Azure 가상 머신의 신뢰할 수 있는 시작
적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합
Azure는 2세대 VM(가상 머신)의 보안을 향상시키기 위한 원활한 방법으로 신뢰할 수 있는 시작을 제공합니다. 신뢰할 수 있는 시작은 지속적인 고급 공격 기술로부터 사용자를 보호합니다. 신뢰할 수 있는 시작은 독립적으로 사용하도록 설정할 수 있는 몇 가지 조정된 인프라 기술로 구성되어 있습니다. 각 기술은 정교한 위협에 대한 또 다른 방어 계층을 제공합니다.
Important
- 신뢰할 수 있는 시작은 새로 만든 Azure VM의 기본 상태로 선택됩니다. 새 VM에 신뢰할 수 있는 시작에서 지원되지 않는 기능이 필요한 경우 신뢰할 수 있는 시작 FAQ를 참조하세요.
- 기존 VM(가상 머신)은 만든 후 신뢰할 수 있는 시작을 사용하도록 설정할 수 있습니다. 자세한 내용은 기존 VM에서 신뢰할 수 있는 시작 사용을 참조하세요.
- 기존 VMSS(가상 머신 확장 집합)는 만든 후 신뢰할 수 있는 시작을 사용하도록 설정할 수 있습니다. 자세한 내용은 기존 확장 집합에서 신뢰할 수 있는 시작 사용을 참조하세요.
이점
- 확인된 부트 로더, OS(운영 체제) 커널 및 드라이버를 사용하여 가상 머신을 안전하게 배포합니다.
- VM에서 키, 인증서 및 암호를 안전하게 보호합니다.
- 전체 부팅 체인의 무결성에 대한 인사이트와 확신을 얻으세요.
- 워크로드를 신뢰할 수 있고 확인할 수 있는지 확인합니다.
가상 머신 크기
Type | 지원되는 크기 패밀리 | 현재 지원되지 않는 크기 패밀리 | 지원되지 않는 크기 패밀리 |
---|---|---|---|
범용 | B 시리즈, DCsv2 시리즈, DCsv3 시리즈, DCdsv3 시리즈, Dv4 시리즈, Dsv4 시리즈, Dsv3 시리즈, Dsv2 시리즈, Dav4 시리즈, Dasv4 시리즈, Ddv4 시리즈, Ddsv4 시리즈, Dv5 시리즈, Dsv5 시리즈, Ddv5 시리즈, Ddsv5 시리즈, Dasv5 시리즈, Dadsv5 시리즈, Dlsv5 시리즈, Dldsv5 시리즈 | Dpsv5 시리즈, Dpdsv5 시리즈, Dplsv5 시리즈, Dpldsv5 시리즈 | Av2 시리즈, Dv2 시리즈, Dv3 시리즈 |
컴퓨팅 최적화 | FX 시리즈, Fsv2 시리즈 | 지원되는 모든 크기. | |
메모리에 최적화 | Dsv2 시리즈, Esv3 시리즈, Ev4 시리즈, Esv4 시리즈, Edv4 시리즈, Edsv4 시리즈, Eav4 시리즈, Easv4 시리즈, Easv5 시리즈, Eadsv5 시리즈, Ebsv5 시리즈, Ebdsv5 시리즈, Edv5 시리즈, Edsv5 시리즈 | Epsv5 시리즈, Epdsv5 시리즈, M 시리즈, Msv2 시리즈, Mdsv2 중간 메모리 시리즈, Mv2 시리즈 | Ev3 시리즈 |
스토리지 최적화 | Lsv2 시리즈, Lsv3 시리즈, Lasv3 시리즈 | 지원되는 모든 크기. | |
GPU | NCv2 시리즈, NCv3 시리즈, NCasT4_v3 시리즈, NVv3 시리즈, NVv4 시리즈, NDv2 시리즈, NC_A100_v4 시리즈, NVadsA10 v5 시리즈 | NDasrA100_v4 시리즈, NDm_A100_v4 시리즈 | NC 시리즈, NV 시리즈, NP 시리즈 |
고성능 컴퓨팅 | HB 시리즈, HBv2 시리즈, HBv3 시리즈, HBv4 시리즈, HC 시리즈, HX 시리즈 | 지원되는 모든 크기. |
참고 항목
- 보안 부팅이 지원되는 Windows VM에 CUDA 및 GRID 드라이버를 설치하는 데는 추가 단계가 필요하지 않습니다.
- 보안 부팅이 지원되는 Ubuntu VM에 CUDA 드라이버를 설치하려면 추가 단계가 필요합니다. 자세한 내용은 Linux를 실행하는 N 시리즈 VM의 NVIDIA GPU 드라이버 설치를 참조하세요. 다른 Linux VM에 CUDA 드라이버를 설치하기 위해서는 보안 부팅을 사용하지 않도록 설정해야 합니다.
- GRID 드라이버를 설치하려면 Linux VM에 대해 보안 부팅을 사용하지 않도록 설정해야 합니다.
- 지원되지 않는 크기 패밀리는 2세대 VM을 지원하지 않습니다. 신뢰할 수 있는 시작을 사용하도록 설정하기 위해 VM 크기를 해당하는 지원되는 크기 패밀리로 변경합니다.
지원되는 운영 체제
OS | 버전 |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Azure Linux | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
Windows 10 | Pro, Enterprise, Enterprise 다중 세션 * |
Windows 11 | Pro, Enterprise, Enterprise 다중 세션 * |
Windows Server | 2016, 2019, 2022 * |
Window Server(Azure Edition) | 2022 |
* 이 OS의 변형이 지원됩니다.
자세한 정보
지역:
- 모든 공용 지역
- 모든 Azure Government 지역
- 모든 Azure 중국 지역
가격 책정: 신뢰할 수 있는 시작을 사용할 경우 기존 VM 가격 책정 비용이 늘어나지 않습니다.
지원되지 않는 기능
현재, 다음 VM 기능은 신뢰할 수 있는 시작이 지원되지 않습니다.
- Azure Site Recovery(Windows에 대해 일반 공급)
- 관리되는 이미지(고객은 Azure Compute Gallery를 사용하는 것이 좋음)
- 중첩된 가상화(v5 VM 크기 패밀리가 지원됨)
- Linux VM 최대 절전 모드
보안 부팅
신뢰할 수 있는 시작의 루트에는 VM 보안 부팅이 있습니다. 플랫폼 펌웨어에서 구현되는 보안 부팅은 맬웨어 기반 루트킷 및 부팅 키트의 설치를 방지합니다. 보안 부팅은 서명된 운영 체제 및 드라이버만 부팅할 수 있도록 하기 위해 작동합니다. VM의 소프트웨어 스택에 대한 “신뢰할 수 있는 루트”를 설정합니다.
보안 부팅을 사용하도록 설정하면 모든 OS 부팅 구성 요소(부트 로더, 커널, 커널 드라이버)에는 신뢰할 수 있는 게시자 서명이 필요합니다. Windows 및 일부 Linux 배포판은 모두 보안 부팅을 지원합니다. 보안 부팅이 신뢰할 수 있는 게시자가 이미지를 서명했음을 인증하지 못하면 VM이 부팅되지 않습니다. 자세한 내용은 보안 부팅을 참조하세요.
vTPM
신뢰할 수 있는 시작에는 Azure VM용 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)도 도입되었습니다. 이 가상화된 하드웨어 신뢰할 수 있는 플랫폼 모듈 버전은 TPM2.0 사양을 준수입니다. 키 및 측정을 위한 전용 보안 자격 증명 모음 역할을 합니다.
신뢰할 수 있는 시작은 VM의 범위 외부에 있는 보안 환경에서 실행되는 고유한 전용 TPM 인스턴스를 VM에 제공합니다. vTPM은 VM(UEFI, OS, 시스템 및 드라이버)의 전체 부팅 체인을 측정하여 증명을 사용합니다.
신뢰할 수 있는 시작은 vTPM을 사용하여 클라우드를 통해 원격 증명을 수행합니다. 증명은 플랫폼 상태 검사를 수행할 수 있도록 하며, 신뢰 기반 의사 결정을 내리는 데 사용됩니다. 상태 검사를 통해 신뢰할 수 있는 시작은 VM이 올바르게 부팅되었음을 암호화하여 인증할 수 있습니다.
VM이 승인되지 않은 구성 요소를 실행하기 때문에 프로세스가 실패하면 클라우드용 Microsoft Defender에서 무결성 경고를 발행합니다. 경고에는 무결성 검사를 통과하지 못한 구성 요소에 대한 세부 정보가 포함됩니다.
가상화 기반 보안
VBS(가상화 기반 보안)는 하이퍼바이저를 사용하여 안전하고 격리된 메모리 영역을 만듭니다. Windows는 이러한 영역을 사용하여 취약성 및 악의적인 익스플로잇에 대한 보호 기능이 향상된 다양한 보안 솔루션을 실행합니다. 신뢰할 수 있는 시작을 통해 HVCI(하이퍼바이저 코드 무결성) 및 Windows Defender Credential Guard를 사용하도록 설정할 수 있습니다.
HVCI는 악성 또는 확인되지 않은 코드의 삽입 및 실행에 대해 Windows 커널 모드 프로세스를 보호하는 강력한 시스템 완화 기능입니다. 커널 모드 드라이버와 바이너리가 실행되기 전에 검사하여 서명되지 않은 파일이 메모리로 로드되는 것을 방지합니다. 실행 코드를 로드할 수 있게 되면 수정할 수 없는지 확인합니다. VBS 및 HVCI에 대한 자세한 내용은 가상화 기반 보안 및 하이퍼바이저 적용 코드 무결성을 참조하세요.
신뢰할 수 있는 시작 및 VBS를 사용하면 Windows Defender Credential Guard를 사용할 수 있습니다. Credential Guard는 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 비밀을 격리하고 보호합니다. Pass-the-Hash 공격과 같은 비밀 및 자격 증명 탈취 공격에의 무단 액세스를 방지하는 데 유용합니다. 자세한 내용은 Credential Guard를 참조하세요.
클라우드용 Microsoft Defender 통합
신뢰할 수 있는 시작은 클라우드용 Defender와 통합되어 VM이 제대로 구성되었는지 확인합니다. 클라우드용 Defender는 호환되는 VM을 지속적으로 평가하고 관련 권장 사항을 발행합니다.
보안 부팅을 사용하도록 설정하는 권장 사항: 보안 부팅 권장 사항은 신뢰할 수 있는 시작을 지원하는 VM에만 적용됩니다. 클라우드용 Defender는 보안 부팅을 사용하도록 설정할 수 있지만 사용하지 않도록 설정된 VM을 식별합니다. 이를 사용하도록 설정하기 위해 낮은 심각도 권장 사항을 발급합니다.
vTPM 사용 설정 권장 사항: VM에 vTPM이 사용하도록 설정되어 있는 경우 클라우드용 Defender는 이를 사용하여 게스트 증명을 수행하고 고급 위협 패턴을 식별할 수 있습니다. 클라우드용 Defender가 신뢰할 수 있는 시작을 지원하고 vTPM이 사용하지 않도록 설정된 VM을 식별하는 경우 사용하도록 설정하기 위해 낮은 심각도 권장 사항을 발행합니다.
게스트 증명 확장 설치를 위한 권장 사항: VM에 보안 부팅 및 vTPM이 사용하도록 설정되어 있지만 게스트 증명 확장이 설치되어 있지 않은 경우 클라우드용 Defender는 게스트 증명 확장을 설치하기 위해 낮은 심각도 권장 사항을 발행합니다. 이 확장을 통해 클라우드용 Defender는 VM의 부팅 무결성을 적극적으로 증명하고 모니터링할 수 있습니다. 부팅 무결성은 원격 증명을 통해 증명됩니다.
증명 상태 평가 또는 부팅 무결성 모니터링: VM에 보안 부팅 및 vTPM이 사용하도록 설정되어 있고 증명 확장이 설치된 경우 클라우드용 Defender는 VM이 정상적인 방식으로 부팅되었는지 원격으로 유효성 검사할 수 있습니다. 이 사례를 부팅 무결성 모니터링이라고 합니다. 클라우드용 Defender는 원격 증명 상태를 나타내는 평가를 발행합니다.
VM이 신뢰할 수 있는 시작으로 올바르게 설정되어 있으면 클라우드용 Defender가 VM 상태 문제를 검색하고 경고할 수 있습니다.
VM 증명 실패에 대한 경고: 클라우드용 Defender는 VM에서 주기적으로 증명을 수행합니다. 증명은 VM이 부팅된 후에도 발생합니다. 증명이 실패하면 중간 심각도 경고가 트리거됩니다. VM 증명은 다음과 같은 이유로 실패할 수 있습니다.
부팅 로그를 포함하는 증명된 정보가 신뢰할 수 있는 기준에서 벗어납니다. 모든 편차는 신뢰할 수 없는 모듈이 로드되었으며 OS가 손상되었을 수 있음을 나타낼 수 있습니다.
증명된 VM의 vTPM에서 가져온 증명 견적을 확인할 수 없습니다. 확인되지 않은 원본은 맬웨어가 존재하며 vTPM에 대한 트래픽을 가로챌 수 있음을 나타낼 수 있습니다.
참고 항목
vTPM이 사용하도록 설정되고 증명 확장이 설치된 VM에 대해 경고를 사용할 수 있습니다. 증명을 통과하려면 보안 부팅을 사용하도록 설정해야 합니다. 보안 부팅을 사용하지 않도록 설정하면 증명이 실패합니다. 보안 부팅을 사용하지 않도록 설정해야 하는 경우, 가양성을 방지하기 위해 이 경고를 억제할 수 있습니다.
신뢰할 수 없는 Linux 커널 모듈에 대한 경고: 보안 부팅을 사용하는 신뢰할 수 있는 시작의 경우, 커널 드라이버가 유효성 검사에 실패하고 로드가 금지되어도 VM이 부팅될 수 있습니다. 이 시나리오가 발생하는 경우 클라우드용 Defender는 낮은 심각도 경고를 발급합니다. 즉각적인 위협은 없지만 신뢰할 수 없는 드라이버가 로드되지 않았기 때문에 이러한 이벤트는 조사해야 합니다. 스스로에게 다음과 같이 질문하십시오.
- 어떤 커널 드라이버가 실패했나요? 이 드라이버에 익숙하고 로드될 것으로 예상하나요?
- 예상되는 드라이버 버전이 정확한가요? 드라이버 바이너리가 손상되지 않았나요? 타사 드라이버인 경우 공급업체에서 OS 준수 테스트를 통과하여 서명되었나요?
관련 콘텐츠
신뢰할 수 있는 시작 VM을 배포합니다.