Azure VMware Solution 워크로드에 대한 보안 고려 사항
이 문서에서는 Azure VMware Solution 워크로드의 보안 디자인 영역에 대해 설명합니다. 이 설명에서는 Azure VMware Solution 워크로드를 보호하고 보호하는 데 도움이 되는 다양한 조치에 대해 설명합니다. 이러한 조치는 인프라, 데이터 및 애플리케이션을 보호하는 데 도움이 됩니다. 보안에 대한 이러한 접근 방식은 전체적이며 조직의 핵심 우선 순위에 부합합니다.
Azure VMware Solution을 보호하려면 Microsoft Azure 및 VMware가 특정 보안 측면을 담당하는 공유 책임 모델이 필요합니다. 적절한 보안 조치를 구현하려면 IT 팀, VMware 및 Microsoft 간의 공동 작업 및 공유 책임 모델을 명확하게 이해해야 합니다.
규정 준수 및 거버넌스 관리
영향: 보안, 운영 우수성
실수로 프라이빗 클라우드를 삭제하지 않도록 하려면 리소스 잠금을 사용하여 원치 않는 삭제 또는 변경으로부터 리소스를 보호합니다. 구독, 리소스 그룹 또는 리소스 수준에서 설정하고 삭제, 수정 또는 둘 다를 차단할 수 있습니다.
비규격 서버를 검색하는 것도 중요합니다. 이 용도로 Azure Arc를 사용할 수 있습니다. Azure Arc는 Azure 관리 기능 및 서비스를 온-프레미스 또는 다중 클라우드 환경으로 확장합니다. Azure Arc는 중앙 집중식 서버 관리 및 거버넌스를 제공하여 업데이트 및 핫픽스를 적용하기 위한 단일 창 보기를 제공합니다. 그 결과 Azure, 온-프레미스 시스템 및 Azure VMware Solution에서 구성 요소를 관리하기 위한 일관된 환경이 생성됩니다.
권장 사항
- 프라이빗 클라우드를 호스트하는 리소스 그룹에 리소스 잠금을 배치하여 실수로 삭제하지 않도록 합니다.
- Azure VMware Solution 게스트 VM(가상 머신)을 Azure Arc 지원 서버로 구성합니다. 머신을 연결하는 데 사용할 수 있는 방법은 Azure 연결된 컴퓨터 에이전트 배포 옵션을 참조 하세요.
- 인증된 타사 솔루션 또는 Azure VMware Solution용 Azure Arc(미리 보기)를 배포합니다.
- Azure Arc 지원 서버에 대한 Azure Policy를 사용하여 Azure VMware Solution 게스트 VM에서 보안 제어를 감사하고 적용합니다.
게스트 운영 체제 보호
영향: 보안
운영 체제를 패치하고 정기적으로 업데이트하지 않으면 취약성에 취약해지고 전체 플랫폼이 위험에 처하게 됩니다. 패치를 정기적으로 적용하면 시스템을 최신 상태로 유지합니다. 엔드포인트 보호 솔루션을 사용하는 경우 일반적인 공격 벡터가 운영 체제를 대상으로 하지 않도록 방지할 수 있습니다. 취약성 검사 및 평가를 정기적으로 수행하는 것도 중요합니다. 이러한 도구는 보안 약점 및 취약성을 식별하고 수정하는 데 도움이 됩니다.
클라우드용 Microsoft Defender 다음을 포함하여 Azure VMware Solution 및 온-프레미스 VM에서 고급 위협 방지를 제공하는 고유한 도구를 제공합니다.
- 파일 무결성 모니터링
- 파일리스 공격 검색.
- 운영 체제 패치 평가.
- 보안 구성 오류 평가입니다.
- 엔드포인트 보호 평가.
권장 사항
- 서버용 Azure Arc를 통해 Azure VMware Solution 게스트 VM에 Azure 보안 에이전트를 설치하여 보안 구성 및 취약성을 모니터링합니다.
- 클라우드용 Defender 대한 기본 데이터 수집 규칙과의 연결을 자동으로 만들도록 Azure Arc 머신을 구성합니다.
- Azure VMware Solution 프라이빗 클라우드를 배포하고 실행하는 데 사용하는 구독에서 서버 보호를 포함하는 클라우드용 Defender 계획을 사용합니다.
- Azure VMware Solution 프라이빗 클라우드에서 확장된 보안 이점이 있는 게스트 VM이 있는 경우 정기적으로 보안 업데이트를 배포합니다. 볼륨 정품 인증 관리 도구를 사용하여 이러한 업데이트를 배포합니다.
데이터 암호화
영향: 보안, 운영 우수성
데이터 암호화는 Azure VMware Solution 워크로드를 무단 액세스로부터 보호하고 중요한 데이터의 무결성을 유지하는 중요한 측면입니다. 암호화에는 시스템의 미사용 데이터와 전송 중인 데이터가 포함됩니다.
권장 사항
- 고객 관리형 키로 VMware vSAN 데이터 저장소를 암호화하여 미사용 데이터를 암호화합니다.
- BitLocker와 같은 네이티브 암호화 도구를 사용하여 게스트 VM을 암호화합니다.
- Azure VMware Solution 프라이빗 클라우드 게스트 VM에서 실행되는 데이터베이스에 대해 네이티브 데이터베이스 암호화 옵션을 사용합니다. 예를 들어 SQL Server에 TDE(투명한 데이터 암호화)를 사용할 수 있습니다.
- 데이터베이스 활동에서 의심스러운 활동을 모니터링합니다. SQL Server 활동 모니터와 같은 네이티브 데이터베이스 모니터링 도구를 사용할 수 있습니다.
네트워크 보안 구현
영향: 운영 우수성
네트워크 보안의 목표는 Azure VMware Solution 구성 요소에 대한 무단 액세스를 방지하는 것입니다. 이 목표를 달성하는 한 가지 방법은 네트워크 구분을 통해 경계를 구현하는 것입니다. 이 방법은 애플리케이션을 격리하는 데 도움이 됩니다. 세분화의 일부로 가상 LAN은 데이터 링크 계층에서 작동합니다. 해당 가상 LAN은 물리적 네트워크를 논리적 네트워크로 분할하여 트래픽을 구분하여 VM의 물리적 분리를 제공합니다.
그런 다음 세그먼트를 만들어 고급 보안 기능 및 라우팅을 제공합니다. 예를 들어 애플리케이션, 웹 및 데이터베이스 계층은 3계층 아키텍처에서 별도의 세그먼트를 가질 수 있습니다. 애플리케이션은 보안 규칙을 사용하여 각 세그먼트의 VM 간 네트워크 통신을 제한하여 마이크로 구분 수준을 추가할 수 있습니다.
계층 1 라우터는 세그먼트 앞에 배치됩니다. 이러한 라우터는 SDDC(소프트웨어 정의 데이터 센터) 내에서 라우팅 기능을 제공합니다. 여러 계층 1 라우터를 배포하여 여러 세그먼트 집합을 분리하거나 특정 라우팅을 달성할 수 있습니다. 예를 들어 프로덕션, 개발 및 테스트 워크로드를 오가는 동서 트래픽을 제한한다고 가정합니다. 분산 수준 1 계층을 사용하여 특정 규칙 및 정책에 따라 해당 트래픽을 분할하고 필터링할 수 있습니다.
권장 사항
- 네트워크 세그먼트를 사용하여 구성 요소를 논리적으로 분리하고 모니터링합니다.
- VMware NSX-T 데이터 센터의 네이티브 마이크로 세분화 기능을 사용하여 애플리케이션 구성 요소 간의 네트워크 통신을 제한합니다.
- 중앙 집중식 라우팅 어플라이언스 사용하여 세그먼트 간의 라우팅을 보호하고 최적화합니다.
- 네트워크 세분화가 조직 보안이나 네트워킹 정책, 규정 준수 요구 사항, 사업 부문, 부서 또는 환경에 의해 구동되는 경우 시차형 계층 1 라우터를 사용합니다.
IDPS(침입 감지 및 방지 시스템) 사용
영향: 보안
IDPS를 사용하면 Azure VMware Solution 환경에서 네트워크 기반 공격 및 악의적인 활동을 감지하고 방지할 수 있습니다.
권장 사항
- Azure VMware Solution 구성 요소 간의 동서 트래픽에서 악성 패턴 및 맬웨어를 감지하는 데 도움이 되도록 VMware NSX-T 데이터 센터 분산 방화벽을 사용합니다.
- Azure Firewall과 같은 Azure 서비스 또는 Azure나 Azure VMware Solution에서 실행되는 인증된 타사 NVA를 사용합니다.
RBAC(역할 기반 액세스 제어) 및 다단계 인증 사용
영향: 보안, 운영 우수성
ID 보안은 Azure VMware Solution 프라이빗 클라우드 워크로드 및 해당 워크로드에서 실행되는 애플리케이션에 대한 액세스를 제어하는 데 도움이 됩니다. RBAC를 사용하여 특정 사용자 및 그룹에 적합한 역할 및 권한을 할당할 수 있습니다. 이러한 역할 및 권한은 최소 권한 원칙에 따라 부여됩니다.
사용자 인증에 다단계 인증을 적용하여 무단 액세스에 대한 추가 보안 계층을 제공할 수 있습니다. 모바일 푸시 알림과 같은 다양한 다단계 인증 방법은 편리한 사용자 환경을 제공하고 강력한 인증을 보장하는 데에도 도움이 됩니다. Azure VMware Solution을 Microsoft Entra ID와 통합하여 사용자 관리를 중앙 집중화하고 Microsoft Entra 고급 보안 기능을 활용할 수 있습니다. 기능의 예로는 권한 있는 ID 관리, 다단계 인증 및 조건부 액세스가 있습니다.
권장 사항
- Microsoft Entra Privileged Identity Management를 사용하여 Azure Portal 및 제어판 작업에 대한 시간 제한 액세스를 허용합니다. Privileged Identity Management 감사 기록을 사용하여 높은 권한이 있는 계정이 수행하는 작업을 추적합니다.
- 다음을 수행할 수 있는 Microsoft Entra 계정 수를 줄입니다.
- Azure Portal 및 API에 액세스합니다.
- Azure VMware Solution 프라이빗 클라우드로 이동합니다.
- VMware vCenter Server 및 VMware NSX-T Data Center 관리 계정을 읽습니다.
- VMware vCenter Server 및 VMware NSX-T 데이터 센터에 대한 로컬
cloudadmin계정 자격 증명을 회전하여 이러한 관리 계정의 오용 및 남용을 방지합니다. 이러한 계정은 중단 유리 시나리오에서만 사용합니다. VMware vCenter Server에 대한 서버 그룹 및 사용자를 만들고 외부 ID 원본에서 ID를 할당합니다. 특정 VMware vCenter Server 및 VMware NSX-T 데이터 센터 작업에 이러한 그룹 및 사용자를 사용합니다. - 게스트 VM 및 애플리케이션에 대한 인증 및 권한 부여 서비스를 구성하려면 중앙 집중식 ID 원본을 사용합니다.
보안 모니터링 및 위협 감지
영향: 보안, 운영 우수성
보안 모니터링 및 위협 감지에는 Azure VMware Solution 프라이빗 클라우드 워크로드의 보안 상태 변경 내용을 감지하고 대응하는 작업이 포함됩니다. 업계 모범 사례를 따르고 다음을 비롯한 규정 요구 사항을 준수하는 것이 중요합니다.
- HIPAA(건강 보험 이식성 및 책임법).
- PCI DSS(결제 카드 업계 데이터 보안 표준).
SIEM(보안 정보 및 이벤트 관리) 도구 또는 Microsoft Sentinel을 사용하여 보안 로그 및 이벤트를 집계, 모니터링 및 분석할 수 있습니다. 이 정보는 잠재적인 위협을 감지하고 대응하는 데 도움이 됩니다. 정기적으로 감사 검토를 수행하면 위협을 방지하는 데도 도움이 됩니다. Azure VMware Solution 환경을 정기적으로 모니터링하는 경우 보안 표준 및 정책에 부합하도록 더 나은 위치에 있습니다.
권장 사항
- 다음 Azure 정책을 사용하여 클라우드용 Defender 권장 사항에 대한 응답을 자동화합니다.
- 보안 경고에 대한 워크플로 자동화
- 보안 추천 사항에 대한 워크플로 자동화
- 규정 준수 변경에 대한 워크플로 자동화
- Microsoft Sentinel을 배포하고 대상을 Log Analytics 작업 영역으로 설정하여 Azure VMware Solution 프라이빗 클라우드 게스트 VM에서 로그를 수집합니다.
- 데이터 커넥터를 사용하여 Microsoft Sentinel 및 클라우드용 Defender 연결합니다.
- Microsoft Sentinel 플레이북 및 Azure Automation 규칙을 사용하여 위협 대응을 자동화합니다.
보안 기준 설정
영향: 보안
Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0에서 정의한 컨트롤을 Azure Policy에 적용합니다.
권장 사항
- 워크로드를 보호하려면 Azure VMware Solution에 대한 Azure 보안 기준에 지정된 권장 사항을 적용합니다.
다음 단계
이제 Azure VMware Solution을 보호하기 위한 모범 사례를 살펴보았으므로 비즈니스 우수성을 달성하기 위한 운영 관리 절차를 조사합니다.
평가 도구를 사용하여 디자인 선택을 평가합니다.