다음을 통해 공유


Azure의 가상 머신에 제로 트러스트 원칙 적용

참고 항목

예정된 Livestream 은 이 문서에 대해 논의하면서 Azure FastTrack 팀에 합류합니다. 2024년 10월 23일 | 오전 10:00 ~ 오전 11:00(UTC-07:00) 태평양 표준시(미국 및 캐나다). 여기에서 등록하세요.

요약: Azure 가상 머신에 제로 트러스트 원칙을 적용하려면 전용 리소스 그룹을 사용하여 논리적 격리를 구성하고, RBAC(역할 기반 액세스 제어)를 활용하고, 가상 머신 부팅 구성 요소를 보호하고, 고객 관리형 키와 이중 암호화를 사용하도록 설정하고, 설치된 애플리케이션을 제어하고, 가상 머신의 보안 액세스 및 유지 관리를 구성하고, 고급 위협 탐지 및 보호를 사용하도록 설정해야 합니다.

이 문서에서는 Azure의 가상 머신에 제로 트러스트 원칙을 적용하는 단계를 제공합니다.

제로 트러스트 원칙 정의 Met by
명시적으로 확인 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. 보안 액세스를 사용합니다.
최소 권한 액세스 사용 JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. RBAC(역할 기반 액세스 제어)를 활용하고 가상 머신에서 실행되는 애플리케이션을 제어합니다.
위반 가정 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다. 리소스 그룹을 사용하여 가상 머신을 격리하고, 구성 요소를 보호하고, 이중 암호화를 사용하고, 고급 위협 탐지 및 보호를 사용하도록 설정합니다.

이 문서는 가상 머신 기반 워크로드를 호스팅하는 VNet(스포크 가상 네트워크)을 포함하는 Azure 환경에서 제로 트러스트 원칙을 적용하는 방법을 보여 주는 일련의 문서의 일부입니다. 개요는 Azure 인프라에 제로 트러스트 원칙 적용을 참조하세요.

가상 머신에 대한 논리 아키텍처

가상 머신에 대한 제로 트러스트 원칙은 테넌트 및 디렉터리 수준에서 각 가상 머신 내의 데이터 및 애플리케이션 계층에 이르기까지 논리 아키텍처에 적용됩니다.

다음 다이어그램에서는 논리 아키텍처 구성 요소를 보여 줍니다.

Microsoft Entra ID 테넌트 내의 구독, 리소스 그룹 및 가상 머신 구성 요소를 보여 주는 Azure 가상 머신에 제로 트러스트 적용하기 위한 논리 아키텍처 다이어그램.

이 다이어그램에서

  • A 는 Azure 구독 내에 있는 전용 리소스 그룹 내에서 격리된 가상 머신 집합입니다.
  • B 는 애플리케이션, 운영 체제, 디스크, 부팅 로더, OS 커널, 드라이버 및 TPM(신뢰할 수 있는 플랫폼 모듈) 구성 요소와 같은 구성 요소가 호출된 단일 가상 머신에 대한 논리적 아키텍처입니다.

이 문서에서는 이러한 단계를 사용하여 이 논리 아키텍처에서 제로 트러스트 원칙을 적용하는 단계를 안내합니다.

이 문서의 5단계에서 Azure 가상 머신에 제로 트러스트 적용하기 위한 논리 아키텍처 다이어그램.

Step 작업 적용된 제로 트러스트 원칙
1 전용 리소스 그룹에 가상 머신을 배포하여 논리적 격리를 구성합니다. 위반 가정
2 RBAC(역할 기반 액세스 제어)를 활용합니다. 명시적으로 확인
최소 권한 액세스 사용
3 부팅 로더, OS 커널 및 드라이버를 비롯한 가상 머신 부팅 구성 요소를 보호합니다. TPM(신뢰할 수 있는 플랫폼 모듈)에서 키, 인증서 및 비밀을 안전하게 보호합니다. 위반 가정
4 고객 관리형 키 및 이중 암호화를 사용하도록 설정합니다. 위반 가정
5 가상 머신에 설치된 애플리케이션을 제어합니다. 최소 권한 액세스 사용
6 보안 액세스를 구성합니다(논리 아키텍처 그림에 표시되지 않음). 명시적으로 확인
최소 권한 액세스 사용
위반 가정
7 가상 머신의 보안 유지 관리를 설정합니다(논리 아키텍처 그림에 표시되지 않음). 위반 가정
8 고급 위협 탐지 및 보호를 사용하도록 설정합니다(논리 아키텍처 그림에 표시되지 않음). 위반 가정

1단계: 가상 머신에 대한 논리적 격리 구성

먼저 전용 리소스 그룹 내에서 가상 머신을 격리합니다. 사용 권한 및 모니터링을 제어해야 하는 필요성과 같은 목적, 데이터 분류 및 거버넌스 요구 사항에 따라 가상 머신을 다른 리소스 그룹으로 격리할 수 있습니다.

전용 리소스 그룹을 사용하면 리소스 그룹 내의 모든 가상 머신에 적용되는 정책 및 권한을 설정할 수 있습니다. 그런 다음 RBAC(역할 기반 액세스 제어)를 사용하여 리소스 그룹에 포함된 Azure 리소스에 대한 최소 권한 있는 액세스를 만들 수 있습니다.

리소스 그룹을 만들고 관리하는 방법에 대한 자세한 내용은 Azure Portal을 사용하여 Azure 리소스 그룹 관리를 참조하세요.

여기에 표시된 것처럼 가상 머신을 처음 만들 때 리소스 그룹에 가상 머신을 할당합니다.

리소스 그룹에 가상 머신을 할당하는 스크린샷

2단계: RBAC(역할 기반 액세스 제어) 활용

제로 트러스트 최소 권한 액세스를 구성해야 합니다. 이렇게 하려면 역할, 워크로드 및 데이터 분류에 따라 JIT/JEA(Just-In-Time 및 Just-Enough Access)를 사용하여 사용자 액세스를 제한해야 합니다.

다음 기본 제공 역할은 일반적으로 가상 머신 액세스에 사용됩니다.

  • Virtual Machine 사용자 로그인: 포털에서 가상 머신을 보고 일반 사용자로 로그인합니다.
  • Virtual Machine 관리 로그인: 포털에서 가상 머신을 보고 가상 머신에 관리자로 로그인합니다.
  • Virtual Machine 기여자: 루트 사용자의 암호 및 관리 디스크 재설정을 포함하여 가상 머신을 만들고 관리합니다. 관리 VNet(가상 네트워크) 또는 리소스에 권한을 할당하는 기능에 대한 액세스 권한을 부여하지 않습니다.

가상 머신을 VNet에 조인하려면 사용자 지정 권한 Microsoft.Network/virtualNetworks/subnets/join/action 을 사용하여 사용자 지정 역할을 만들 수 있습니다.

이 사용자 지정 역할을 관리 ID 및 조건부 액세스 정책과 함께 사용하는 경우 디바이스 상태, 데이터 분류, 변칙, 위치 및 ID를 사용하여 다단계 인증을 강제 적용하고 확인된 신뢰에 따라 액세스를 세분화하여 허용할 수 있습니다.

시스템 외부로 제어 영역을 확장하고 Microsoft Intelligent Security Graph를 사용하여 Microsoft Entra ID 테넌트가 보안 액세스를 지원하도록 하려면 가상 머신의 관리 블레이드로 이동하여 다음과 같이 시스템 할당 관리 ID를 켭니다.

시스템 할당 관리 ID를 사용하도록 설정하는 스크린샷

참고 항목

이 기능은 인증서 기반 액세스를 사용하여 Azure Virtual Desktop, Windows Server 2019, Windows 10 및 Linux 배포판에서만 사용할 수 있습니다.

3단계: 가상 머신 부팅 구성 요소 보안

다음 단계를 수행합니다.

  • 가상 머신을 만들 때 부팅 구성 요소에 대한 보안을 구성해야 합니다. 가상 머신의 향상된 배포를 사용하면 보안 유형을 선택하고 보안 부팅vTPM을 사용할 수 있습니다.
  • 신뢰할 수 있는 게시자가 서명한 확인된 부팅 로더, OS 커널 및 드라이버를 사용하여 가상 머신을 안전하게 배포하여 "루트"를 설정합니다. 신뢰할 수 있는 게시자가 이미지를 서명하지 않으면 가상 머신이 부팅되지 않습니다.
  • 신뢰할 수 있는 플랫폼 모듈의 가상 머신에서 키, 인증서 및 비밀을 안전하게 보호합니다.
  • 전체 부팅 체인의 무결성에 대한 인사이트와 확신을 얻으세요.
  • 워크로드를 신뢰할 수 있고 확인할 수 있는지 확인합니다. vTPM은 가상 머신(UEFI, OS, 시스템 및 드라이버)의 전체 부팅 체인을 측정하여 증명을 가능하게 합니다.

가상 머신의 향상된 배포를 사용하면 다음과 같이 보안 유형을 선택하고 보안 부팅 및 vTPM을 만들 때 사용할 수 있습니다.

가상 머신에 대한 보안 기능을 지정하는 스크린샷

4단계: 고객 관리형 키 및 이중 암호화 사용

고객 관리형 키와 이중 암호화를 사용하면 디스크를 내보낼 경우 읽을 수 없거나 작동할 수 없습니다. 키가 비공개로 유지되고 디스크가 이중 암호화되도록 하여 디스크 정보를 추출하려는 위반으로부터 보호합니다.

Azure Key Vault를 사용하여 고객 관리형 암호화 키를 구성하는 방법에 대한 자세한 내용은 Azure Portal을 사용하여 관리 디스크에 대한 고객 관리형 키로 서버 쪽 암호화를 사용하도록 설정합니다. Azure Key Vault를 사용하는 데 추가 비용이 있습니다.

다음을 위해 Azure Disk Storage 의 서버 쪽 암호화를 사용하도록 설정합니다.

가상 머신 데이터의 엔드 투 엔드 암호화 를 위해 호스트에서 서버 쪽 암호화를 사용하도록 설정합니다.

이러한 절차를 완료한 후에는 고객 관리형 암호화 키를 사용하여 가상 머신 내의 디스크를 암호화합니다.

가상 머신 구성에 대한 디스크 블레이드에서 암호화 유형을 선택합니다. 암호화 유형의 경우 다음과 같이 플랫폼 관리형 키와 고객 관리형 키를 사용하여 이중 암호화를 선택합니다.

가상 머신에 대한 암호화 유형을 선택하는 스크린샷.

5단계: 가상 머신에 설치된 애플리케이션 제어

가상 머신에 설치된 애플리케이션을 제어하는 것이 중요합니다.

  • API(브라우저 확장)는 보안이 어렵기 때문에 악의적인 URL 배달이 발생할 수 있습니다.
  • 허가되지 않은 앱은 섀도 IT 개체이므로 패치가 적용되지 않을 수 있습니다(IT 팀은 준비되지 않았거나 설치되어 있다는 지식이 없음).

Virtual Machine 애플리케이션 기능을 사용하여 가상 머신에 설치된 애플리케이션을 제어할 수 있습니다. 이 기능을 사용하면 설치할 가상 머신 애플리케이션을 선택합니다. 이 기능은 Azure Compute 갤러리를 사용하여 가상 머신에 대한 애플리케이션 관리를 간소화합니다. RBAC와 함께 사용하는 경우 신뢰할 수 있는 애플리케이션만 사용자에게 제공되도록 할 수 있습니다.

여기에 표시된 것처럼 가상 머신 구성에 대한 고급 블레이드에서 가상 머신 애플리케이션을 선택합니다.

가상 머신의 애플리케이션을 구성하는 스크린샷

6단계: 보안 액세스 구성

보안 액세스를 구성하려면 다음을 수행합니다.

  • 가상 머신에 직접 액세스하는 구성 요소 간에 Azure 환경 내에서 보안 통신 구성
  • 조건부 액세스를 사용하여 다단계 인증 설정
  • PAW(권한 있는 액세스 워크스테이션) 사용

가상 머신에 대한 보안 액세스를 구성하기 위한 논리 아키텍처의 다이어그램.

이 다이어그램에서

  • 조건부 액세스를 사용하는 다단계 인증은 Microsoft Entra ID 및 관련 포털 내에서 설정됩니다.
  • 관리자는 PAW(권한 있는 액세스 워크스테이션)를 사용하여 가상 머신에 직접 액세스합니다.

가상 머신에 대한 Azure 환경 내에서 보안 통신 구성

먼저 Azure 환경의 구성 요소 간 통신이 안전한지 확인합니다.

참조 아키텍처 에서 Azure Bastion 은 가상 머신에 대한 보안 연결을 제공합니다. Azure Bastion은 RDP/SSH 브로커 역할을 하며 물리적 시스템의 RDP 프로토콜과 상호 작용하지 않습니다. 또한 공용 IP 주소의 수를 줄일 수 있습니다.

다음 다이어그램에서는 가상 머신에 대한 보안 통신의 구성 요소를 보여 줍니다.

Azure IaaS 참조 아키텍처 내의 가상 머신에 대한 보안 통신 구성 요소의 다이어그램.

조건부 액세스를 사용하여 다단계 인증 설정

2단계에서 역할 기반 액세스 제어를 활용하여 Microsoft Entra 통합 및 관리 ID를 구성했습니다. 이렇게 하면 Azure Virtual Desktop 또는 Windows Server 2019 이상을 실행하는 서버에 대한 Azure 다단계 인증을 설정할 수 있습니다. Microsoft Entra 자격 증명을 사용하여 Linux VM에 로그인할 수도 있습니다. 이 추가 혜택은 가상 머신에 연결하는 컴퓨터도 연결할 수 있도록 Microsoft Entra ID 테넌트에 등록해야 한다는 것입니다.

조건부 액세스 및 관련 정책을 사용하여 다단계 인증을 구성하는 경우 제로 트러스트 대해 권장되는 정책 집합을 가이드로 사용합니다. 여기에는 디바이스를 관리할 필요가 없는 시작 지점 정책이 포함됩니다. 이상적으로 가상 머신에 액세스하는 디바이스가 관리되며 제로 트러스트 권장되는 엔터프라이즈 정책을 구현할 수 있습니다. 자세한 내용은 공통 제로 트러스트 ID 및 디바이스 액세스 정책을 참조하세요.

다음 다이어그램에서는 제로 트러스트 권장되는 정책을 보여 있습니다.

시작 지점, 엔터프라이즈 및 특수 보안의 세 가지 보호 수준에 대한 제로 트러스트 ID 및 디바이스 액세스 정책 다이어그램

사용자 이름과 암호는 100% 손상될 수 있습니다. 다단계 인증을 사용하면 손상 위험을 99.9% 줄일 수 있습니다. 이렇게 하려면 Microsoft Entra ID P1 라이선스가 필요합니다.

참고 항목

Azure의 가상 머신에 연결하는 데 사용되는 VPN도 사용할 수 있습니다. 그러나 메서드를 사용하여 명시적으로 확인해야 합니다. 사용 방법에 관계없이 "신뢰할 수 있는" 터널을 만드는 것은 고도로 확인된 특정 연결을 갖는 것보다 위험할 수 있습니다.

신뢰할 수 있고 검증된 보안 원본에서 제공되지 않는 경우 네트워크, 전송 또는 애플리케이션 계층의 보안 양은 중요하지 않습니다.

PAW 사용

PAW(Privileged Access Workstations)를 사용하여 가상 머신에 액세스하는 디바이스가 정상인지 확인합니다. PAW는 관리자가 다음이 있는 디바이스를 사용하도록 권한 있는 액세스를 위해 특별히 구성됩니다.

  • 로컬 관리 액세스를 제한하는 보안 제어 및 정책입니다.
  • 중요한 관리 작업을 수행하는 데 절대적으로 필요한 것만 공격 노출 영역을 최소화하는 생산성 도구입니다.

배포 옵션에 대한 자세한 내용은 Privileged Access 배포를 참조하세요.

7단계: 가상 머신의 보안 유지 관리 설정

가상 머신의 보안 유지 관리에는 다음이 포함됩니다.

  • 맬웨어 방지 사용
  • 가상 머신 업데이트 자동화

가상 머신에서 맬웨어 방지 사용

맬웨어 방지는 악성 파일 및 광고웨어 등의 위협으로부터 가상 머신을 보호하는 데 도움이 됩니다. Microsoft, Symantec, Trend Micro 및 Kaspersky와 같은 공급업체 옵션에서 맬웨어 방지 소프트웨어를 사용할 수 있습니다.

Microsoft 맬웨어 방지는 악성 소프트웨어, 스파이웨어 및 바이러스를 탐지, 격리 및 근절하는 데 도움이 되는 실시간 보호 기능을 제공하는 비용 없는 리소스입니다.

  • 사용자 상호 작용이 필요한 백그라운드에서 실행
  • 원치 않는 소프트웨어 또는 악성 소프트웨어가 다운로드, 설치 또는 실행될 때 경고를 제공합니다.
  • 기본 보안 구성 및 맬웨어 방지 모니터링 제공
  • 예약된 검사
  • 서명 업데이트
  • 맬웨어 방지 엔진 및 플랫폼 업데이트
  • 활성 보호
  • 샘플 보고
  • 제외 항목
  • 맬웨어 방지 이벤트 컬렉션

가상 머신 업데이트 자동화

시스템에 대한 업데이트를 자동화하면 최신 맬웨어 및 잘못된 구성 악용으로부터 보호됩니다. 신뢰할 수 있는 플랫폼 확인 프로세스에 도움을 받아 자동 업데이트가 있습니다.

Azure Virtual Machine 유지 관리 및 업데이트에 집중하여 시스템이 구성 불안에 대해 강화되도록 합니다.

  • Azure Automation 업데이트 관리는 업데이트 프로세스 관리를 지원할 수 있습니다. 이 유틸리티를 사용하면 시스템의 업데이트 상태를 확인하고 서버를 관리, 예약 및 다시 부팅할 수 있습니다.
  • Azure Virtual Machine 에이전트 는 가상 머신을 관리하는 데 사용되며 관리를 위해 확장을 사용할 수 있는 기능을 제공합니다.

업데이트 관리 에서 지원하는 운영 체제에는 다음이 포함됩니다.

  • 각 Windows 가상 머신 - 업데이트 관리는 각 컴퓨터에 대해 하루에 두 번 검사를 수행합니다.
  • 각 Linux 가상 머신 - 업데이트 관리는 매시간 검사를 수행합니다.

다음 추가 지침을 참조하세요.

8단계: 고급 위협 탐지 및 보호 사용

Azure 인프라에 대한 위협 방지는 클라우드용 Microsoft Defender 제공됩니다. 이 보호는 다음 다이어그램과 같이 서버용 Microsoft Defender를 프로비전할 때 가상 머신으로 확장됩니다.

서버용 Microsoft Defender를 따라 클라우드용 Microsoft Defender 가상 머신에 대한 위협 탐지 및 보호를 제공하는 방법을 보여 주는 논리 아키텍처의 다이어그램.

이 다이어그램에서

  • Azure IaaS에 제로 트러스트 적용 원칙에 설명된 대로 클라우드용 Defender Azure 구독 수준 또는 여러 Azure 구독을 포함하는 Azure 관리 그룹 수준에서 사용하도록 설정됩니다.
  • 클라우드용 Defender 사용하도록 설정하는 것 외에도 서버용 Defender가 프로비전됩니다.

Advanced Threat Protection은 Microsoft의 위협 인텔리전스를 기반으로 가상 머신에서 발생하는 활동을 확인합니다. 위반이 있을 수 있음을 시사하는 특정 구성 및 활동을 찾습니다. 이를 통해 명시적으로 확인하고 위반 제로 트러스트 원칙을 가정할 수 있습니다.

서버용 Microsoft Defender에는 다음이 포함됩니다.

  • EDR(엔드포인트 감지 및 응답)에 대한 엔드포인트에 대한 취약성, 설치된 소프트웨어 및 경고와 관련된 엔드포인트용 Microsoft Defender 데이터에 액세스합니다.
  • 클라우드용 Defender 서버에 대한 통합 취약성 평가 스캐너입니다.
  • 다른 에이전트 또는 정기적인 검사가 필요 없이 엔드포인트용 Microsoft Defender 실시간으로 취약성 및 잘못된 구성을 검색합니다.
  • 클라우드용 Defender Azure 및 하이브리드 머신용 통합 Qualys 스캐너를 사용하면 Qualys 라이선스 없이도 실시간 취약성 식별에서 선도적인 도구를 사용할 수 있습니다.
  • 클라우드용 Defender Just-In-Time 가상 머신 액세스를 구현합니다. 이렇게 하면 RDP/SSH에 대한 명시적 거부 규칙이 만들어지고 필요할 때 서버 수준에서 JIT 액세스 권한을 부여하고 액세스 기간을 제한할 수 있습니다.
  • 클라우드용 Defender 파일 무결성 모니터링을 사용하면 파일 시스템의 무결성을 확인할 수 있는 작업 시스템, 애플리케이션 소프트웨어 및 기타 변경 내용의 파일 및 레지스트리에 대한 모니터링을 변경할 수 있습니다.
  • 클라우드용 Defender 적응형 애플리케이션 제어는 알려진 안전한 애플리케이션에 대한 허용 목록을 만들고 정의하기 위한 자동화된 솔루션을 제공하며, 새 애플리케이션이 안전한 것으로 정의한 애플리케이션이 아닌 다른 방식으로 실행되는 경우 보안 경고를 생성합니다.
  • 클라우드용 Defender 적응형 네트워크 강화는 현재 트래픽, 위협 인텔리전스, 손상 지표 및 알려진 신뢰할 수 있는 구성을 계산하는 기계 학습 알고리즘을 사용하여 네트워크 보안 그룹 강화를 위한 권장 사항을 제공합니다.

기술 일러스트레이션

이러한 일러스트레이션은 이러한 문서에 있는 참조 일러스트레이션의 복제본입니다. 사용자 고유의 조직 및 고객을 위해 다운로드하고 사용자 지정합니다. Contoso 로고를 사용자 고유의 로고로 바꿉다.

항목 설명
썸네일 그림 1Visio 다운로드
업데이트 날짜: 2024년 10월
Azure IaaS에 제로 트러스트 원칙 적용
다음 문서와 함께 다음 그림을 사용합니다.
- 개요
- Azure Storage
- 가상 머신
- Azure 스포크 가상 네트워크
- Azure 허브 가상 네트워크
썸네일 그림 2Visio 다운로드
업데이트 날짜: 2024년 10월
Azure IaaS에 제로 트러스트 원칙 적용 - 한 페이지 포스터
Azure IaaS 환경에 제로 트러스트 원칙을 적용하는 프로세스의 한 페이지 개요입니다.

추가 기술 일러스트레이션은 IT 설계자 및 구현자에 대한 제로 트러스트 일러스트레이션을 참조하세요.

Azure 가상 머신 디스크 보호

학습 Azure 가상 머신 디스크 보호
ADE(Azure Disk Encryption)를 사용하여 기존 및 새 가상 머신에서 OS 및 데이터 디스크를 암호화하는 방법을 알아봅니다.
이 모듈에서는 다음 방법을 알아봅니다.
  • 가상 머신에 가장 적합한 암호화 방법을 결정합니다.
  • Azure Portal을 사용하여 기존 가상 머신 디스크를 암호화합니다.
  • PowerShell을 사용하여 기존 가상 머신 디스크를 암호화합니다.
  • 새 가상 머신에서 디스크 암호화를 자동화하도록 Azure Resource Manager 템플릿을 수정합니다.
  • Azure에 대한 자세한 내용은 전체 Microsoft 카탈로그를 참조하세요.
    모두 찾아보기 - 교육 | Microsoft Learn

    Azure에서 가상 머신 호스트 보안 구현

    학습 Azure에서 가상 머신 호스트 보안 구현
    이 학습 경로에서는 Azure에서 가상 머신을 보호하고 강화하는 방법을 알아봅니다.

    Azure의 가상 머신에 대한 자세한 교육은 Microsoft 카탈로그에서 다음 리소스를 참조하세요.
    Azure의 가상 머신 | Microsoft Learn

    다음 단계

    Azure에 제로 트러스트 원칙을 적용하려면 다음 추가 문서를 참조하세요.

    참조