Azure Backup의 전송 계층 보안
TLS(전송 계층 보안)는 네트워크를 통해 전송될 때 데이터를 안전하게 유지하는 암호화 프로토콜입니다. Azure Backup은 전송 계층 보안을 사용하여 전송되는 백업 데이터의 개인 정보를 보호합니다. 이 문서에서는 이전 버전보다 향상된 보안을 제공하는 TLS 1.2 프로토콜을 사용하도록 설정하는 단계를 설명합니다.
이전 버전 Windows
컴퓨터에서 이전 버전의 Windows를 실행하는 경우 아래에 명시된 해당 업데이트를 설치하고 KB 문서에 설명된 레지스트리 변경 내용을 적용해야 합니다.
| 운영 체제 | KB 문서 |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
참고 항목
업데이트 시 필요한 프로토콜 구성 요소가 설치됩니다. 설치 후 필요한 프로토콜을 제대로 사용하려면 위의 KB 문서에 언급된 레지스트리 키를 변경해야 합니다.
Windows 레지스트리 확인
SChannel 프로토콜 구성
다음 레지스트리 키는 SChannel 구성 요소 수준에서 TLS 1.2 프로토콜을 사용하도록 설정했는지 확인합니다.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
참고 항목
표시된 값은 Windows Server 2012 R2 이상 버전에 기본적으로 설정되어 있습니다. 이러한 버전의 Windows에서는 레지스트리 키가 없는 경우 만들 필요가 없습니다.
.NET Framework 구성
다음 레지스트리 키는 강력한 암호화를 지원하도록 .NET Framework를 구성합니다. 여기에서 .NET Framework 구성에 대해 자세히 알아볼 수 있습니다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Azure TLS 인증서 변경
이제 Azure TLS/SSL 엔드포인트에는 새 루트 CA에 연결된 업데이트된 인증서가 포함됩니다. 다음 변경 내용에 업데이트된 루트 CA가 포함되어 있는지 확인합니다. 애플리케이션에 미칠 수 있는 영향에 대해 자세히 알아봅니다.
이전에는 Azure 서비스에서 사용하는 대부분의 TLS 인증서가 다음 루트 CA에 연결되었습니다.
| CA의 일반 이름 | 지문(SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
이제 Azure 서비스에서 사용하는 TLS 인증서는 다음 루트 CA 중 하나를 연결하는 데 도움이 됩니다.
| CA의 일반 이름 | 지문(SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
자주 묻는 질문
왜 TLS 1.2를 사용해야 하나요?
TLS 1.2는 SSL 2.0, SSL 3.0, TLS 1.0 및 TLS 1.1 등 이전의 암호화 프로토콜에 비해 더욱 안전합니다. Azure Backup 서비스는 이미 TLS 1.2를 완전히 지원합니다.
사용되는 암호화 프로토콜을 결정하는 요소는 무엇인가요?
클라이언트와 서버에서 모두 지원되는 가장 높은 프로토콜 버전은 암호화된 대화를 설정하기 위해 협상합니다. TLS 핸드셰이크 프로토콜에 대한 자세한 내용은 TLS를 사용한 보안 세션 설정을 참조하세요.
TLS 1.2를 사용하지 않을 경우의 어떤 영향이 있나요?
프로토콜 다운그레이드 공격에 대한 보안 향상을 위해 Azure Backup은 단계별 방식으로 1.2 보다 오래된 TLS 버전을 사용하지 않도록 설정하기 시작합니다. 이는 레거시 프로토콜 및 암호 그룹 연결을 허용하지 않도록 서비스 전반에 걸친 장기 이동의 일환입니다. Azure Backup 서비스와 구성 요소는 TLS 1.2을 완전히 지원합니다. 하지만 필수 업데이트 또는 특정 사용자 지정된 구성이 없는 Windows 버전으로 인해 여전히 TLS 1.2 프로토콜이 제공하지 못할 수 있습니다. 이로 인해 다음 중 하나 이상을 포함한 오류가 발생할 수 있습니다.
- 백업 및 복원 작업에 실패할 수 있습니다.
- 오류 10054가 표시되면서 백업 구성 요소 연결에 실패합니다(기존 연결이 원격 호스트에 의해 강제로 끊겼습니다).
- Azure Backup 관련된 서비스는 평소와 같이 중지되거나 시작되지 않습니다.