이 문서에서는 가상 머신에 대한 핵심 Azure 보안 기능에 대한 개요를 제공합니다.
Azure Virtual Machines를 사용하면 다양한 컴퓨팅 솔루션을 민첩한 방식으로 배포할 수 있습니다. 이 서비스는 Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP 및 Azure BizTalk Services를 지원합니다. 거의 모든 운영 체제에서 모든 워크로드 및 언어를 배포할 수 있습니다.
Azure VM은 물리적 하드웨어를 구입 및 유지 관리하지 않고도 가상화의 유연성을 제공합니다. 매우 안전한 데이터 센터에서 데이터가 보호된다는 확신을 가지고 애플리케이션을 빌드하고 배포할 수 있습니다.
Azure를 사용하여 다음과 같은 보안이 강화된 규정 준수 솔루션을 빌드할 수 있습니다.
- 바이러스 및 맬웨어로부터 가상 머신 보호
- 중요한 데이터 암호화
- 네트워크 트래픽 보호
- 위협 식별 및 검색
- 규정 준수 요구 사항 충족
신뢰할 수 있는 시작
신뢰할 수 있는 시작 은 새로 만든 2세대 Azure VM 및 Virtual Machine Scale Sets의 기본값입니다. 신뢰할 수 있는 시작은 부팅 키트, 루트킷 및 커널 수준 맬웨어를 비롯한 고급 및 영구 공격 기술로부터 보호합니다.
신뢰할 수 있는 시작 기능은 다음을 제공합니다.
- 보안 부팅: 서명된 운영 체제와 드라이버만 부팅할 수 있도록 하여 맬웨어 기반 루트킷 및 부팅 키트 설치를 방지합니다.
- vTPM(가상 신뢰할 수 있는 플랫폼 모듈): 키와 측정값을 위한 전용 보안 금고로, 증명 및 부팅 무결성 확인을 가능하게 해 줍니다.
- 부팅 무결성 모니터링: Microsoft Defender for Cloud를 통한 증명을 사용하여 부팅 체인 무결성을 확인하고 오류에 대한 경고
기존 VM 및 Virtual Machine Scale Sets에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 있습니다. 자세한 내용은 Azure 가상 머신에 대한 신뢰할 수 있는 시작을 참조하세요.
기밀 컴퓨팅
Azure 기밀 컴퓨팅 은 하드웨어 기반의 신뢰할 수 있는 실행 환경을 통해 사용하는 동안 데이터를 보호합니다. 기밀 VM은 AMD SEV-SNP 기술을 사용하여 애플리케이션과 가상화 스택 간에 하드웨어 적용 경계를 만듭니다.
기밀 VM은 다음을 제공합니다.
- 하드웨어 기반 격리: 가상 머신, 하이퍼바이저 및 호스트 관리 코드 간
- 기밀 OS 디스크 암호화: 디스크 암호화 키를 VM의 TPM에 바인딩하여 VM에서만 디스크 콘텐츠에 액세스할 수 있도록 합니다.
- 보안 키 릴리스: 플랫폼 증명과 VM 암호화 키 간의 암호화 바인딩
- 증명: 배포 전에 호스트 규정 준수를 보장하기 위한 사용자 지정 가능한 정책
자세한 내용은 Azure 기밀 VM을 참조하세요.
Azure Backup
Azure Backup 은 최소한의 운영 비용과 자본 투자 없이 애플리케이션 데이터를 보호하는 확장 가능한 솔루션입니다. 애플리케이션 오류로 인해 데이터가 손상되고 사용자 오류로 인해 애플리케이션에 버그가 발생할 수 있습니다. Azure Backup은 Windows 및 Linux를 실행하는 가상 머신의 보호에 도움이 됩니다.
Azure Backup은 데이터의 우발적인 소멸을 방지할 수 있도록 독립적이고 격리된 백업을 제공합니다. 백업은 복구 지점 관리 기능이 내장된 Recovery Services 볼트에 저장됩니다.
자세한 내용은 Azure Backup이란? 및 Azure Backup 서비스 FAQ를 참조하세요.
Azure 사이트 복구
Azure Site Recovery 는 워크로드 및 앱의 복제, 장애 조치(failover) 및 복구를 오케스트레이션하여 기본 위치가 중단된 경우 보조 위치에서 사용할 수 있도록 합니다.
사이트 복구:
- BCDR 전략 간소화: 단일 위치에서 여러 비즈니스 워크로드 및 앱의 복제, 장애 조치(failover) 및 복구를 쉽게 처리할 수 있습니다.
- 유연한 복제 제공: Hyper-V VM, VMware VM 및 Windows/Linux 물리적 서버에서 실행되는 워크로드 복제
- 장애 조치(failover) 및 복구 지원: 프로덕션 환경에 영향을 주지 않고 재해 복구 훈련을 위한 테스트 장애 조치(failover) 제공
- 보조 데이터 센터 제거: Azure에 복제하여 보조 사이트 유지 관리의 비용과 복잡성 제거
자세한 내용은 Azure Site Recovery란?, Azure Site Recovery는 어떻게 작동하나요?, Azure Site Recovery로 보호되는 워크로드는 무엇인가요?를 참조하세요.
가상 네트워킹
가상 머신에는 네트워크 연결이 필요합니다. Azure를 사용하려면 가상 머신을 Azure 가상 네트워크에 연결해야 합니다.
Azure 가상 네트워크는 물리적 Azure 네트워크 패브릭 위에 구축되는 논리적 구조체입니다. 각 논리적 Azure 가상 네트워크는 다른 모든 Azure 가상 네트워크와 격리됩니다. 이 격리를 통해 다른 Microsoft Azure 고객이 해당 배포의 네트워크 트래픽에 액세스할 수 없게 해 줍니다.
자세한 내용은 Azure 네트워크 보안 개요 및 Virtual Network 개요를 참조하세요.
보안 정책 관리
클라우드용 Microsoft Defender 를 사용하면 위협을 방지, 감지 및 대응할 수 있습니다. 클라우드용 Defender를 사용하면 Azure 리소스의 보안을 더 명확히 파악하고 제어할 수 있습니다. Azure 구독에서 통합된 보안 모니터링 및 정책 관리를 제공합니다.
Defender for Cloud를 사용하면 다음을 통해 VM 보안을 최적화하고 모니터링할 수 있습니다.
- 가상 머신에 대한 보안 권장 사항 제공
- 가상 머신의 상태 모니터링
- Microsoft Defender for Servers에 고급 위협 방지 제공
서버용 Microsoft Defender에는 다음이 포함됩니다.
- 엔드포인트 검색 및 응답을 위한 엔드포인트용 Microsoft Defender 통합
- 보안 약점을 식별하기 위한 취약성 평가
- 공격 노출 영역을 줄이기 위한 Just-In-Time VM 액세스
- 중요한 파일에 대한 변경 내용을 검색하는 파일 무결성 모니터링
- 승인된 애플리케이션에 대한 적응형 애플리케이션 제어
자세한 내용은 클라우드용 Microsoft Defender, 서버용 Microsoft Defender 및 클라우드용 Microsoft Defender 질문과 대답을 참조하세요.
규정 준수
Azure Virtual Machines는 FISMA, FedRAMP, HIPAA, PCI DSS Level 1 및 기타 주요 규정 준수 프로그램 인증을 받았습니다. 이 인증을 사용하면 Azure 애플리케이션이 규정 준수 요구 사항을 더 쉽게 충족하고 비즈니스에서 국내 및 국제 규정 요구 사항을 보다 쉽게 해결할 수 있습니다.
자세한 내용은 Microsoft 보안 센터: 규정 준수 및 Azure 규정 준수 설명서를 참조하세요.
하드웨어 보안 모듈
Azure Key Vault 는 키 및 비밀에 대한 보안 스토리지를 제공합니다. Key Vault는 FIPS 140 유효성이 검사된 표준으로 인증된 HSM(하드웨어 보안 모듈)에 키를 저장하는 옵션을 제공합니다.
백업 또는 투명한 데이터 암호화를 위한 SQL Server 암호화 키는 모두 애플리케이션의 키 또는 비밀과 함께 Key Vault에 저장할 수 있습니다. 이러한 보호된 항목에 대한 사용 권한 및 액세스는 Microsoft Entra ID를 통해 관리됩니다.
Azure 키 관리에 대한 자세한 내용은 Azure의 키 관리를 참조하세요.
다음 단계
VM 및 운영 체제에 대한 보안 모범 사례를 알아봅니다.