine\My
) 경로 아래에 생성된 여러 인증서가 표시됩니다.
이 릴리스에서는 다음 기능을 사용할 수 있습니다.
- 배포 중 및 시스템 크기 조정 작업 후에 인증서를 만드는 기능입니다.
- 인증서가 만료되기 전에 자동화된 자동 회전 및 시스템 수명 동안 인증서를 회전하는 옵션입니다.
- 인증서가 여전히 유효한지 여부를 모니터링하고 경고하는 기능입니다.
참고 항목
시스템 크기에 따라 비밀 생성 및 회전 작업을 완료하는 데 약 10분이 걸립니다.
자세한 내용은 비밀 회전 관리를 참조 하세요.
보안 이벤트의 Syslog 전달
자체 SIEM(로컬 보안 정보 및 이벤트 관리) 시스템이 필요한 고객 및 조직의 경우 Azure Local 버전 23H2에는 보안 관련 이벤트를 SIEM에 전달할 수 있는 통합 메커니즘이 포함되어 있습니다.
Azure Local에는 CEF(Common Event Format)의 페이로드를 사용하여 RFC3164 정의된 syslog 메시지를 생성하는 통합 syslog 전달자가 있습니다.
다음 다이어그램에서는 AZURE Local과 SIEM의 통합을 보여 줍니다. 모든 감사, 보안 로그 및 경고는 각 호스트에서 수집되고 CEF 페이로드를 사용하여 syslog를 통해 노출됩니다.
Syslog 전달 에이전트는 고객이 구성한 syslog 서버에 syslog 메시지를 전달하기 위해 모든 Azure 로컬 호스트에 배포됩니다. Syslog 전달 에이전트는 서로 독립적으로 작동하지만 호스트 중 하나에서 함께 관리할 수 있습니다.
Azure Local의 syslog 전달자는 Syslog 전달이 TCP 또는 UDP를 사용하는지 여부, 암호화를 사용하도록 설정되었는지 여부, 단방향 인증 또는 양방향 인증이 있는지 여부에 따라 다양한 구성을 지원합니다.
자세한 내용은 syslog 전달 관리를 참조 하세요.
클라우드용 Microsoft Defender(미리 보기)
클라우드용 Microsoft Defender 고급 위협 방지 기능을 갖춘 보안 상태 관리 솔루션입니다. 인프라의 보안 상태를 평가하고, 워크로드를 보호하고, 보안 경고를 발생시키고, 특정 권장 사항을 따라 공격을 수정하고 향후 위협을 해결하는 도구를 제공합니다. 배포 오버헤드 없이 Azure 서비스를 통한 자동 프로비전 및 보호를 통해 클라우드에서 이러한 모든 서비스를 고속으로 수행합니다.
기본 클라우드용 Defender 계획을 사용하면 추가 비용 없이 Azure 로컬 시스템의 보안 상태를 개선하는 방법에 대한 권장 사항을 얻을 수 있습니다. 유료 서버용 Defender 계획을 사용하면 개별 머신 및 Arc VM에 대한 보안 경고를 포함하여 향상된 보안 기능을 얻을 수 있습니다.
자세한 내용은 클라우드용 Microsoft Defender 사용하여 시스템 보안 관리(미리 보기)를 참조하세요.