적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합.
신뢰할 수 있는 시작은 2세대 VM(가상 머신)의 보안을 개선하는 방법입니다. 신뢰할 수 있는 시작은 vTPM(가상 신뢰할 수 있는 플랫폼 모듈) 및 보안 부팅과 같은 인프라 기술을 결합하여 고급 및 영구 공격 기술로부터 보호합니다.
필수 조건
아직 클라우드용 Microsoft Defender 구독을 온보딩하는 것이 좋습니다. 클라우드용 Defender 다양한 Azure 및 하이브리드 리소스에 대한 유용한 인사이트를 제공하는 무료 계층이 있습니다. 클라우드용 Defender 없는 경우 신뢰할 수 있는 시작 VM 사용자는 VM의 부팅 무결성을 모니터링할 수 없습니다.
구독에 Azure 정책 이니셔티브를 할당합니다. 이러한 정책 이니셔티브는 구독당 한 번만 할당하면 됩니다. 정책은 지원되는 모든 VM에 필요한 모든 확장을 자동으로 설치하면서 신뢰할 수 있는 시작 VM을 배포하고 감사하는 데 도움이 됩니다.
신뢰할 수 있는 시작 지원 VM에서 게스트 증명을 사용하도록 필수 구성 요소를 구성합니다.
VM에 Azure Monitor 및 Azure Security 에이전트를 자동으로 설치하도록 컴퓨터를 구성합니다.
네트워크 보안 그룹 아웃바운드 규칙의 서비스 태그 AzureAttestation 가 Azure Attestation에 대한 트래픽을 허용하도록 허용합니다. 자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.
방화벽 정책에서 .에 대한 액세스를 허용하는지 확인합니다 *.attest.azure.net.
참고 항목
Linux 이미지를 사용 중이며 VM에 Linux 배포판 공급업체에서 서명하지 않았거나 서명되지 않은 커널 드라이버가 있을 것으로 예상되는 경우 보안 부팅을 해제하는 것이 좋습니다. Azure Portal의 신뢰할 수 있는 실행 Virtual Machines가 선택된 매개 변수에 대한 Security type 가상 머신 만들기 페이지에서 보안 기능 구성을 선택하고 보안 부팅 사용 확인란의 선택을 취소합니다. Azure CLI, PowerShell 또는 SDK에서 보안 부팅 매개 변수를 .로 false설정합니다.
신뢰할 수 있는 시작 VM 배포
신뢰할 수 있는 시작을 사용하도록 설정된 VM을 만듭니다. 다음 옵션 중 하나를 선택합니다.
리소스 그룹에서 새로 만들기를 선택합니다. 리소스 그룹의 이름을 입력하거나 드롭다운 목록에서 기존 리소스 그룹을 선택합니다.
인스턴스 세부 정보에서 VM 이름의 이름을 입력하고 신뢰할 수 있는 시작을 지원하는 지역을 선택합니다.
보안 유형의 경우 신뢰할 수 있는 시작 가상 머신을 선택합니다. 보안 부팅, vTPM 및 무결성 모니터링 옵션이 표시되면 배포에 적합한 옵션을 선택합니다. 자세한 내용은 신뢰할 수 있는 시작 사용 보안 기능을 참조 하세요.
이미지 아래에서 신뢰할 수 있는 시작과 호환되는 권장 Gen 2 이미지에서 이미지를 선택합니다. 목록은 신뢰할 수 있는 시작을 참조하세요.
팁
드롭다운 목록에 원하는 Gen2 버전의 이미지가 표시되지 않으면 모든 이미지 보기를 선택합니다. 그런 다음 보안 유형 필터를 신뢰할 수 있는 실행으로 변경합니다.
신뢰할 수 있는 시작을 지원하는 VM 크기를 선택합니다. 자세한 내용은 지원되는 크기 목록을 참조하세요.
관리자 계정 정보를 입력한 다음, 인바운드 포트 규칙을 입력합니다.
페이지 아래쪽에서 검토 + 만들기를 선택합니다.
가상 머신 만들기 페이지에서 배포하려는 VM에 대한 정보를 볼 수 있습니다. 유효성 검사가 통과된 것으로 표시되면 만들기를 선택합니다.
VM 배포에는 몇 분 정도가 소요됩니다.
최신 버전의 Azure CLI를 실행하고 있는지 확인합니다.
az login를 사용하여 Azure에 로그인합니다.
az login
신뢰할 수 있는 시작을 사용하여 VM을 만듭니다.
az group create -n myresourceGroup -l eastus
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Canonical:UbuntuServer:18_04-lts-gen2:latest \
--admin-username azureuser \
--generate-ssh-keys \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true
기존 VM의 경우 보안 부팅 및 vTPM 설정을 사용하거나 사용하지 않도록 설정할 수 있습니다. 보안 부팅 및 vTPM 설정으로 VM을 업데이트하면 자동 재부팅이 트리거됩니다.
az vm update \
--resource-group myResourceGroup \
--name myVM \
--enable-secure-boot true \
--enable-vtpm true
게스트 증명 확장을 통해 부팅 무결성 모니터링을 설치하는 방법에 대한 자세한 내용은 부팅 무결성을 참조하세요.
신뢰할 수 있는 시작을 사용하여 VM을 프로비전하려면 먼저 cmdlet을 TrustedLaunch 사용하여 매개 변수를 사용하도록 Set-AzVmSecurityProfile 설정해야 합니다. 그런 다음 cmdlet을 Set-AzVmUefi 사용하여 vTPM 및 보안 부팅 구성을 설정할 수 있습니다. 빠른 시작으로 다음 코드 조각을 사용합니다. 이 예제의 값을 사용자 고유의 값으로 바꿔야 합니다.
원본의 경우 VHD(Storage Blob) 또는 관리형 이미지 또는 다른 VM 이미지 버전을 선택합니다.
VHD(Storage Blob)를 선택한 경우 VM 게스트 상태 없이 OS 디스크 VHD를 입력합니다. Gen2 VHD를 사용해야 합니다.
관리되는 이미지를 선택한 경우 Gen2 VM의 기존 관리형 이미지를 선택합니다.
VM 이미지 버전을 선택한 경우 Gen2 VM의 기존 갤러리 이미지 버전을 선택합니다.
대상 Azure 컴퓨팅 갤러리의 경우 이미지를 공유할 갤러리를 선택하거나 만듭니다.
운영 체제 상태의 경우 사용 사례에 따라 일반화 또는 특수화를 선택합니다. 관리되는 이미지를 원본으로 사용하는 경우 항상 일반화를 선택합니다. VHD(스토리지 Blob)를 사용하고 일반화를 선택하려는 경우 계속하기 전에 Linux VHD를 일반화 하거나 Windows VHD를 일반화하는 단계를 수행합니다. 기존 VM 이미지 버전을 사용하는 경우 원본 VM 이미지 정의에 사용되는 항목에 따라 일반화 또는 특수화를 선택합니다.
대상 VM 이미지 정의에서 새로 만들기를 선택합니다.
VM 이미지 정의 만들기 창에서 정의의 이름을 입력합니다. 보안 유형이 Trustedlaunch 지원으로 설정되어 있는지 확인합니다. 게시자, 제품 및 SKU 정보를 입력합니다. 그런 다음 확인을 선택합니다.
필요한 경우 복제 탭을 사용하여 이미지 복제에 대한 복제본 수와 대상 지역을 입력합니다.
필요한 경우 암호화 탭에서 SSE 암호화 관련 정보를 입력합니다.
검토 + 생성를 선택합니다.
구성의 유효성을 성공적으로 검사한 후 만들기를 선택하여 이미지 만들기를 완료합니다.
이미지 버전을 성공적으로 만든 후 VM 만들기를 선택합니다.
가상 머신 만들기 페이지의 리소스 그룹에서 새로 만들기를 선택합니다. 리소스 그룹의 이름을 입력하거나 드롭다운 목록에서 기존 리소스 그룹을 선택합니다.
인스턴스 세부 정보에서 VM 이름의 이름을 입력하고 신뢰할 수 있는 시작을 지원하는 지역을 선택합니다.
보안 유형의 경우 신뢰할 수 있는 시작 가상 머신을 선택합니다.보안 부팅 및 vTPM 확인란은 기본적으로 사용하도록 설정됩니다.
VM에서 Azure Compute 갤러리 이미지를 만들려면 기존 신뢰할 수 있는 시작 VM을 열고 캡처를 선택합니다.
이미지 만들기 페이지에서 이미지를 VM 이미지 버전으로 갤러리에 공유하도록 허용합니다. 관리되는 이미지 만들기는 신뢰할 수 있는 시작 VM에서 지원되지 않습니다.
새 대상 Azure Compute Gallery를 만들거나 기존 갤러리를 선택합니다.
운영 체제 상태를 일반화 또는 특수화로 선택합니다. 일반화된 이미지를 만들려면 이 옵션을 선택하기 전에 VM을 일반화하여 컴퓨터 관련 정보를 제거해야 합니다. 신뢰할 수 있는 시작 Windows VM에서 Bitlocker 기반 암호화를 사용하는 경우 동일한 항목을 일반화하지 못할 수 있습니다.
이름, 게시자, 제품 및 SKU 세부 정보를 제공하여 새 이미지 정의를 만듭니다. 이미지 정의의 보안 유형은 이미 신뢰할 수 있는 시작으로 설정되어야 합니다.
이미지 버전에 대한 버전 번호를 제공합니다.
필요한 경우 복제 옵션을 수정합니다.
이미지 만들기 페이지의 아래쪽에서 검토 + 만들기를 선택합니다. 유효성 검사가 통과된 것으로 표시되면 만들기를 선택합니다.
이미지 버전을 만든 후 이미지 버전으로 직접 이동합니다. 또는 이미지 정의를 통해 필요한 이미지 버전으로 이동하면 됩니다.
VM 이미지 버전 페이지에서 + VM 만들기를 선택하여 가상 머신 만들기 페이지로 이동합니다.
가상 머신 만들기 페이지의 리소스 그룹에서 새로 만들기를 선택합니다. 리소스 그룹의 이름을 입력하거나 드롭다운 목록에서 기존 리소스 그룹을 선택합니다.
인스턴스 세부 정보에서 VM 이름의 이름을 입력하고 신뢰할 수 있는 시작을 지원하는 지역을 선택합니다.
이미지 및 보안 유형은 선택한 이미지 버전에 따라 이미 채워져 있습니다. 보안 부팅 및 vTPM 확인란은 기본적으로 사용하도록 설정됩니다.
관리자 계정 정보를 입력한 다음, 인바운드 포트 규칙을 입력합니다.
페이지 아래쪽에서 검토 + 만들기를 선택합니다.
유효성 검사 페이지에서 VM의 세부 정보를 검토합니다.
유효성 검사가 성공하면 만들기 를 선택하여 VM 만들기를 완료합니다.
관리 디스크 또는 관리 디스크 스냅샷을 신뢰할 수 있는 시작 VM 대신 이미지 버전의 원본으로 사용하려면 다음 단계를 수행합니다.
사용자가 신뢰할 수 있는 시작을 채택할 수 있도록 리소스 소유자가 신뢰할 수 있는 시작을 채택하는 데 도움이 되는 Azure 정책을 사용할 수 있습니다. 주요 목표는 신뢰할 수 있는 시작이 가능한 1세대 및 2세대 VM을 변환하는 것입니다.
가상 머신에 신뢰할 수 있는 시작이 사용하도록 설정된 단일 정책 검사에서 VM이 현재 신뢰할 수 있는 시작 보안 구성으로 사용하도록 설정되어 있는지 확인해야 합니다. 신뢰할 수 있는 시작 정책에 지원되는 디스크 및 OS는 이전에 만든 VM에 신뢰할 수 있는 시작 VM 을 배포할 수 있는 2세대 OS 및 VM 크기 가 있는지 확인합니다.
이 두 정책은 신뢰할 수 있는 시작 정책 이니셔티브를 만들기 위해 함께 모입니다. 이 이니셔티브를 사용하면 여러 관련 정책 정의를 그룹화하여 신뢰할 수 있는 시작 구성을 포함하도록 할당 및 관리 리소스를 간소화할 수 있습니다.
자세한 내용을 알아보고 배포를 시작하려면 신뢰할 수 있는 시작 기본 제공 정책을 참조하세요.
설정 확인 또는 업데이트
신뢰할 수 있는 시작을 사용하도록 설정된 VM의 경우 Azure Portal에서 VM에 대한 개요 페이지로 이동하여 신뢰할 수 있는 시작 구성을 볼 수 있습니다. 속성 탭에는 신뢰할 수 있는 시작 기능의 상태가 표시됩니다.
신뢰할 수 있는 시작 구성을 변경하려면 왼쪽 메뉴의 설정에서 구성을 선택합니다. 보안 유형 섹션에서 보안 부팅, vTPM 및 무결성 모니터링을 사용하거나 사용하지 않도록 설정할 수 있습니다. 완료되면 페이지 맨 위에 있는 저장을 선택합니다.
VM이 실행 중인 경우 VM이 다시 시작된다는 메시지가 표시됩니다. 예를 선택한 다음, 변경 내용이 적용될 때까지 VM이 다시 시작될 때까지 기다립니다.