Azure 로컬 업그레이드 후 보안 관리

적용 대상: Azure Local, 버전 23H2

이 문서에서는 버전 22H2에서 버전 23H2로 업그레이드된 Azure Local의 보안 설정을 관리하는 방법을 설명합니다.

필수 조건

시작하기 전에 버전 22H2에서 업그레이드된 Azure Local 버전 23H2 시스템에 액세스할 수 있는지 확인합니다.

업그레이드 후 보안 변경 내용

Azure Local을 버전 22H2에서 버전 23H2로 업그레이드하는 경우 시스템의 보안 태세는 변경되지 않습니다. 향상된 보안을 활용하려면 업그레이드 후 보안 설정을 업데이트하는 것이 좋습니다.

다음은 보안 설정을 업데이트할 때의 이점입니다.

• 레거시 프로토콜 및 암호화를 사용하지 않도록 설정하여 배포를 강화하여 보안 태세를 개선합니다.
• Azure Arc 하이브리드 에지 기준을 통해 일관된 대규모 모니터링을 위해 기본 제공 드리프트 보호 메커니즘을 사용하여 OpEx(운영 비용)를 줄입니다.
• OS에 대한 CIS(Center for Internet Security) 벤치마크 및 DISA(국방 정보 시스템 기관) STIG(보안 기술 구현 가이드) 요구 사항을 면밀히 충족할 수 있습니다.

업그레이드가 완료된 후 다음과 같이 개략적으로 변경합니다.

1. 보안 기준을 적용합니다.
2. 미사용 암호화를 적용합니다.
3. 애플리케이션 제어를 사용하도록 설정합니다.

이러한 각 단계는 다음 섹션에서 자세히 설명합니다.

보안 기준 적용

Azure Local의 새 배포에는 보안 관리 계층에 의해 삽입된 두 개의 기준 문서가 도입되지만 업그레이드된 클러스터는 그렇지 않습니다.

Important

보안 기준 문서를 적용한 후 보안 기준 설정을 적용하고 유지 관리하는 데 새 메커니즘이 사용됩니다.

1. 서버가 GPO, DSC 또는 스크립트와 같은 메커니즘을 통해 기준 설정을 상속하는 경우 다음을 수행하는 것이 좋습니다.

   • 이러한 메커니즘에서 이러한 중복 설정을 제거합니다.
   • 또는 보안 기준을 적용한 후 드리프트 제어 메커니즘을 사용하지 않도록 설정합니다.

   서버의 새 보안 태세는 이전 설정, 새 설정 및 겹치는 설정을 업데이트된 값과 결합합니다.

   참고 항목

   Microsoft는 Azure Local 버전 23H2 보안 설정을 테스트하고 사용 취소합니다. 이러한 설정을 유지하는 것이 좋습니다. 사용자 지정 설정을 사용하면 시스템 불안정, 새 제품 시나리오와의 비호환성, 광범위한 테스트 및 문제 해결이 필요할 수 있습니다.

2. 다음 명령을 실행할 때 문서가 준비되지 않은 것을 알 수 있습니다. 이러한 cmdlet은 출력을 반환하지 않습니다.

   Get-AzSSecuritySettingsConfiguration
   Get-AzSSecuredCoreConfiguration
   

3. 기준을 사용하도록 설정하려면 업그레이드한 각 노드로 이동합니다. 권한 있는 관리자 계정을 사용하여 로컬 또는 원격으로 다음 명령을 실행합니다.

   Start-AzSSecuritySettingsConfiguration
   Start-AzSSecuredCoreConfiguration
   

4. 새 설정이 적용되도록 노드를 적절한 순서로 다시 부팅합니다.

보안 기준의 상태 확인

다시 부팅한 후 cmdlet을 다시 실행하여 보안 기준의 상태를 확인합니다.

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

기준 정보가 포함된 각 cmdlet에 대한 출력을 가져옵니다.

다음은 기준 출력의 예입니다.

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

미사용 암호화 사용

업그레이드하는 동안 Microsoft는 시스템 노드에 BitLocker를 사용하도록 설정했는지 검색합니다. BitLocker를 사용하도록 설정하면 일시 중단하라는 메시지가 표시됩니다. 이전에 볼륨에서 BitLocker를 사용하도록 설정한 경우 보호를 다시 시작합니다. 추가 단계는 필요하지 않습니다.

볼륨에서 암호화 상태를 확인하려면 다음 명령을 실행합니다.

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

볼륨에서 BitLocker를 사용하도록 설정해야 하는 경우 Azure Local에서 BitLocker 암호화 관리를 참조하세요.

애플리케이션 제어 사용

비즈니스용 애플리케이션 제어(이전의 Windows Defender 애플리케이션 제어 또는 WDAC)는 신뢰할 수 없는 코드를 실행하지 않도록 뛰어난 방어 계층을 제공합니다.

버전 23H2로 업그레이드한 후 애플리케이션 제어를 사용하도록 설정하는 것이 좋습니다. 서버에 이미 존재하는 기존 타사 소프트웨어의 적절한 유효성 검사를 위해 필요한 조치를 취하지 않으면 이 작업이 중단될 수 있습니다.

새 배포의 경우 애플리케이션 제어는 강제 적용 모드(비독점 이진 파일 차단)에서 사용하도록 설정된 반면 업그레이드된 시스템의 경우 다음 단계를 수행하는 것이 좋습니다.

1. 감사 모드에서 애플리케이션 제어를 사용하도록 설정합니다(알 수 없는 소프트웨어가 있을 수 있다고 가정).

2. 애플리케이션 제어 이벤트를 모니터링합니다.

3. 필요한 추가 정책을 만듭니다.

4. 추가 감사 이벤트가 관찰되지 않을 때까지 필요에 따라 #2 및 #3 단계를 반복합니다. 적용 모드로 전환합니다.

   Warning

   추가 타사 소프트웨어를 사용하도록 설정하는 데 필요한 AppControl 정책을 만들지 않으면 해당 소프트웨어가 실행되지 않습니다.

적용 모드에서 사용하도록 설정하는 지침은 Azure Local용 Windows Defender 애플리케이션 제어 관리를 참조 하세요.

다음 단계

• BitLocker 암호화를 이해합니다.