Azure Recovery Services 자격 증명 모음 및 프라이빗 엔드포인트로 기밀 VM 백업 보호하기

Azure에서 기밀 VM(CVM)을 사용할 때, 백업을 안전하게 유지하는 것은 워크로드 보호만큼이나 중요합니다. 기밀 VM은 AMD SEV-SNP 또는 Intel TDX와 같은 하드웨어 기반 신뢰할 수 있는 실행 환경(TEE)을 사용하여 데이터를 안전하게 보호합니다. 하지만 데이터를 공용 인터넷에 노출하지 않고 어떻게 안전하게 백업할 수 있을까요? 해답은 Azure Recovery Services 자격 증명 모음(RSV)과 프라이빗 엔드포인트를 결합하는 데 있습니다.

이 블로그에서는 이러한 설정이 왜 중요한지, 어떻게 구성하는지, 그리고 어떤 문제에 주의해야 하는지에 대해 설명합니다.

참고: 이 블로그는 OS 디스크에 기밀 OS 암호화가 적용된 CVM에 대해 특별히 다룹니다. 현재 CVM용 Azure Backup은 비공개 미리 보기(Private Preview) 중이므로, 접근 권한을 얻으려면 Microsoft 계정 팀 또는 제품 팀에 문의해야 합니다.

RSV에 프라이빗 엔드포인트를 사용하는 이유?

기본적으로 Recovery Services 자격 증명 모음은 공용 엔드포인트를 통해 통신합니다. 프라이빗 엔드포인트를 사용하면 기밀 VM과 RSV 간의 모든 트래픽이 공용 인터넷 대신 안전한 Microsoft 백본을 통해 흐릅니다. 이는 추가적인 격리 및 보호 계층을 제공하여 중요한 워크로드에 완벽하게 부합합니다.

필요한 준비물 (선행 조건)

시작하기 전에 다음 사항을 확인하십시오:

• Azure 구독 및 적절한 권한 (RSV의 소유자/기여자, DNS 영역의 DNS 영역 기여자).
• 지원되는 SKU의 기밀 VM 하나.
• 동일하거나 피어링된 지역의 Recovery Services 자격 증명 모음 하나.
• 가상 네트워크 및 서브넷:
  • 프라이빗 엔드포인트 전용 서브넷을 사용합니다.
  • 백업용 프라이빗 엔드포인트 연결은 11개의 프라이빗 IP (Azure Backup 저장소 포함)를 사용합니다. 일부 지역에서는 더 높을 수 있습니다.
  • 권장 서브넷 크기: 충분한 프라이빗 IP 가용성을 보장하기 위해 /25에서 /27.
• 프라이빗 DNS 영역:
  • privatelink.backup.windowsazure.com (자격 증명 모음 자체용)
  • privatelink.blob.core.windows.net (스테이징 및 복구 데이터용)
  • privatelink.queue.core.windows.net (백업 작업 큐용)
  • privatelink.table.core.windows.net (메타데이터 저장소용)
• CVM용 Azure Backup은 현재 일반적으로 사용 가능한 3-BLOB 레이아웃만 지원합니다. 결과적으로, v5 및 v6 SKU의 모든 새 배포는 이전의 2-BLOB 설정 대신 기본적으로 3-BLOB 구성으로 설정됩니다. 미리 보기 기능을 활성화하지 않은 이전 배포는 이 변경 사항에 맞추기 위해 재배포해야 할 수 있습니다.
• Azure 제품 팀과 협력하여 구독 수준에서 Azure Backup 비공개 미리 보기 기능이 활성화되어야 합니다.
• VM에 최신 백업 확장이 설치되어 있어야 합니다.

단계별: 프라이빗 엔드포인트로 백업 구성

1. 제품 팀 활성화 요청:
   • Microsoft 지원/제품 팀과 협력하여 구독에 Azure Backup 비공개 미리 보기 기능을 활성화합니다.
2. Recovery Services 자격 증명 모음 생성: 원하는 지역에 생성합니다.
3. 프라이빗 엔드포인트 추가:
   • RSV → 네트워킹 → 프라이빗 엔드포인트 연결로 이동합니다.
   • VNet 및 서브넷을 선택합니다(충분한 프라이빗 IP 확보 권장: /25 ~ /27).
   • 필요한 프라이빗 DNS 영역에 연결합니다.
4. 기밀 VM에서 백업 활성화:
   • VM → 백업을 엽니다.
   • RSV를 선택합니다.
   • 향상된 정책을 선택하거나 생성합니다(CVM에 필수).
   • 초기 백업을 트리거합니다.

기밀 VM 백업을 위한 주요 고려 사항

1. 향상된 정책만 해당: CVM 백업은 향상된 정책만 지원합니다. CMK를 사용한 기밀 OS 디스크 암호화가 적용된 CVM에 대한 백업 지원은 향상된 정책에서만 가능합니다.
2. 영역 중복 Recovery Services 자격 증명 모음(ZRS): 영역 간에 CVM을 복원하려면 RSV를 ZRS로 배포하는 것을 고려하십시오. 다른 영역에서 복원은 자격 증명 모음을 통해서만 가능하며, 스냅샷 복원은 영역 간에 지원되지 않습니다.
3. CMK 지원 CVM 백업: 현재 비공개 미리 보기 프로그램에 등록된 경우에만 사용할 수 있습니다.
4. Key Vault 및 관리형 HSM 권한:
   • Azure Portal을 통해 구성할 때 Key Vault/관리형 HSM에 대한 액세스 권한은 자동으로 부여됩니다.
   • PowerShell, CLI 또는 REST API를 사용할 때 Azure Backup에 명시적인 권한이 필요하므로 액세스 문제가 발생합니다.
   • 해결 방법: Azure Backup에 권한 할당:
     • Key Vault의 경우: 가져오기(Get), 나열(List), 백업(Backup) 키 권한을 부여합니다(비밀 권한은 필요 없음).
     • 관리형 HSM의 경우:
       • 관리형 HSM → 로컬 RBAC → 역할 할당 추가로 이동합니다.
       • 다음 중 하나를 할당합니다.
         • 기본 제공 역할: 관리형 HSM 암호화 사용자(Managed HSM Crypto User)
         • 사용자 지정 역할: dataActions에 다음이 포함되어 있는지 확인합니다.
           • Microsoft.KeyVault/managedHsm/keys/read/action
           • Microsoft.KeyVault/managedHsm/keys/backup/action
       • 범위를 특정 키(또는 모든 키)로 설정합니다.
       • **백업 관리 서비스(Backup Management Service)**에 역할을 할당합니다.
     • 권한이 구성되면 평소와 같이 CVM 백업 설정을 진행합니다.

복원 옵션 및 제한 사항

기밀 VM을 복원할 때 Azure Backup은 기밀 컴퓨팅 모델로 인해 특정 주의 사항이 있는 여러 복원 경로를 제공합니다.

1. 원본 위치로 복원
   • 동일한 구독, 리소스 그룹 및 네트워크 구성으로 CVM을 직접 복원할 수 있습니다.
   • 우발적인 삭제 또는 손상 후 운영 복구에 이상적입니다.
2. 다른 위치로 복원
   • 백업을 다른 리소스 그룹, 가상 네트워크 또는 가용성 영역으로 복원할 수 있습니다.
   • 제한 사항: RSV가 **영역 중복(ZRS)**으로 배포된 경우에만 지원됩니다. 다른 영역으로 복원할 때 스냅샷 복원은 지원되지 않습니다.
3. 디스크 수준 복원
   • 백업 자격 증명 모음에서 특정 관리 디스크(OS 또는 데이터 디스크)를 복원할 수 있습니다.
   • 복원된 디스크는 CVM을 수동으로 다시 만드는 데 사용할 수 있습니다.
   • 제한 사항: 기존 VM의 OS 디스크 교체는 지원되지 않습니다.
4. 특정 시점 복원 (향상된 정책만 해당)
   • 구성 가능한 보존 설정을 가진 향상된 백업 정책에서 사용할 수 있습니다.

복원 제한 사항

• 암호화 제약 조건: CMK가 적용된 CVM 복원에는 복원 시점에 Key Vault 액세스 및 권한이 유효해야 합니다.
• 프라이빗 DNS 종속성: Blob 또는 백업 엔드포인트에 대한 DNS 확인이 잘못되었거나 누락된 경우 복원 실패의 원인이 될 수 있습니다.
• 기능 가용성: 위에 언급된 모든 복원 기능은 Azure Backup 비공개 미리 보기 프로그램에서 계속 발전 중입니다.

보안 이점

• 네트워크 격리: CVM, Recovery Services 자격 증명 모음 및 백업 저장소 간의 모든 통신은 프라이빗 엔드포인트를 사용하여 프라이빗 IP를 통해 이루어지므로 공용 인터넷에 노출되지 않습니다.
• 종단 간 암호화: 백업 데이터는 저장 중 및 전송 중에 모두 암호화됩니다. 암호화에 대한 더 큰 제어를 위해 Azure Key Vault 또는 관리형 HSM에서 **고객 관리형 키(CMK)**를 사용하십시오.
• 역할 기반 액세스 제어(RBAC): 세분화된 액세스 관리는 승인된 사용자 및 서비스만 백업을 트리거하거나 복원할 수 있도록 보장합니다.
• 인증을 위한 관리 ID: 키 관리 복잡성을 줄이고 보안 상태를 강화합니다.

알려진 문제 및 제한 사항

• DNS 구성 오류: 백업, Blob, 큐 또는 테이블 엔드포인트에 대한 프라이빗 DNS 영역이 누락되었거나 잘못 구성된 경우 백업 또는 복원 실패로 이어지는 경우가 많습니다.
• 제한된 지역 지원: 프라이빗 엔드포인트를 사용하는 기밀 VM 백업은 현재 일부 Azure 지역에서만 사용할 수 있습니다.
• 확장 호환성: CVM에 최신 Azure Backup 확장 버전이 설치되어 있는지 확인하십시오. 이전 버전은 CVM 암호화를 지원하지 않을 수 있습니다.
• 기능 종속성: **CVM용 Azure Backup(비공개 미리 보기)**은 Azure 제품 팀에 의해 구독 수준에서 수동으로 활성화되어야 합니다.
• 성능 오버헤드: 증명 및 암호화 유효성 검사로 인해 백업 작업에서 약간의 지연이 발생할 수 있습니다.

모범 사례

• 복원 시나리오를 정기적으로 테스트: 백업 및 복원 프로세스 모두를 검증하여 종단 간 기능을 보장합니다.
• 서브넷 계획: 프라이빗 엔드포인트를 수용할 수 있도록 서브넷에 충분한 IP 주소(/25 또는 /27)를 예약합니다.
• ZRS 배포: 더 나은 복원력과 영역 간 복원 기능을 위해 **영역 중복 Recovery Services 자격 증명 모음(ZRS)**을 사용합니다.
• 향상된 백업 정책 사용: 향상된 정책은 특정 시점 복구 및 CMK 기반 암호화 지원을 보장합니다.
• DNS 관리: 중단 없는 연결을 보장하기 위해 프라이빗 DNS 영역을 올바르게 구성하고 연결된 상태로 유지합니다.
• 권한 관리: PowerShell 또는 REST API를 통해 백업/복원을 시작하기 전에 Key Vault 및 관리형 HSM 권한을 확인합니다.
• 네트워크 세분화: IP 충돌을 피하고 네트워크 관리를 단순화하기 위해 프라이빗 엔드포인트 전용 서브넷을 사용합니다.
• IaC로 자동화: RSV, 프라이빗 엔드포인트 및 DNS 구성의 반복 가능하고 감사 가능한 배포를 위해 Bicep 또는 Terraform 템플릿을 사용합니다.
• 상태 및 경고 모니터링: Azure Monitor 및 Backup Center를 활성화하여 작업 상태, 실패 및 성능을 추적합니다.
• 제품 팀과 조기에 협력: 프로젝트 초기에 Microsoft 제품 팀에 연락하여 필요한 미리 보기 기능(CVM용 Azure Backup)이 제때 활성화되도록 합니다.

결론

프라이빗 엔드포인트를 통해 Azure Recovery Services 자격 증명 모음으로 기밀 VM을 백업하면 두 가지 이점 모두를 얻을 수 있습니다: 워크로드에 대한 기밀 컴퓨팅 보호와 프라이빗 네트워크를 벗어나지 않는 안전하고 규정 준수 백업. DNS, 서브넷 크기 조정, 제품 팀의 도움을 받아 구독 기능 활성화, 그리고 권한을 적절하게 구성함으로써 일반적인 함정을 피하고 데이터 보호 전략을 강화할 수 있습니다.

참고: 이 블로그는 OS 디스크에 기밀 OS 암호화가 적용된 CVM에 대해 특별히 다룹니다.

팁: 이제 막 시작하는 경우, Azure 제품 팀에 연락하여 필요한 기능을 활성화하고, 테스트 CVM을 배포하고, 프라이빗 엔드포인트가 있는 RSV에 연결하고, 백업/복원 주기를 실행하여 구성의 종단 간 유효성을 검사하십시오.