Azure VM 기준 만들기

  • 5분

Azure Policy는 정책을 만들고, 할당하고, 관리하는 데 사용할 수 있는 Azure 서비스입니다. 만든 정책은 리소스에 대해 다양한 규칙과 효과를 적용하여 리소스가 회사 표준 및 서비스 수준 계약을 준수하도록 유지합니다. Azure Policy는 할당된 정책의 비준수에 대해 리소스를 평가하여 이 요구를 충족합니다. 예를 들어 사용자 환경에 특정 SKU 크기의 VM만 허용하는 정책이 있을 수 있습니다. 이 정책을 구현하면 새 리소스와 기존 리소스의 규정 준수가 평가됩니다. 올바른 유형의 정책을 사용하면 기존 리소스가 규정을 준수하도록 할 수 있습니다.

Azure VM 보안 권장 사항

다음 섹션에서는 CIS Microsoft Azure Foundations 보안 벤치마크 v.3.0.0에 있는 Azure VM 보안 권장 사항을 설명합니다. 각 권장 사항에는 Azure Portal에서 완료해야 하는 기본 단계가 포함되어 있습니다. 자신의 구독에 대해 이러한 단계를 완료하고 자신의 리소스를 사용하여 각 보안 권장 사항의 유효성을 검사해야 합니다. 수준 2 옵션은 일부 기능이나 작업을 제한할 수 있으므로, 적용할 보안 옵션을 신중하게 고려해야 합니다.

OS 디스크가 암호화되었는지 확인 - 수준 1

Azure Disk Encryption은 조직의 보안 및 규정 준수 약정에 따라 데이터를 안전하게 보호하는 데 도움이 됩니다. Azure Disk Encryption:

  • ADE는 Windows의 BitLocker 기능과 Linux의 DM-Crypt 기능을 사용하여 Azure VM의 OS 및 데이터 디스크에 볼륨 암호화를 제공합니다.
  • 이것은 Azure Key Vault와 함께 작동하여 디스크 암호화 키 및 비밀을 제어하고 관리하는 데 도움을 주기도 합니다.
  • Azure 스토리지에 있는 동안은 VM 디스크의 모든 데이터가 미사용 시 암호화되도록 보장합니다.

Windows 및 Linux VM용 Azure Disk Encryption은 표준 VM 및 Azure Premium Storage 사용 VM에 대해 모든 Azure 퍼블릭 지역과 Azure Government 지역에서 일반 공급되고 있습니다.

클라우드용 Microsoft Defender(권장)를 사용하는 경우 암호화되지 않은 VM이 있는 경우 경고가 표시됩니다. Azure 구독의 각 VM에 대해 다음 단계를 완료합니다.

  1. Azure Portal에 로그인합니다. 가상 머신을 검색하여 선택합니다.

  2. 가상 머신을 선택합니다.

  3. 왼쪽 메뉴의 설정에서 디스크를 선택합니다.

  4. OS 디스크에 암호화 형식 집합이 있는지 확인합니다.

  5. 데이터 디스크 아래의 각 디스크에 암호화 형식 집합이 있는지 확인합니다.

  6. 설정을 변경하려면 메뉴 모음에서 저장을 선택합니다.

암호화 형식이 강조 표시된 가상 머신의 디스크 창을 보여주는 스크린샷

승인된 VM 확장만 장착되도록 보장 - 수준 1

Azure VM 확장은 Azure VM에서 배포 후 구성 및 자동화 작업을 제공하는 작은 애플리케이션입니다. 예를 들어, VM에 소프트웨어 설치 또는 안티바이러스 보호가 필요하거나 VM에서 스크립트를 실행해야 하는 경우 VM 확장을 사용할 수 있습니다. Azure CLI, PowerShell, Azure Resource Manager 템플릿 또는 Azure Portal을 사용하여 Azure VM 확장을 실행할 수 있습니다. 확장을 새 VM 배포와 함께 번들로 묶거나 기존 시스템에 대해 실행할 수 있습니다. Azure Portal을 사용하여 승인된 확장만 VM에 설치되도록 하려면 Azure 구독의 각 VM에 대해 다음 단계를 완료합니다.

  1. Azure Portal에 로그인합니다. 가상 머신을 검색하여 선택합니다.

  2. 가상 머신을 선택합니다.

  3. 왼쪽 메뉴의 설정에서 확장 + 애플리케이션을 선택합니다.

  4. 확장 + 애플리케이션 창에서 나열된 확장이 사용 승인되었는지 확인합니다.

확장 + 애플리케이션 창에서 VM 확장을 보여 주는 스크린샷.

VM용 OS 패치가 적용되었는지 확인 - 수준 1

클라우드용 Microsoft Defender는 Windows 및 Linux VM과 컴퓨터에서 누락된 운영 체제 업데이트를 매일 모니터링합니다. 클라우드용 Defender가 Windows 업데이트 또는 WSUS(Windows Server Update Services)에서 사용 가능한 보안 및 중요 업데이트의 목록을 검색합니다. 수신하는 업데이트는 Windows 컴퓨터에서 구성하는 서비스에 따라 달라집니다. 클라우드용 Defender는 Linux 시스템에서 최신 업데이트도 확인합니다. VM 또는 컴퓨터에 누락된 시스템 업데이트가 있을 경우 클라우드용 Defender는 시스템 업데이트를 적용하도록 권장합니다.

  1. Azure Portal에 로그인합니다. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 일반에서 권장 사항을 선택합니다.

  3. 권장 사항에서 시스템 업데이트 적용과 관련된 권장 사항이 없는지 확인합니다.

클라우드용 Microsoft Defender 권장 사항 창의 스크린샷.

VM에 설치되어 실행 중인 Endpoint Protection 솔루션이 있는지 확인 - 수준 1

클라우드용 Microsoft Defender는 맬웨어 방지 보호의 상태를 모니터링합니다. 엔드포인트 보호 문제 창에서 이 상태를 보고합니다. 클라우드용 Defender는 VM과 컴퓨터를 맬웨어 방지 위협에 취약하게 만들 수 있는 탐지된 위협, 불충분한 보호 등의 문제를 강조 표시합니다. Endpoint Protection 문제의 정보를 사용하여 확인된 문제를 해결하기 위한 계획을 만들기 시작할 수 있습니다.

앞선 권장 사항에서 설명한 것과 동일한 프로세스를 사용합니다.