다음을 통해 공유


Azure Backup의 전송 계층 보안

TLS(전송 계층 보안)는 네트워크를 통해 전송될 때 데이터를 안전하게 유지하는 암호화 프로토콜입니다. Azure Backup은 전송 계층 보안을 사용하여 전송되는 백업 데이터의 개인 정보를 보호합니다. 이 문서에서는 이전 버전보다 향상된 보안을 제공하는 TLS 1.2 프로토콜을 사용하도록 설정하는 단계를 설명합니다.

이전 버전 Windows

컴퓨터에서 이전 버전의 Windows를 실행하는 경우 아래에 명시된 해당 업데이트를 설치하고 KB 문서에 설명된 레지스트리 변경 내용을 적용해야 합니다.

운영 체제 KB 문서
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

참고 항목

업데이트 시 필요한 프로토콜 구성 요소가 설치됩니다. 설치 후 필요한 프로토콜을 제대로 사용하려면 위의 KB 문서에 언급된 레지스트리 키를 변경해야 합니다.

Windows 레지스트리 확인

SChannel 프로토콜 구성

다음 레지스트리 키는 SChannel 구성 요소 수준에서 TLS 1.2 프로토콜을 사용하도록 설정했는지 확인합니다.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

참고 항목

표시된 값은 Windows Server 2012 R2 이상 버전에 기본적으로 설정되어 있습니다. 이러한 버전의 Windows에서는 레지스트리 키가 없는 경우 만들 필요가 없습니다.

.NET Framework 구성

다음 레지스트리 키는 강력한 암호화를 지원하도록 .NET Framework를 구성합니다. 여기에서 .NET Framework 구성에 대해 자세히 알아볼 수 있습니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Azure TLS 인증서 변경

이제 Azure TLS/SSL 엔드포인트에는 새 루트 CA에 연결된 업데이트된 인증서가 포함됩니다. 다음 변경 내용에 업데이트된 루트 CA가 포함되어 있는지 확인합니다. 애플리케이션에 미칠 수 있는 영향에 대해 자세히 알아봅니다.

이전에는 Azure 서비스에서 사용하는 대부분의 TLS 인증서가 다음 루트 CA에 연결되었습니다.

CA의 일반 이름 지문(SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

이제 Azure 서비스에서 사용하는 TLS 인증서는 다음 루트 CA 중 하나를 연결하는 데 도움이 됩니다.

CA의 일반 이름 지문(SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DgiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

자주 묻는 질문

왜 TLS 1.2를 사용해야 하나요?

TLS 1.2는 SSL 2.0, SSL 3.0, TLS 1.0 및 TLS 1.1 등 이전의 암호화 프로토콜에 비해 더욱 안전합니다. Azure Backup 서비스는 이미 TLS 1.2를 완전히 지원합니다.

사용되는 암호화 프로토콜을 결정하는 요소는 무엇인가요?

클라이언트와 서버에서 모두 지원되는 가장 높은 프로토콜 버전은 암호화된 대화를 설정하기 위해 협상합니다. TLS 핸드셰이크 프로토콜에 대한 자세한 내용은 TLS를 사용한 보안 세션 설정을 참조하세요.

TLS 1.2를 사용하지 않을 경우의 어떤 영향이 있나요?

프로토콜 다운그레이드 공격에 대한 보안 향상을 위해 Azure Backup은 단계별 방식으로 1.2 보다 오래된 TLS 버전을 사용하지 않도록 설정하기 시작합니다. 이는 레거시 프로토콜 및 암호 그룹 연결을 허용하지 않도록 서비스 전반에 걸친 장기 이동의 일환입니다. Azure Backup 서비스와 구성 요소는 TLS 1.2을 완전히 지원합니다. 하지만 필수 업데이트 또는 특정 사용자 지정된 구성이 없는 Windows 버전으로 인해 여전히 TLS 1.2 프로토콜이 제공하지 못할 수 있습니다. 이로 인해 다음 중 하나 이상을 포함한 오류가 발생할 수 있습니다.

  • 백업 및 복원 작업에 실패할 수 있습니다.
  • 오류 10054가 표시되면서 백업 구성 요소 연결에 실패합니다(기존 연결이 원격 호스트에 의해 강제로 끊겼습니다).
  • Azure Backup 관련된 서비스는 평소와 같이 중지되거나 시작되지 않습니다.

추가 리소스