관리 디스크 암호화 옵션 개요
ADE(Azure Disk Encryption), SSE(서버 쪽 암호화) 및 HBE(호스트에서 암호화)를 포함하여 관리 디스크에 사용할 수 있는 여러 유형의 암호화가 있습니다.
Azure Disk Storage 서버 쪽 암호화(미사용 암호화 또는 Azure Storage 암호화라고도 함)는 항상 사용 가능하며 스토리지 클러스터에 유지할 때 Azure 관리 디스크(OS 및 데이터 디스크)에 저장된 데이터를 자동으로 암호화합니다. DES(디스크 암호화 집합)로 구성된 경우 고객 관리형 키도 지원합니다. 임시 디스크 또는 디스크 캐시를 암호화하지 않습니다. 자세한 내용은 Azure Disk Storage의 서버 쪽 암호화를 참조하세요.
호스트에서 암호화는 Azure Disk Storage 서버 쪽 암호화를 향상시켜 모든 임시 디스크와 디스크 캐시가 미사용 시 암호화되고 스토리지 클러스터로 암호화되도록 하는 가상 머신 옵션입니다. 자세한 내용은 호스트에서 암호화 - VM 데이터의 엔드투엔드 암호화를 참조하세요.
Azure Disk Encryption을 사용하여 고객 조직의 보안 및 규정 준수 약정에 맞게 데이터를 안전하게 보호할 수 있습니다. ADE는 Linux의 DM-Crypt 기능 또는 Windows의 BitLocker 기능을 사용하여 VM 내부에 있는 Azure VM(가상 머신)의 데이터 디스크와 OS를 암호화합니다. ADE는 Azure Key Vault와 통합되어 KEK(키 암호화 키)로 암호화하는 옵션을 사용하여 디스크 암호화 키 및 비밀을 제어하고 관리하는 데 도움이 됩니다. 자세한 내용은 Linux VM용 Azure Disk Encryption 또는 Windows VM용 Azure Disk Encryption을 참조하세요.
기밀 디스크 암호화는 디스크 암호화 키를 가상 머신의 TPM에 바인딩하고, 보호되는 디스크 콘텐츠를 VM에서만 액세스할 수 있도록 합니다. TPM 및 VM 게스트 상태는 하이퍼바이저 및 호스트 운영 체제를 우회하는 보안 프로토콜에서 릴리스된 키를 사용하여 증명된 코드에서 항상 암호화됩니다. 현재는 OS 디스크에만 사용할 수 있습니다. 임시 디스크 지원은 미리 보기 상태입니다. 호스트의 암호화는 기밀 디스크 암호화 외에도 기밀 VM의 다른 디스크에 사용할 수 있습니다. 자세한 내용은 DCasv5 및 ECasv5 시리즈 기밀 VM을 참조하세요.
암호화는 보안에 대한 계층화된 접근 방식의 일부이며 가상 머신 및 해당 디스크를 보호하기 위해 다른 권장 사항과 함께 사용해야 합니다. 자세한 내용은 Azure의 가상 머신에 대한 보안 권장 사항 및 관리 디스크에 대한 가져오기/내보내기 액세스 제한을 참조하세요.
비교
다음은 Disk Storage SSE, ADE, 호스트의 암호화 및 기밀 디스크 암호화를 비교한 것입니다.
| Azure Disk Storage 서버 쪽 암호화 | 호스트에서 암호화 | Azure 디스크 암호화 | 기밀 디스크 암호화(OS 디스크에만 해당) | |
|---|---|---|---|---|
| 미사용 데이터 암호화(OS 및 데이터 디스크) | ✅ | ✅ | ✅ | ✅ |
| 임시 디스크 암호화 | ❌ | ✅ 플랫폼 관리형 키에서만 지원됨 | ✅ | ✅미리 보기 |
| 캐시 암호화 | ❌ | ✅ | ✅ | ✅ |
| 컴퓨팅과 스토리지 간에 암호화된 데이터 흐름 | ❌ | ✅ | ✅ | ✅ |
| 키에 대한 고객 제어 | ✅ DES로 구성된 경우 | ✅ DES로 구성된 경우 | ✅ KEK로 구성된 경우 | ✅ DES로 구성된 경우 |
| HSM 지원 | Azure Key Vault 프리미엄 및 관리되는 HSM | Azure Key Vault 프리미엄 및 관리되는 HSM | Azure Key Vault 프리미엄 | Azure Key Vault 프리미엄 및 관리되는 HSM |
| VM의 CPU를 사용하지 않음 | ✅ | ✅ | ❌ | ❌ |
| 사용자 지정 이미지 작업 | ✅ | ✅ | ❌ 사용자 지정 Linux 이미지에 대해 작동하지 않음 | ✅ |
| 향상된 키 보호 | ❌ | ❌ | ❌ | ✅ |
| 클라우드용 Microsoft Defender 디스크 암호화 상태* | 비정상 | 정상 | 정상 | 해당 없음 |
Important
기밀 디스크 암호화의 경우 클라우드용 Microsoft Defender에는 현재 적용할 수 있는 권장 사항이 없습니다.
* 클라우드용 Microsoft Defender에는 다음과 같은 디스크 암호화 권장 사항이 있습니다.
- 가상 머신 및 가상 머신 확장 집합에는 HBE(호스트에서 암호화)가 사용하도록 설정되어 있어야 함(HBE(호스트에서 암호화)만 검색)
- 가상 머신은 컴퓨팅과 스토리지 리소스 간의 임시 디스크, 캐시, 데이터 흐름을 암호화해야 합니다.(Azure Disk Encryption만 검색)
- Windows 가상 머신에서 Azure Disk Encryption 또는 EncryptionAtHost를 사용하도록 설정해야 합니다.(Azure Disk Encryption 및 EncryptionAtHost 모두 검색)
- Linux Virtual Machines에서 Azure Disk Encryption 또는 EncryptionAtHost를 사용하도록 설정해야 합니다.(Azure Disk Encryption 및 EncryptionAtHost 모두 검색)