기존 Azure VM에서 신뢰할 수 있는 시작 사용
적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 2세대 VM ✔️
Azure Virtual Machines는 신뢰할 수 있는 시작 보안 유형으로 업그레이드하여 기존 Azure 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 지원합니다.
신뢰할 수 있는 시작은 Azure 2세대 VM에서 기본 컴퓨팅 보안을 사용하도록 설정하는 방법입니다. 신뢰할 수 있는 시작은 VM에서 보안 부팅, vTPM 및 부팅 무결성 모니터링과 같은 인프라 기술을 결합하여 부팅 키트 및 루트킷과 같은 고급 및 영구 공격 기술로부터 Virtual Machines를 보호합니다.
Important
- 2세대 VM에 사용하도록 설정된 경우 신뢰할 수 있는 시작 업그레이드를 실행하기 전에 SSE-CMK(고객 관리형 키로 서버 쪽 암호화)를 사용하여 서버 쪽 암호화를 사용하지 않도록 설정해야 합니다. 신뢰할 수 있는 시작 업그레이드가 완료된 후 SSE-CMK 암호화를 다시 사용하도록 설정해야 합니다.
- 기존 Azure 1세대 VM에서 신뢰할 수 있는 시작 사용 지원은 현재 프라이빗 미리 보기로 제공됩니다. 등록 링크 https://aka.ms/Gen1ToTLUpgrade를 사용하여 미리 보기에 액세스할 수 있습니다.
- 기존 Azure VMSS(가상 머신 확장 집합) Uniform & Flex에서 신뢰할 수 있는 시작을 사용하도록 설정하는 것은 현재 지원되지 않습니다.
필수 조건
- Azure 2세대 VM은 다음으로 구성됩니다.
- 신뢰할 수 있는 시작 지원 크기 제품군
- 신뢰할 수 있는 시작 지원 OS 이미지. 사용자 지정 OS 이미지 또는 디스크의 경우 기본 이미지는 신뢰할 수 있는 시작이어야 합니다.
- Azure 2세대 VM은 현재 신뢰할 수 있는 시작에서 지원되지 않는 기능을 사용하지 않습니다.
- 신뢰할 수 있는 시작 보안 유형을 사용하도록 설정하기 전에 Azure 2세대 VM을 중지하고 할당 취소해야 합니다.
- VM에 대해 사용하도록 설정된 경우 Azure Backup은 강화된 백업 정책으로 구성되어야 합니다. 표준 정책 백업 보호로 구성된 2세대 VM에는 신뢰할 수 있는 시작 보안 유형을 사용하도록 설정할 수 없습니다.
- 프라이빗 미리 보기 마이그레이션 기능을 사용하여 기존 Azure VM 백업을 표준에서 고급 정책으로 마이그레이션할 수 있습니다. 링크 https://aka.ms/formBackupPolicyMigration을 사용하여 미리 보기로 온보딩 요청을 제출합니다.
모범 사례
- 테스트 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하고 프로덕션 워크로드와 연결된 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하기 전에 필수 구성 요소를 충족하기 위해 변경이 필요한지 확인합니다.
- 신뢰할 수 있는 시작 보안 유형을 사용하도록 설정하기 전에 프로덕션 워크로드와 연결된 Azure 2세대 VM에 대한 복원 지점을 만듭니다. 복원 지점을 사용하여 이전의 잘 알려진 상태로 디스크와 2세대 VM을 다시 만들 수 있습니다.
기존 VM에서 신뢰할 수 있는 시작 사용
참고 항목
- 신뢰할 수 있는 시작을 사용하도록 설정한 후에는 현재 가상 머신을 표준(신뢰할 수 없는 시작 구성) 보안 유형으로 롤백할 수 없습니다.
- vTPM은 기본적으로 사용하도록 설정됩니다.
- 서명되지 않은 사용자 지정 커널 또는 드라이버를 사용하지 않는 경우 보안 부팅을 사용하도록 설정하는 것이 좋습니다(기본적으로 사용하도록 설정되지 않음). 보안 부팅은 부팅 무결성을 유지하고 VM에 대한 기본 보안을 사용하도록 설정합니다.
이 섹션에서는 Azure Portal을 사용하여 기존 Azure 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하는 단계를 안내합니다.
- Azure Portal에 로그인합니다.
- 가상 머신 생성이 V2인지 유효성을 검사하고 VM을 중지합니다.
- VM 속성의 개요 페이지에서 보안 유형 아래의 표준을 선택합니다. VM의 구성 페이지로 이동합니다.
- 구성 페이지의 보안 유형 섹션에서 드롭다운 보안 유형을 선택합니다.
- 드롭다운에서 신뢰할 수 있는 시작을 선택하고 확인란을 선택하여 보안 부팅과 vTPM을 사용하도록 설정합니다. 필요한 변경을 수행한 후 저장을 클릭합니다.
참고 항목
- ACG(Azure Compute Gallery), 관리 이미지, OS 디스크를 사용하여 만든 2세대 VM은 포털을 사용하여 신뢰할 수 있는 시작으로 업그레이드할 수 없습니다. OS 버전이 신뢰할 수 있는 시작이 지원되는지 확인하고 PowerShell, CLI 또는 ARM 템플릿을 사용하여 업그레이드를 실행합니다.
- 업데이트가 성공적으로 완료되면 구성 페이지를 닫고 개요 페이지의 VM 속성에서 보안 유형의 유효성을 검사합니다.
- 업그레이드된 신뢰할 수 있는 시작 VM을 시작하고 성공적으로 시작되었는지 확인하고 RDP(Windows VM의 경우) 또는 SSH(Linux VM의 경우)를 사용하여 VM에 로그인할 수 있는지 확인합니다.
다음 단계
(권장) 업그레이드 후 부팅 무결성 모니터링을 사용하도록 설정하면 클라우드용 Microsoft Defender를 사용하여 VM의 상태를 모니터링할 수 있습니다.
신뢰할 수 있는 시작에 대해 자세히 알아보고 질문과 대답을 검토합니다.