Azure Portal을 사용하여 호스트에서 암호화를 사용하는 엔드투엔드 암호화를 사용하도록 설정
적용 대상: ✔️ Linux VM ✔️ Windows VM
호스트에서 암호화를 사용하도록 설정하면 VM 호스트에 저장된 데이터는 미사용 및 스토리지 서비스로 암호화된 흐름으로 암호화됩니다. 호스트에서 암호화 및 기타 관리 디스크 암호화 유형에 대한 개념 정보는 호스트에서 암호화 - VM 데이터에 대한 엔드투엔드 암호화를 참조하세요.
임시 디스크 및 임시 OS 디스크는 OS 디스크의 디스크 암호화 유형으로 선택한 항목에 따라 고객 관리형 또는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. OS 및 데이터 디스크 캐시는 선택한 디스크 암호화 유형에 따라 고객 관리형 키 또는 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. 예를 들어 디스크가 고객 관리형 키를 사용하여 암호화된 경우 디스크의 캐시는 고객 관리형 키를 사용하여 암호화되고, 디스크가 플랫폼 관리형 키를 사용하여 암호화된 경우 디스크의 캐시는 플랫폼 관리형 키를 사용하여 암호화됩니다.
제한 사항
- 4k 섹터 크기의 Ultra Disks 및 프리미엄 SSD v2에 지원됩니다.
- 2023년 5월 13일 이후에 만들어진 512e 섹터 크기 Ultra Disks 및 프리미엄 SSD v2에서만 지원됩니다.
- 이 날짜 이전에 만들어진 디스크의 경우 디스크 스냅샷을 생성하고 해당 스냅샷을 사용하여 새 디스크를 만듭니다.
- 현재 또는 Azure Disk Encryption을 사용하도록 설정한 적이 있는 VM(가상 머신) 또는 가상 머신 확장 집합에서는 사용하도록 설정할 수 없습니다.
- 호스트에서 암호화가 사용하도록 설정된 디스크에서는 Azure Disk Encryption을 사용하도록 설정할 수 없습니다.
- 암호화는 기존 가상 머신 확장 집합에서 사용하도록 설정할 수 있습니다. 단, 암호화를 사용하도록 설정한 후 생성된 새 VM만 자동으로 암호화됩니다.
- 암호화하려면 기존 VM의 할당을 취소하고 다시 할당해야 합니다.
지원되는 VM 크기
레거시 VM 크기는 지원되지 않습니다. Azure PowerShell 모듈 또는 Azure CLI를 사용하여 지원되는 VM 크기 목록을 찾을 수 있습니다.
필수 조건
VM 또는 Virtual Machine Scale Set에 대한 호스트에서 암호화를 사용하려면 먼저 구독에 대한 기능을 사용하도록 설정해야 합니다. 다음 단계를 사용하여 구독에 대한 기능을 사용하도록 설정합니다.
Azure Portal: Azure Portal에서 Cloud Shell 아이콘을 선택합니다.
다음 명령을 실행하여 구독에 대한 기능 등록
Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
기능을 사용해 보기 전에 다음 명령을 사용하여 등록 상태가 등록됨(등록에 몇 분 정도 소요될 수 있음)인지 확인합니다.
Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
플랫폼 관리형 키를 통해 VM 배포
Azure Portal에 로그인합니다.
가상 머신을 검색하고 + 만들기를 선택하여 VM을 만듭니다.
적절한 지역과 지원되는 VM 크기를 선택합니다.
원하는 대로 기본 창에 다른 값을 입력한 다음 디스크 창으로 진행합니다.
디스크 창에서 호스트에서 암호화를 선택합니다.
원하는 대로 나머지 항목을 선택합니다.
VM 배포 프로세스의 나머지 부분에 대해 환경에 맞는 항목을 선택하고 배포를 완료합니다.
이제 호스트에서 암호화를 사용하도록 설정된 VM을 배포했으며, 디스크의 캐시는 플랫폼 관리형 키를 사용하여 암호화됩니다.
고객 관리형 키를 통해 VM 배포
또는 고객 관리형 키를 사용하여 디스크 캐시를 암호화할 수 있습니다.
Azure Key Vault 및 디스크 암호화 집합 만들기
기능을 사용하도록 설정한 후에는 Azure Key Vault 및 디스크 암호화 집합을 아직 설정하지 않은 경우 설정해야 합니다.
디스크에 대한 고객 관리형 키를 설정하려면 처음으로 수행하는 경우 특정 순서로 리소스를 만들어야 합니다. 먼저 Azure Key Vault를 만들고 설정해야 합니다.
Azure Key Vault 설정
Azure Portal에 로그인합니다.
키 자격 증명 모음을 검색하고 선택합니다.
Important
배포가 성공하려면 디스크 암호화 집합, VM, 디스크 및 스냅샷이 모두 동일한 지역과 구독에 있어야 합니다. Azure Key Vault는 다른 구독에서 사용할 수 있지만 디스크 암호화 집합과 동일한 지역 및 테넌트에 있어야 합니다.
+만들기를 선택하여 새 Key Vault를 만듭니다.
새 리소스 그룹 만들기
키 자격 증명 모음 이름을 입력하고, 지역을 선택하고, 가격 책정 계층을 선택합니다.
참고 항목
Key Vault 인스턴스를 만드는 경우 일시 삭제 및 제거 보호를 사용하도록 설정해야 합니다. 일시 삭제를 사용하면 지정된 보존 기간(기본적으로 90일) 동안 Key Vault에 삭제된 키를 보관하게 됩니다. 제거 보호를 사용하면 보존 기간이 지날 때까지 삭제된 키를 영구 삭제할 수 없습니다. 이러한 설정은 실수로 삭제하여 데이터가 손실되지 않도록 보호합니다. 이러한 설정은 관리 디스크를 암호화하기 위해 Key Vault를 사용하는 경우 필수입니다.
검토 + 만들기를 선택하고, 선택 사항을 확인한 다음, 만들기를 선택합니다.
키 자격 증명 모음이 배포를 마치면 선택합니다.
개체 아래에서 키를 선택합니다.
생성/가져오기를 선택합니다.
키 유형을 RSA로 설정된 상태로 두고 RSA 키 크기를 2048로 설정된 상태로 둡니다.
원하는 대로 나머지 선택 항목을 입력하고 만들기를 선택합니다.
Azure RBAC 역할 추가
이제 Azure Key Vault와 키를 만들었으므로 디스크 암호화 집합에 Azure Key Vault를 사용할 수 있도록 Azure RBAC 역할을 추가해야 합니다.
- 액세스 제어(IAM)를 선택하고 역할을 추가합니다.
- Key Vault 관리자, 소유자 또는 기여자 역할을 추가합니다.
디스크 암호화 집합 설정
디스크 암호화 집합을 검색하고 선택합니다.
디스크 암호화 집합 창에서 +만들기를 선택합니다.
리소스 그룹을 선택하고, 암호화 집합의 이름을 지정하고, 키 자격 증명 모음으로 동일한 지역을 선택합니다.
암호화 유형에서 고객 관리형 키로 미사용 데이터 암호화를 선택합니다.
참고 항목
특정 암호화 유형을 사용하여 디스크 암호화 집합을 만든 후에는 변경할 수 없습니다. 다른 암호화 유형을 사용하려면 새 디스크 암호화 집합을 만들어야 합니다.
Azure Key Vault 및 키 선택이 선택되어 있는지 확인합니다.
이전에 만든 키 자격 증명 모음 및 키와 버전을 선택합니다.
고객 관리형 키의 자동 회전을 사용하려면 자동 키 회전을 선택합니다.
검토 + 만들기, 만들기를 차례로 선택합니다.
배포되면 디스크 암호화 집합으로 이동하고 표시된 경고를 선택합니다.
그러면 키 자격 증명 모음 권한이 디스크 암호화 집합에 부여됩니다.
VM 배포
이제 Azure Key Vault 및 디스크 암호화 집합을 설정했으므로 VM을 배포할 수 있으며 호스트에서 암호화를 사용합니다.
Azure Portal에 로그인합니다.
가상 머신을 검색하고 + 추가를 선택하여 VM을 만듭니다.
새 가상 머신을 만들고 적절한 지역과 지원되는 VM 크기를 선택합니다.
원하는 대로 기본 창에 다른 값을 입력한 다음 디스크 창으로 진행합니다.
디스크 창에서 호스트에서 암호화를 선택합니다.
키 관리를 선택하고 고객 관리형 키 중 하나를 선택합니다.
원하는 대로 나머지 항목을 선택합니다.
VM 배포 프로세스의 나머지 부분에 대해 환경에 맞는 항목을 선택하고 배포를 완료합니다.
이제 고객 관리형 키를 사용하여 호스트에서 암호화된 VM을 배포했습니다.
호스트 기반 암호화 해제
먼저 VM 할당을 취소합니다. VM의 할당을 취소하지 않으면 호스트에서 암호화를 사용하지 않도록 설정할 수 없습니다.
VM에서, 디스크를 선택하고 추가 설정을 선택합니다.
호스트에서 암호화에 대해 아니요를 선택한 다음, 저장을 선택합니다.