다음을 통해 공유


Azure 가상 머신의 신뢰할 수 있는 시작

적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합

Azure는 2세대 VM(가상 머신)의 보안을 개선하기 위한 원활한 방법으로 신뢰할 수 있는 시작을 제공합니다. 신뢰할 수 있는 시작은 지속적인 고급 공격 기술로부터 사용자를 보호합니다. 신뢰할 수 있는 시작은 독립적으로 사용하도록 설정할 수 있는 몇 가지 조정된 인프라 기술로 구성되어 있습니다. 각 기술은 정교한 위협에 대한 또 다른 방어 계층을 제공합니다.

중요합니다

이점

  • 확인된 부트 로더, OS(운영 체제) 커널 및 드라이버를 사용하여 가상 머신을 안전하게 배포합니다.
  • VM에서 키, 인증서 및 암호를 안전하게 보호합니다.
  • 전체 부팅 체인의 무결성에 대한 인사이트와 확신을 얻으세요.
  • 워크로드를 신뢰할 수 있고 확인할 수 있는지 확인합니다.

가상 머신 크기

유형 지원되는 크기 패밀리 현재 지원되지 않는 크기 패밀리 지원되지 않는 크기 패밀리
범용 B-패밀리, D-패밀리 Dpsv5 시리즈, Dpdsv5 시리즈, Dplsv5 시리즈, Dpldsv5 시리즈 A-family, Dv2 시리즈, Dv3 시리즈, DC 기밀 패밀리
컴퓨팅 최적화 F-패밀리, Fx-family 지원되는 모든 크기.
메모리에 최적화 E-family, Eb-family M-제품군 EC 기밀 가족
스토리지 최적화 L-패밀리 지원되는 모든 크기.
GPU NC-family, ND-family, NV-family NDasrA100_v4 시리즈, NDm_A100_v4 시리즈 NC 시리즈, NV 시리즈, NP 시리즈
고성능 컴퓨팅 HBv2 시리즈, HBv3 시리즈, HBv4 시리즈, HC 시리즈, HX 시리즈 지원되는 모든 크기.

참고 항목

  • 보안 부팅이 지원되는 Windows VM에 CUDA 및 GRID 드라이버를 설치하는 데는 추가 단계가 필요하지 않습니다.
  • 보안 부팅이 지원되는 Ubuntu VM에 CUDA 드라이버를 설치하려면 추가 단계가 필요합니다. 자세한 내용은 Linux를 실행하는 N 시리즈 VM의 NVIDIA GPU 드라이버 설치를 참조하세요. 다른 Linux VM에 CUDA 드라이버를 설치하기 위해서는 보안 부팅을 사용하지 않도록 설정해야 합니다.
  • GRID 드라이버를 설치하려면 Linux VM에 대해 보안 부팅을 사용하지 않도록 설정해야 합니다.
  • 지원되지 않는 크기 패밀리는 2세대 VM을 지원하지 않습니다. 신뢰할 수 있는 시작을 사용하도록 설정하기 위해 VM 크기를 해당하는 지원되는 크기 패밀리로 변경합니다.

지원되는 운영 체제

운영 체제 버전
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
데비안 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise 다중 세션 *
Windows 11 Pro, Enterprise, Enterprise 다중 세션 *
Windows Server (윈도우 서버) 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition *

* 이 OS의 변형이 지원됩니다.

자세한 정보

지역:

  • 모든 공용 지역
  • 모든 Azure Government 지역
  • 모든 Azure 중국 지역

가격 책정: 신뢰할 수 있는 시작을 사용할 경우 기존 VM 가격 책정 비용이 늘어나지 않습니다.

지원되지 않는 기능

현재, 다음 VM 기능은 신뢰할 수 있는 시작이 지원되지 않습니다.

보안 부팅

신뢰할 수 있는 시작의 루트에는 VM 보안 부팅이 있습니다. 플랫폼 펌웨어에서 구현되는 보안 부팅은 맬웨어 기반 루트킷 및 부팅 키트의 설치를 방지합니다. 보안 부팅은 서명된 운영 체제 및 드라이버만 부팅할 수 있도록 하기 위해 작동합니다. VM의 소프트웨어 스택에 대한 “신뢰할 수 있는 루트”를 설정합니다.

보안 부팅을 사용하도록 설정하면 모든 OS 부팅 구성 요소(부트 로더, 커널, 커널 드라이버)에는 신뢰할 수 있는 게시자 서명이 필요합니다. Windows 및 일부 Linux 배포판은 모두 보안 부팅을 지원합니다. 보안 부팅에서 이미지가 신뢰할 수 있는 게시자를 사용하여 서명되었는지 인증하지 못하면 VM이 부팅되지 않습니다. 자세한 내용은 보안 부팅을 참조하세요.

vTPM

신뢰할 수 있는 시작에는 Azure VM용 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)도 도입되었습니다. 이 가상화된 하드웨어 신뢰할 수 있는 플랫폼 모듈 버전은 TPM2.0 사양을 준수입니다. 키 및 측정을 위한 전용 보안 자격 증명 모음 역할을 합니다.

신뢰할 수 있는 시작은 VM의 범위 외부에 있는 보안 환경에서 실행되는 고유한 전용 TPM 인스턴스를 VM에 제공합니다. vTPM은 VM(UEFI, OS, 시스템 및 드라이버)의 전체 부팅 체인을 측정하여 증명을 사용합니다.

신뢰할 수 있는 시작은 vTPM을 사용하여 클라우드를 통해 원격 증명을 수행합니다. 증명은 플랫폼 상태 검사를 수행할 수 있도록 하며, 신뢰 기반 의사 결정을 내리는 데 사용됩니다. 상태 검사를 통해 신뢰할 수 있는 시작은 VM이 올바르게 부팅되었음을 암호화하여 인증할 수 있습니다.

VM이 승인되지 않은 구성 요소를 실행하기 때문에 프로세스가 실패하면 클라우드용 Microsoft Defender에서 무결성 경고를 발행합니다. 경고에는 무결성 검사를 통과하지 못한 구성 요소에 대한 세부 정보가 포함됩니다.

가상화 기반 보안

VBS(가상화 기반 보안)는 하이퍼바이저를 사용하여 안전하고 격리된 메모리 영역을 만듭니다. Windows는 이러한 영역을 사용하여 취약성 및 악의적인 익스플로잇에 대한 보호 기능이 향상된 다양한 보안 솔루션을 실행합니다. 신뢰할 수 있는 시작을 통해 HVCI(하이퍼바이저 코드 무결성) 및 Windows Defender Credential Guard를 사용하도록 설정할 수 있습니다.

HVCI는 악성 또는 확인되지 않은 코드의 삽입 및 실행에 대해 Windows 커널 모드 프로세스를 보호하는 강력한 시스템 완화 기능입니다. 커널 모드 드라이버와 바이너리가 실행되기 전에 검사하여 서명되지 않은 파일이 메모리로 로드되는 것을 방지합니다. HVCI에서 로드하도록 허용한 후 실행 코드를 수정할 수 없는지 확인합니다. VBS 및 HVCI에 대한 자세한 내용은 가상화 기반 보안 및 하이퍼바이저 적용 코드 무결성을 참조하세요.

신뢰할 수 있는 시작 및 VBS를 사용하면 Windows Defender Credential Guard를 사용할 수 있습니다. Credential Guard는 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 비밀을 격리하고 보호합니다. Pass-the-Hash 공격과 같은 비밀 및 자격 증명 탈취 공격에의 무단 액세스를 방지하는 데 유용합니다. 자세한 내용은 Credential Guard를 참조하세요.

클라우드용 Microsoft Defender 통합

신뢰할 수 있는 시작은 클라우드용 Defender와 통합되어 VM이 제대로 구성되었는지 확인합니다. 클라우드용 Defender는 호환되는 VM을 지속적으로 평가하고 관련 권장 사항을 발행합니다.

  • 보안 부팅을 사용하도록 설정하는 권장 사항: 보안 부팅 권장 사항은 신뢰할 수 있는 시작을 지원하는 VM에만 적용됩니다. Defender for Cloud는 보안 부팅을 사용하지 않도록 설정된 VM을 식별합니다. 이를 사용하도록 설정하기 위해 낮은 심각도 권장 사항을 발급합니다.

  • vTPM을 사용하도록 설정하는 권장 사항: vTPM이 VM에 사용하도록 설정된 경우 Defender for Cloud를 사용하여 게스트 증명을 수행하고 고급 위협 패턴을 식별할 수 있습니다. Defender for Cloud가 vTPM을 사용하지 않도록 설정한 상태에서 신뢰할 수 있는 시작을 지원하는 VM을 식별하는 경우 낮은 심각도 권장 사항을 실행하여 사용하도록 설정합니다.

  • 게스트 증명 확장 설치를 위한 권장 사항: VM에 보안 부팅 및 vTPM이 사용하도록 설정되어 있지만 게스트 증명 확장이 설치되어 있지 않은 경우 클라우드용 Defender는 게스트 증명 확장을 설치하기 위해 낮은 심각도 권장 사항을 발행합니다. 이 확장을 통해 클라우드용 Defender는 VM의 부팅 무결성을 적극적으로 증명하고 모니터링할 수 있습니다. 부팅 무결성은 원격 증명을 통해 증명됩니다.

  • 증명 상태 평가 또는 부팅 무결성 모니터링: VM에 보안 부팅 및 vTPM이 사용하도록 설정되어 있고 증명 확장이 설치된 경우 클라우드용 Defender는 VM이 정상적인 방식으로 부팅되었는지 원격으로 유효성 검사할 수 있습니다. 이 사례를 부팅 무결성 모니터링이라고 합니다. 클라우드용 Defender는 원격 증명 상태를 나타내는 평가를 발행합니다.

    VM이 신뢰할 수 있는 시작으로 올바르게 설정되어 있으면 클라우드용 Defender가 VM 상태 문제를 검색하고 경고할 수 있습니다.

  • VM 증명 실패에 대한 경고: 클라우드용 Defender는 VM에서 주기적으로 증명을 수행합니다. 증명은 VM이 부팅된 후에도 발생합니다. 증명이 실패하면 중간 심각도 경고가 트리거됩니다. VM 증명은 다음과 같은 이유로 실패할 수 있습니다.

    • 부팅 로그를 포함하는 증명된 정보가 신뢰할 수 있는 기준에서 벗어납니다. 모든 편차는 신뢰할 수 없는 모듈이 로드되고 OS가 손상될 수 있음을 나타낼 수 있습니다.

    • 증명된 VM의 vTPM에서 가져온 증명 견적을 확인할 수 없습니다. 확인되지 않은 원본은 맬웨어가 존재하며 vTPM에 대한 트래픽을 가로챌 수 있음을 나타낼 수 있습니다.

      참고 항목

      vTPM이 사용하도록 설정되고 증명 확장이 설치된 VM에 대해 경고를 사용할 수 있습니다. 증명을 통과하려면 보안 부팅을 사용하도록 설정해야 합니다. 보안 부팅을 사용하지 않도록 설정하면 증명이 실패합니다. 보안 부팅을 사용하지 않도록 설정해야 하는 경우, 가양성을 방지하기 위해 이 경고를 억제할 수 있습니다.

  • 신뢰할 수 없는 Linux 커널 모듈에 대한 경고: 보안 부팅을 사용하는 신뢰할 수 있는 시작의 경우, 커널 드라이버가 유효성 검사에 실패하고 로드가 금지되어도 VM이 부팅될 수 있습니다. 커널 드라이버 유효성 검사 실패가 발생하면 클라우드용 Defender에서 심각도가 낮은 경고를 발생시킵니다. 즉각적인 위협은 없지만 신뢰할 수 없는 드라이버가 로드되지 않았기 때문에 이러한 이벤트를 조사해야 합니다. 스스로에게 다음과 같이 질문하십시오.

    • 어떤 커널 드라이버가 실패했나요? 실패한 커널 드라이버를 알고 있으며, 그것이 로드될 것으로 예상하나요?
    • 드라이버의 정확한 버전이 예상과 동일한가요? 드라이버 바이너리가 손상되지 않았나요? 실패한 드라이버가 파트너 드라이버인 경우 파트너가 OS 규정 준수 테스트를 통과하여 서명했나요?

(미리 보기) 신뢰할 수 있는 시작을 기본값으로

중요합니다

신뢰할 수 있는 시작 기본값은 현재 미리 보기로 제공됩니다. 이 미리 보기는 테스트, 평가 및 피드백 용도로만 사용됩니다. 프로덕션 워크로드는 권장되지 않습니다. 미리 보기에 등록할 때 추가 사용 약관에 동의합니다. 이 기능의 일부 측면은 일반 공급(GA) 시 변경될 수 있습니다.

기본 신뢰할 수 있는 시작(TLaD)은 새 Gen2 가상 머신(VM) 및 가상 머신 확장 집합에 대해 미리 보기 상태로 사용할 수 있습니다.

TLaD는 새로운 Gen2 기반 Azure VM 및 Virtual Machine Scale Sets 배포의 보안 상태를 개선하는 빠르고 제로 터치 수단입니다. 신뢰할 수 있는 시작을 기본값으로 사용하는 경우 모든 클라이언트 도구(예: ARM 템플릿, Bicep)를 통해 만든 모든 새 Gen2 VM 또는 확장 집합은 기본적으로 보안 부팅 및 vTPM을 사용하도록 설정된 신뢰할 수 있는 시작 VM으로 설정됩니다.

공개 미리 보기 릴리스를 사용하면 모든 새 Azure Gen2 VM, 확장 집합에 대해 해당 환경에서 이러한 변경 내용의 유효성을 검사하고 향후 변경에 대비할 수 있습니다.

참고 항목

모든 새 Gen2 VM 및 확장 집합의 배포는 모든 클라이언트 도구(ARM 템플릿, Bicep, Terraform 등)를 사용할 때 온보딩 후 미리 보기 상태에서 신뢰할 수 있는 실행으로 자동 설정됩니다. 이 변경은 배포 코드의 일부로 제공된 입력을 재정의하지 않습니다.

TLaD 미리 보기 사용

TrustedLaunchByDefaultPreview 네임스페이스 아래의 가상 머신 구독에 Microsoft.Compute 미리 보기 기능을 등록합니다. 자세한 내용은 Azure 구독에서 미리 보기 기능 설정을 참조하세요.

신뢰할 수 있는 시작 기본값으로 새 Gen2 VM 또는 확장 집합을 만들려면 Azure SDK, Terraform 또는 Azure Portal, CLI 또는 PowerShell이 아닌 다른 메서드를 통해 있는 그대로 기존 배포 스크립트를 실행합니다. 등록된 구독에서 만든 새 VM 또는 확장 집합은 신뢰할 수 있는 시작 VM 또는 가상 머신 확장 집합을 생성합니다.

TLaD 미리 보기를 사용한 가상 머신 및 확장 집합 배포

기존 동작

신뢰할 수 있는 시작 VM 및 확장 집합을 만들려면 배포에 다음 securityProfile 요소를 추가해야 합니다.

"securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
        "secureBootEnabled": true,
        "vTpmEnabled": true,
    }
}

배포 코드에 securityProfile 요소가 없으면 신뢰 가능한 시작을 사용하지 않고 VM 및 확장 집합을 배포합니다.

예제

  • vm-windows-admincenter – ARM(Azure Resource Manager) 템플릿은 신뢰할 수 있는 시작을 사용하도록 설정하지 않고 Gen2 VM을 배포합니다.
  • vm-simple-windows – ARM 템플릿은 신뢰할 수 있는 시작 VM을 배포합니다(ARM 템플릿에 명시적으로 추가된 기본 securityProfile 값 제외).

새 동작

API 버전 2021-11-01 이상을 사용하고 미리 보기에 온보딩하면, 다음 조건이 충족될 경우 배포에서 securityProfile 요소가 없을 때 기본적으로 신뢰할 수 있는 시작을 새 VM 및 확장 집합에 적용할 수 있습니다.

나열된 조건 중 하나 이상이 충족되지 않으면 배포는 기본적으로 신뢰할 수 있는 시작으로 설정되지 않으며, 이를 통해 신뢰할 수 있는 시작 없이 새로운 Gen2 VM 및 확장 집합을 성공적으로 만들 수 있습니다.

매개 변수 securityType의 값으로 Standard를 설정하여 VM 및 확장 집합 배포에 대한 기본 설정을 명시적으로 무시하도록 선택할 수 있습니다. 자세한 내용은 새 VM 배포에 대해 신뢰할 수 있는 시작을 사용하지 않도록 설정할 수 있나요?

알려진 제한 사항

미리 보기에 등록한 후 Azure Portal을 사용하여 신뢰할 수 있는 시작 기본값을 우회하고 Gen2(신뢰할 수 없는 시작) VM을 만들 수 없습니다.

미리 보기에 구독을 등록한 후 Azure Portal에서 보안 유형을 설정하면 Standard VM 또는 확장 집합 Trusted launch이 배포됩니다. 이 제한 사항은 Trusted Launch의 기본 출시가 일반 공급되기 전에 해결됩니다.

이러한 제한을 완화하기 위해 지정된 구독의 네임스페이스 아래에 Microsoft.Compute 있는 기능 플래그 TrustedLaunchByDefaultPreview 를 제거하여 미리 보기 기능을 등록 취소할 수 있습니다.

포털의 보안 유형 드롭다운 스크린샷

VM 또는 VMSS의 크기를 신뢰할 수 있는 시작으로 기본 설정 후, 지원되지 않는 신뢰할 수 있는 시작 VM 크기 제품군(예: M 시리즈)으로 조정할 수 없습니다.

신뢰할 수 있는 시작 VM을 신뢰할 수 없는 시작과 호환되지 않는 VM 크기 제품군으로 조정하는 것은 지원되지 않습니다.

완화 조치로, 사용 가능한 클라이언트 도구(Azure Portal 제외)를 사용하여 Microsoft.Compute 네임스페이스 아래에 기능 플래그 UseStandardSecurityType를 등록하고, 신뢰할 수 있는 시작에서 Gen2 전용(비신뢰 시작)으로 securityType = Standard VM을 롤백하세요.

TLaD 미리 보기 피드백

신뢰할 수 있는 시작 기본 미리 보기 피드백 설문 조사에서 예정된 변경 내용에 대한 피드백, 쿼리 또는 우려 사항을 문의하세요.

TLaD 미리 보기 사용 안 함

TLaD 미리 보기를 사용하지 않도록 설정하려면 가상 머신 구독의 네임스페이스에서 미리 보기 기능을 TrustedLaunchByDefaultPreviewMicrosoft.Compute 등록 취소합니다. 자세한 내용은 미리 보기 등록 취소 기능을 참조하세요.

신뢰할 수 있는 시작 VM을 배포합니다.