부팅 무결성 모니터링 개요

신뢰할 수 있는 시작이 가상 머신에서 악의적인 루트킷 공격을 보다 잘 방지할 수 있도록 MAA(Microsoft Azure Attestation) 엔드포인트를 통한 게스트 증명을 사용하여 부팅 시퀀스 무결성을 모니터링합니다. 이 증명은 플랫폼 상태의 유효성을 제공하는 데 중요합니다. Azure 신뢰할 수 있는 Virtual Machines에 보안 부팅 및 vTPM을 사용하도록 설정하고 증명 확장을 설치한 경우 클라우드용 Microsoft Defender는 VM의 상태 및 부팅 무결성이 올바르게 설정되었는지 확인합니다. MDC 통합에 대한 자세한 내용은 클라우드용 Microsoft Defender와 신뢰할 수 있는 시작 통합을 참조하세요.

Important

이제 부팅 무결성 모니터링 - 게스트 증명 확장에 자동 확장 업그레이드를 사용할 수 있습니다. 자동 확장 업그레이드에 대해 자세히 알아봅니다.

필수 조건

활성 Azure 구독 + 신뢰할 수 있는 시작 가상 머신

무결성 모니터링 사용

Azure Portal

1. Azure Portal에 로그인합니다.

2. 리소스(Virtual Machines)를 선택합니다.

3. 설정에서 구성을 선택합니다. 보안 유형 패널에서 무결성 모니터링을 선택합니다.

   

4. 변경 내용을 저장합니다.

이제 가상 머신 개요 페이지에서 무결성 모니터링을 위한 보안 유형을 사용하도록 설정해야 합니다.

이렇게 하면 확장 + 애플리케이션 탭 내의 설정을 통해 참조할 수 있는 게스트 증명 확장이 설치됩니다.

템플릿

빠른 시작 템플릿을 사용하여 신뢰할 수 있는 시작 VM에 대한 게스트 증명 확장을 배포할 수 있습니다.

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. 신뢰할 수 있는 시작 가상 머신의 초기 배포를 통해 보안 부팅 + vTPM 기능이 있는 신뢰할 수 있는 시작을 사용하여 가상 머신을 만듭니다. 게스트 증명 확장을 배포하려면 (--enable_integrity_monitoring)을 사용합니다. 가상 머신의 구성은 가상 머신 소유자(az vm create)가 사용자 지정할 수 있습니다.
2. 기존 VM의 경우 무결성 모니터링이 켜지도록(--enable_integrity_monitoring) 업데이트하여 부팅 무결성 모니터링 설정을 사용할 수 있습니다.

참고 항목

게스트 증명 확장을 명시적으로 구성해야 합니다.

PowerShell

보안 부팅 및 vTPM이 켜져 있으면 부팅 무결성이 켜집니다.

1. 신뢰할 수 있는 시작 가상 머신의 초기 배포를 통해 보안 부팅 + vTPM 기능이 있는 신뢰할 수 있는 시작을 사용하여 가상 머신을 만듭니다. 가상 머신 구성은 가상 머신 소유자가 사용자 지정할 수 있습니다.
2. 기존 VM의 경우 SecureBoot 및 vTPM이 모두 켜지도록 업데이트하여 부팅 무결성 모니터링 설정을 사용하도록 설정할 수 있습니다.

게스트 증명 확장을 통해 부팅 무결성 모니터링을 포함하도록 가상 머신을 만들거나 업데이트하는 방법에 대한 자세한 내용은 신뢰할 수 있는 시작을 사용하도록 설정된 VM 배포(PowerShell)를 참조하세요.

게스트 증명 확장 설치 문제 해결 가이드

증상

고객이 네트워크 보안 그룹 또는 프록시를 설정할 때 Microsoft Azure Attestation 확장이 제대로 작동하지 않습니다. (Microsoft.Azure.Security.WindowsAttestation.GuestAttestation 프로비전 실패)와 유사한 오류가 발생했습니다.

해결 방법

Azure에서 NSG(네트워크 보안 그룹)는 Azure 리소스 간의 네트워크 트래픽을 필터링하는 데 사용됩니다. NSG에는 여러 유형의 Azure 리소스에서 인바운드 네트워크 트래픽 또는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙이 포함되어 있습니다. Microsoft Azure Attestation 엔드포인트의 경우 게스트 증명 확장과 통신할 수 있어야 합니다. 이 엔드포인트가 없으면 신뢰할 수 있는 시작은 게스트 증명에 액세스할 수 없으므로 클라우드용 Microsoft Defender에서 가상 머신의 부팅 시퀀스 무결성을 모니터링할 수 있습니다.

서비스 태그를 사용하여 네트워크 보안 그룹에서 Microsoft Azure Attestation 트래픽 차단을 해제합니다.

1. 아웃바운드 트래픽을 허용하려는 가상 머신으로 이동합니다.
2. 왼쪽 사이드바의 “네트워킹”에서 네트워킹 설정 탭을 선택합니다.
3. 그런 다음 포트 규칙 만들기 및 아웃바운드 포트 규칙 추가를 선택합니다.
   
4. Microsoft Azure Attestation을 허용하려면 대상을 서비스 태그로 지정합니다. 이렇게 하면 IP 주소 범위를 업데이트하고 Microsoft Azure Attestation에 대한 허용 규칙을 자동으로 설정할 수 있습니다. 대상 서비스 태그는 AzureAttestation이고 작업은 허용으로 설정됩니다.

방화벽은 여러 신뢰할 수 있는 시작 가상 머신이 포함된 가상 네트워크를 보호합니다. 애플리케이션 규칙 컬렉션을 사용하여 방화벽에서 Microsoft Azure Attestation 트래픽 차단을 해제합니다.

1. 신뢰할 수 있는 시작 가상 머신 리소스에서 트래픽이 차단된 Azure Firewall로 이동합니다.
2. 설정에서 규칙(클래식)을 선택하여 방화벽 뒤의 게스트 증명 차단 해제를 시작합니다.
3. 네트워크 규칙 컬렉션을 선택하고 네트워크 규칙을 추가합니다.
4. 사용자는 필요에 따라 이름, 우선 순위, 원본 유형, 대상 포트를 구성할 수 있습니다. 서비스 태그의 이름은 AzureAttestation이며 작업을 허용으로 설정해야 합니다.

애플리케이션 규칙 컬렉션을 사용하여 방화벽에서 Microsoft Azure Attestation 트래픽 차단을 해제합니다.

1. 신뢰할 수 있는 시작 가상 머신 리소스에서 트래픽이 차단된 Azure Firewall로 이동합니다. 규칙 컬렉션에는 하나 이상의 규칙이 포함되어야 하며 대상 FQDN(정규화된 도메인 이름)으로 이동합니다.
2. 애플리케이션 규칙 컬렉션을 선택하고 애플리케이션 규칙을 추가합니다.
3. 애플리케이션 규칙의 숫자 우선 순위인 이름을 선택합니다. 규칙 컬렉션에 대한 작업이 허용으로 설정됩니다. 애플리케이션 처리 및 가치에 대해 자세히 알아보려면 여기를 참조하세요.
4. 이름, 원본, 프로토콜은 모두 사용자가 구성할 수 있습니다. 단일 IP 주소의 원본 유형, 방화벽을 통해 여러 IP 주소를 허용하려면 IP 그룹을 선택합니다.

지역 공유 공급자

Azure Attestation은 사용 가능한 각 지역에 지역 공유 공급자를 제공합니다. 고객은 증명에 지역 공유 공급자를 사용하거나 사용자 지정 정책을 사용하여 자체 공급자를 만들 수 있습니다. 공유 공급자는 모든 Azure AD 사용자가 액세스할 수 있으며 이와 연결된 정책은 변경할 수 없습니다.

참고 항목

사용자는 원본 유형, 서비스, 대상 포트 범위, 프로토콜, 우선 순위, 이름을 구성할 수 있습니다.

다음 단계

신뢰할 수 있는 시작 및 신뢰할 수 있는 가상 머신을 배포하는 방법에 대해 자세히 알아봅니다.