관리 디스크 암호화 옵션 개요

  • 아티클

ADE(Azure Disk Encryption), SSE(서버 쪽 암호화) 및 호스트의 암호화를 포함하여 관리 디스크에 사용할 수 있는 여러 유형의 암호화가 있습니다.

  • Azure Disk Storage 서버 쪽 암호화(미사용 암호화 또는 Azure Storage 암호화라고도 함)는 항상 사용 가능하며 스토리지 클러스터에 유지할 때 Azure 관리 디스크(OS 및 데이터 디스크)에 저장된 데이터를 자동으로 암호화합니다. DES(디스크 암호화 집합)로 구성된 경우 고객 관리형 키도 지원합니다. 임시 디스크 또는 디스크 캐시를 암호화하지 않습니다. 자세한 내용은 Azure Disk Storage의 서버 쪽 암호화를 참조하세요.

  • 호스트에서 암호화는 Azure Disk Storage 서버 쪽 암호화를 향상시켜 모든 임시 디스크와 디스크 캐시가 미사용 시 암호화되고 스토리지 클러스터로 암호화되도록 하는 가상 머신 옵션입니다. 자세한 내용은 호스트에서 암호화 - VM 데이터의 엔드투엔드 암호화를 참조하세요.

  • Azure Disk Encryption을 사용하여 고객 조직의 보안 및 규정 준수 약정에 맞게 데이터를 안전하게 보호할 수 있습니다. ADE는 Linux의 DM-Crypt 기능 또는 Windows의 BitLocker 기능을 사용하여 VM 내부에 있는 Azure VM(가상 머신)의 데이터 디스크와 OS를 암호화합니다. ADE는 Azure Key Vault와 통합되어 KEK(키 암호화 키)로 암호화하는 옵션을 사용하여 디스크 암호화 키 및 비밀을 제어하고 관리하는 데 도움이 됩니다. 자세한 내용은 Linux VM용 Azure Disk Encryption 또는 Windows VM용 Azure Disk Encryption을 참조하세요.

  • 기밀 디스크 암호화는 디스크 암호화 키를 가상 머신의 TPM에 바인딩하고, 보호되는 디스크 콘텐츠를 VM에서만 액세스할 수 있도록 합니다. TPM 및 VM 게스트 상태는 하이퍼바이저 및 호스트 운영 체제를 우회하는 보안 프로토콜에서 릴리스된 키를 사용하여 증명된 코드에서 항상 암호화됩니다. 현재 OS 디스크에만 사용할 수 있습니다. 호스트의 암호화는 기밀 디스크 암호화 외에도 기밀 VM의 다른 디스크에 사용할 수 있습니다. 자세한 내용은 DCasv5 및 ECasv5 시리즈 기밀 VM을 참조하세요.

암호화는 보안에 대한 계층화된 접근 방식의 일부이며 가상 머신 및 해당 디스크를 보호하기 위해 다른 권장 사항과 함께 사용해야 합니다. 자세한 내용은 Azure의 가상 머신에 대한 보안 권장 사항관리 디스크에 대한 가져오기/내보내기 액세스 제한을 참조하세요.

비교

다음은 Disk Storage SSE, ADE, 호스트의 암호화 및 기밀 디스크 암호화를 비교한 것입니다.

  Azure Disk Storage 서버 쪽 암호화 호스트에서 암호화 Azure 디스크 암호화 기밀 디스크 암호화(OS 디스크에만 해당)
미사용 데이터 암호화(OS 및 데이터 디스크)
임시 디스크 암호화 ✅ 플랫폼 관리형 키에서만 지원됨
캐시 암호화
컴퓨팅과 스토리지 간에 암호화된 데이터 흐름
키에 대한 고객 제어 ✅ DES로 구성된 경우 ✅ DES로 구성된 경우 ✅ KEK로 구성된 경우 ✅ DES로 구성된 경우
HSM 지원 Azure Key Vault 프리미엄 및 관리되는 HSM Azure Key Vault 프리미엄 및 관리되는 HSM Azure Key Vault 프리미엄 Azure Key Vault 프리미엄 및 관리되는 HSM
VM의 CPU를 사용하지 않음
사용자 지정 이미지 작업 ❌ 사용자 지정 Linux 이미지에 대해 작동하지 않음
향상된 키 보호
클라우드용 Microsoft Defender 디스크 암호화 상태* 비정상 정상 정상 해당 없음

Important

기밀 디스크 암호화의 경우 클라우드용 Microsoft Defender에는 현재 적용할 수 있는 권장 사항이 없습니다.

* 클라우드용 Microsoft Defender에는 다음과 같은 디스크 암호화 권장 사항이 있습니다.

다음 단계