Azure Site Recovery의 전송 계층 보안
TLS(전송 계층 보안)는 네트워크를 통해 전송될 때 데이터를 안전하게 유지하는 암호화 프로토콜입니다. Azure Site Recovery는 TLS를 사용하여 전송되는 데이터의 개인 정보를 보호합니다. 이제 Azure Site Recovery는 보안 향상을 위해 TLS 1.2 프로토콜을 사용합니다.
이전 버전의 Windows에서 TLS 사용
머신에서 이전 버전의 Windows를 실행 중인 경우 아래에서 자세히 설명한 대로 해당 업데이트를 설치하고 해당 KB 문서에 설명된 대로 레지스트리를 변경해야 합니다.
| 운영 체제 | KB 문서 |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
참고 항목
업데이트는 프로토콜에 필요한 구성 요소를 설치합니다. 설치 후 필요한 프로토콜을 활성화하려면 위의 KB 문서에서 설명한 대로 레지스트리 키를 업데이트해야 합니다.
Windows 레지스트리 확인
SChannel 프로토콜 구성
다음 레지스트리 키는 SChannel 구성 요소 수준에서 TLS 1.2 프로토콜을 사용하도록 설정했는지 확인합니다.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
참고 항목
기본적으로 위의 레지스트리 키는 Windows Server 2012 R2 이상 버전에서 설정된 값으로 설정됩니다. 이러한 버전의 Windows에서는 레지스트리 키가 없는 경우 만들 필요가 없습니다.
.NET Framework 구성
다음 레지스트리 키를 사용하여 강력한 암호화를 지원하는 .NET Framework를 구성합니다. 여기에서 .NET Framework 구성에 대해 자세히 알아봅니다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
자주 묻는 질문
왜 TLS 1.2를 사용해야 하나요?
TLS 1.2는 SSL 2.0, SSL 3.0, TLS 1.0 및 TLS 1.1 등 이전의 암호화 프로토콜에 비해 더욱 안전합니다. Azure Site Recovery 서비스는 TLS 1.2를 완전히 지원합니다.
사용되는 암호화 프로토콜을 결정하는 요소는 무엇인가요?
클라이언트와 서버에서 모두 지원되는 가장 높은 프로토콜 버전은 암호화된 대화를 설정하기 위해 협상합니다. TLS 핸드셰이크 프로토콜에 대한 자세한 내용은 TLS를 사용한 보안 세션 설정을 참조하세요.
TLS 1.2를 활성화하지 않은 경우 어떤 영향이 있나요?
프로토콜 다운그레이드 공격에 대한 보안 향상을 위해 Azure Site Recovery는 1.2 보다 오래된 TLS 버전을 비활성화하기 시작합니다. 이는 레거시 프로토콜 및 암호 그룹 연결을 허용하지 않도록 서비스 전반에 걸친 장기 이동의 일환입니다. Azure Site Recovery 서비스와 구성 요소는 TLS 1.2를 완전히 지원합니다. 하지만 필수 업데이트 또는 특정 사용자 지정된 구성이 없는 Windows 버전으로 인해 여전히 TLS 1.2 프로토콜이 제공하지 못할 수 있습니다. 이로 인해 다음 중 하나 이상을 포함한 오류가 발생할 수 있습니다.
- 원본에서 복제가 실패할 수 있습니다.
- 오류 10054가 표시되면서 Azure Site Recovery 구성 요소 연결에 실패합니다.(원격 호스트에 의해 기존 연결이 강제로 종료되었습니다.)
- Azure Site Recovery 관련된 서비스는 평소와 같이 중지되거나 시작되지 않습니다.