Azure Stack HCI 버전 23H2에서 BitLocker 암호화 관리

  • 아티클

적용 대상: Azure Stack HCI, 버전 23H2

이 문서에서는 Azure Stack HCI 시스템에서 BitLocker 암호화를 보고 사용하도록 설정하고 BitLocker 복구 키를 검색하는 방법을 설명합니다.

사전 요구 사항

시작하기 전에 Azure Stack HCI, Azure에 배포, 등록 및 연결된 버전 23H2 시스템에 액세스할 수 있는지 확인합니다.

Azure Portal 통해 BitLocker 설정 보기

Azure Portal BitLocker 설정을 보려면 MCSB 이니셔티브를 적용했는지 확인합니다. 자세한 내용은 Microsoft Cloud Security Benchmark 이니셔티브 적용을 참조하세요.

BitLocker는 OS 볼륨에 대한 암호화 및 데이터 볼륨 암호화의 두 가지 유형의 보호를 제공합니다. Azure Portal BitLocker 설정만 볼 수 있습니다. 설정을 관리하려면 PowerShell을 사용하여 BitLocker 설정 관리를 참조하세요.

Azure Portal 볼륨 암호화에 대한 데이터 보호 페이지를 보여 주는 스크린샷

PowerShell을 사용하여 BitLocker 설정 관리

Azure Stack HCI 클러스터에서 볼륨 암호화 설정을 보고, 사용하도록 설정하고, 사용하지 않도록 설정할 수 있습니다.

PowerShell cmdlet 속성

BitLocker 모듈을 사용하여 볼륨 암호화를 위한 cmdlet 속성은 AzureStackBitLockerAgent입니다.

  •   Get-ASBitLocker -<Local | PerNode>

    여기서 Local cmdletPerNode이 실행되는 scope 정의합니다.

    • 로컬 - 일반 원격 PowerShell 세션에서 실행할 수 있으며 로컬 노드에 대한 BitLocker 볼륨 세부 정보를 제공합니다.
    • PerNode - CredSSP(원격 PowerShell을 사용하는 경우) 또는 RDP(원격 데스크톱 세션)가 필요합니다. 노드당 BitLocker 볼륨 세부 정보를 제공합니다.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

BitLocker를 사용하여 볼륨 암호화에 대한 암호화 설정 보기

암호화 설정을 보려면 다음 단계를 수행합니다.

  1. Azure Stack HCI 노드에 연결합니다.

  2. 로컬 관리자 자격 증명을 사용하여 다음 PowerShell cmdlet을 실행합니다.

    Get-ASBitLocker

BitLocker를 사용하여 볼륨 암호화 사용, 사용 안 함

BitLocker를 사용하여 볼륨 암호화를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Azure Stack HCI 노드에 연결합니다.

  2. 로컬 관리자 자격 증명을 사용하여 다음 PowerShell cmdlet을 실행합니다.

    중요

    • 볼륨 유형 BootVolume에서 BitLocker를 사용하여 볼륨 암호화를 사용하도록 설정하려면 TPM 2.0이 필요합니다.

    • 볼륨 유형 ClusterSharedVolume (CSV)에서 BitLocker를 사용하여 볼륨 암호화를 사용하도록 설정하는 동안 볼륨이 리디렉션 모드로 전환되고 모든 워크로드 VM이 잠시 일시 중지됩니다. 이 작업은 중단됩니다. 그에 따라 계획합니다. 자세한 내용은 Windows Server 2012 BitLocker 암호화 클러스터 디스크를 구성하는 방법을 참조하세요.

    Enable-ASBitLocker

BitLocker를 사용하여 볼륨 암호화를 사용하지 않도록 설정하려면 다음 단계를 수행합니다.

  1. Azure Stack HCI 노드에 연결합니다.

  2. 로컬 관리자 자격 증명을 사용하여 다음 PowerShell cmdlet을 실행합니다.

    Disable-ASBitLocker

BitLocker 복구 키 가져오기

참고

BitLocker 키는 로컬 Active Directory에서 언제든지 검색할 수 있습니다. 클러스터가 다운되고 키가 없는 경우 클러스터에서 암호화된 데이터에 액세스할 수 없을 수 있습니다. BitLocker 복구 키를 저장하려면 Azure Key Vault 같은 안전한 외부 위치에 내보내고 저장하는 것이 좋습니다.

클러스터에 대한 복구 키를 내보내려면 다음 단계를 수행합니다.

  1. 로컬 관리자 권한으로 Azure Stack HCI 클러스터에 연결합니다. 로컬 콘솔 세션 또는 RDP(로컬 원격 데스크톱 프로토콜) 세션 또는 CredSSP 인증을 사용하여 원격 PowerShell 세션에서 다음 명령을 실행합니다.

  2. 복구 키 정보를 얻으려면 PowerShell에서 다음 명령을 실행합니다.

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    샘플 출력은 다음과 같습니다.

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

다음 단계