부팅 무결성 모니터링 개요
신뢰할 수 있는 시작이 가상 머신에서 악의적인 루트킷 공격을 보다 잘 방지할 수 있도록 MAA(Microsoft Azure Attestation) 엔드포인트를 통한 게스트 증명을 사용하여 부팅 시퀀스 무결성을 모니터링합니다. 이 증명은 플랫폼 상태의 유효성을 제공하는 데 중요합니다. Azure 신뢰할 수 있는 Virtual Machines에 보안 부팅 및 vTPM을 사용하도록 설정하고 증명 확장을 설치한 경우 클라우드용 Microsoft Defender는 VM의 상태 및 부팅 무결성이 올바르게 설정되었는지 확인합니다. MDC 통합에 대한 자세한 내용은 클라우드용 Microsoft Defender와 신뢰할 수 있는 시작 통합을 참조하세요.
Important
이제 부팅 무결성 모니터링 - 게스트 증명 확장에 자동 확장 업그레이드를 사용할 수 있습니다. 자동 확장 업그레이드에 대해 자세히 알아봅니다.
필수 조건
활성 Azure 구독 + 신뢰할 수 있는 시작 가상 머신
무결성 모니터링 사용
Azure Portal에 로그인합니다.
리소스(Virtual Machines)를 선택합니다.
설정에서 구성을 선택합니다. 보안 유형 패널에서 무결성 모니터링을 선택합니다.
변경 내용을 저장합니다.
이제 가상 머신 개요 페이지에서 무결성 모니터링을 위한 보안 유형을 사용하도록 설정해야 합니다.
이렇게 하면 확장 + 애플리케이션 탭 내의 설정을 통해 참조할 수 있는 게스트 증명 확장이 설치됩니다.
게스트 증명 확장 설치 문제 해결 가이드
증상
고객이 네트워크 보안 그룹 또는 프록시를 설정할 때 Microsoft Azure Attestation 확장이 제대로 작동하지 않습니다. (Microsoft.Azure.Security.WindowsAttestation.GuestAttestation 프로비전 실패)와 유사한 오류가 발생했습니다.
해결 방법
Azure에서 NSG(네트워크 보안 그룹)는 Azure 리소스 간의 네트워크 트래픽을 필터링하는 데 사용됩니다. NSG에는 여러 유형의 Azure 리소스에서 인바운드 네트워크 트래픽 또는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙이 포함되어 있습니다. Microsoft Azure Attestation 엔드포인트의 경우 게스트 증명 확장과 통신할 수 있어야 합니다. 이 엔드포인트가 없으면 신뢰할 수 있는 시작은 게스트 증명에 액세스할 수 없으므로 클라우드용 Microsoft Defender에서 가상 머신의 부팅 시퀀스 무결성을 모니터링할 수 있습니다.
서비스 태그를 사용하여 네트워크 보안 그룹에서 Microsoft Azure Attestation 트래픽 차단을 해제합니다.
- 아웃바운드 트래픽을 허용하려는 가상 머신으로 이동합니다.
- 왼쪽 사이드바의 “네트워킹”에서 네트워킹 설정 탭을 선택합니다.
- 그런 다음 포트 규칙 만들기 및 아웃바운드 포트 규칙 추가를 선택합니다.
- Microsoft Azure Attestation을 허용하려면 대상을 서비스 태그로 지정합니다. 이렇게 하면 IP 주소 범위를 업데이트하고 Microsoft Azure Attestation에 대한 허용 규칙을 자동으로 설정할 수 있습니다. 대상 서비스 태그는 AzureAttestation이고 작업은 허용으로 설정됩니다.
방화벽은 여러 신뢰할 수 있는 시작 가상 머신이 포함된 가상 네트워크를 보호합니다. 애플리케이션 규칙 컬렉션을 사용하여 방화벽에서 Microsoft Azure Attestation 트래픽 차단을 해제합니다.
- 신뢰할 수 있는 시작 가상 머신 리소스에서 트래픽이 차단된 Azure Firewall로 이동합니다.
- 설정에서 규칙(클래식)을 선택하여 방화벽 뒤의 게스트 증명 차단 해제를 시작합니다.
- 네트워크 규칙 컬렉션을 선택하고 네트워크 규칙을 추가합니다.
- 사용자는 필요에 따라 이름, 우선 순위, 원본 유형, 대상 포트를 구성할 수 있습니다. 서비스 태그의 이름은 AzureAttestation이며 작업을 허용으로 설정해야 합니다.
애플리케이션 규칙 컬렉션을 사용하여 방화벽에서 Microsoft Azure Attestation 트래픽 차단을 해제합니다.
- 신뢰할 수 있는 시작 가상 머신 리소스에서 트래픽이 차단된 Azure Firewall로 이동합니다. 규칙 컬렉션에는 하나 이상의 규칙이 포함되어야 하며 대상 FQDN(정규화된 도메인 이름)으로 이동합니다.
- 애플리케이션 규칙 컬렉션을 선택하고 애플리케이션 규칙을 추가합니다.
- 애플리케이션 규칙의 숫자 우선 순위인 이름을 선택합니다. 규칙 컬렉션에 대한 작업이 허용으로 설정됩니다. 애플리케이션 처리 및 가치에 대해 자세히 알아보려면 여기를 참조하세요.
- 이름, 원본, 프로토콜은 모두 사용자가 구성할 수 있습니다. 단일 IP 주소의 원본 유형, 방화벽을 통해 여러 IP 주소를 허용하려면 IP 그룹을 선택합니다.
지역 공유 공급자
Azure Attestation은 사용 가능한 각 지역에 지역 공유 공급자를 제공합니다. 고객은 증명에 지역 공유 공급자를 사용하거나 사용자 지정 정책을 사용하여 자체 공급자를 만들 수 있습니다. 공유 공급자는 모든 Azure AD 사용자가 액세스할 수 있으며 이와 연결된 정책은 변경할 수 없습니다.
참고 항목
사용자는 원본 유형, 서비스, 대상 포트 범위, 프로토콜, 우선 순위, 이름을 구성할 수 있습니다.
다음 단계
신뢰할 수 있는 시작 및 신뢰할 수 있는 가상 머신을 배포하는 방법에 대해 자세히 알아봅니다.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기