기존 Azure VM에서 신뢰할 수 있는 시작 사용

적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 2세대 VM ✔️

Azure Virtual Machines는 신뢰할 수 있는 시작 보안 유형으로 업그레이드하여 기존 Azure 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 지원합니다.

신뢰할 수 있는 시작은 Azure 2세대 VM에서 기본 컴퓨팅 보안을 사용하도록 설정하는 방법입니다. 신뢰할 수 있는 시작은 VM에서 보안 부팅, vTPM 및 부팅 무결성 모니터링과 같은 인프라 기술을 결합하여 부팅 키트 및 루트킷과 같은 고급 및 영구 공격 기술로부터 Virtual Machines를 보호합니다.

Important

• 2세대 VM에 사용하도록 설정된 경우 신뢰할 수 있는 시작 업그레이드를 실행하기 전에 SSE-CMK(고객 관리형 키로 서버 쪽 암호화)를 사용하여 서버 쪽 암호화를 사용하지 않도록 설정해야 합니다. 신뢰할 수 있는 시작 업그레이드가 완료된 후 SSE-CMK 암호화를 다시 사용하도록 설정해야 합니다.
• 기존 Azure 1세대 VM에서 신뢰할 수 있는 시작 사용 지원은 현재 프라이빗 미리 보기로 제공됩니다. 등록 링크 https://aka.ms/Gen1ToTLUpgrade를 사용하여 미리 보기에 액세스할 수 있습니다.
• 기존 Azure VMSS(가상 머신 확장 집합) Uniform & Flex에서 신뢰할 수 있는 시작을 사용하도록 설정하는 것은 현재 지원되지 않습니다.

필수 조건

• Azure 2세대 VM은 다음으로 구성됩니다.
  • 신뢰할 수 있는 시작 지원 크기 제품군
  • 신뢰할 수 있는 시작 지원 OS 이미지. 사용자 지정 OS 이미지 또는 디스크의 경우 기본 이미지는 신뢰할 수 있는 시작이어야 합니다.
• Azure 2세대 VM은 현재 신뢰할 수 있는 시작에서 지원되지 않는 기능을 사용하지 않습니다.
• 신뢰할 수 있는 시작 보안 유형을 사용하도록 설정하기 전에 Azure 2세대 VM을 중지하고 할당 취소해야 합니다.
• VM에 대해 사용하도록 설정된 경우 Azure Backup은 강화된 백업 정책으로 구성되어야 합니다. 표준 정책 백업 보호로 구성된 2세대 VM에는 신뢰할 수 있는 시작 보안 유형을 사용하도록 설정할 수 없습니다.
  • 프라이빗 미리 보기 마이그레이션 기능을 사용하여 기존 Azure VM 백업을 표준에서 고급 정책으로 마이그레이션할 수 있습니다. 링크 https://aka.ms/formBackupPolicyMigration을 사용하여 미리 보기로 온보딩 요청을 제출합니다.

모범 사례

• 테스트 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하고 프로덕션 워크로드와 연결된 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하기 전에 필수 구성 요소를 충족하기 위해 변경이 필요한지 확인합니다.
• 신뢰할 수 있는 시작 보안 유형을 사용하도록 설정하기 전에 프로덕션 워크로드와 연결된 Azure 2세대 VM에 대한 복원 지점을 만듭니다. 복원 지점을 사용하여 이전의 잘 알려진 상태로 디스크와 2세대 VM을 다시 만들 수 있습니다.

기존 VM에서 신뢰할 수 있는 시작 사용

참고 항목

• 신뢰할 수 있는 시작을 사용하도록 설정한 후에는 현재 가상 머신을 표준(신뢰할 수 없는 시작 구성) 보안 유형으로 롤백할 수 없습니다.
• vTPM은 기본적으로 사용하도록 설정됩니다.
• 서명되지 않은 사용자 지정 커널 또는 드라이버를 사용하지 않는 경우 보안 부팅을 사용하도록 설정하는 것이 좋습니다(기본적으로 사용하도록 설정되지 않음). 보안 부팅은 부팅 무결성을 유지하고 VM에 대한 기본 보안을 사용하도록 설정합니다.

포털

이 섹션에서는 Azure Portal을 사용하여 기존 Azure 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하는 단계를 안내합니다.

1. Azure Portal에 로그인합니다.
2. 가상 머신 생성이 V2인지 유효성을 검사하고 VM을 중지합니다.

3. VM 속성의 개요 페이지에서 보안 유형 아래의 표준을 선택합니다. VM의 구성 페이지로 이동합니다.

4. 구성 페이지의 보안 유형 섹션에서 드롭다운 보안 유형을 선택합니다.

5. 드롭다운에서 신뢰할 수 있는 시작을 선택하고 확인란을 선택하여 보안 부팅과 vTPM을 사용하도록 설정합니다. 필요한 변경을 수행한 후 저장을 클릭합니다.

참고 항목

• ACG(Azure Compute Gallery), 관리 이미지, OS 디스크를 사용하여 만든 2세대 VM은 포털을 사용하여 신뢰할 수 있는 시작으로 업그레이드할 수 없습니다. OS 버전이 신뢰할 수 있는 시작이 지원되는지 확인하고 PowerShell, CLI 또는 ARM 템플릿을 사용하여 업그레이드를 실행합니다.

6. 업데이트가 성공적으로 완료되면 구성 페이지를 닫고 개요 페이지의 VM 속성에서 보안 유형의 유효성을 검사합니다.

7. 업그레이드된 신뢰할 수 있는 시작 VM을 시작하고 성공적으로 시작되었는지 확인하고 RDP(Windows VM의 경우) 또는 SSH(Linux VM의 경우)를 사용하여 VM에 로그인할 수 있는지 확인합니다.

CLI

이 섹션에서는 Azure CLI를 사용하여 기존 Azure 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하는 단계를 안내합니다.

최신 Azure CLI를 설치했고 az login을 사용하여 Azure 계정에 로그인했는지 확인합니다.

1. Azure 구독에 로그인

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. VM 할당 취소

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. --security-type을 TrustedLaunch로 설정하여 신뢰할 수 있는 시작을 사용하도록 설정합니다.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. 이전 명령의 출력의 유효성을 검사합니다. securityProfile 구성은 명령 출력과 함께 반환됩니다.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. VM을 시작합니다.

az vm start \
    --resource-group myResourceGroup --name myVm

6. 업그레이드된 신뢰할 수 있는 시작 VM을 시작하고 성공적으로 시작되었는지 확인하고 RDP(Windows VM의 경우) 또는 SSH(Linux VM의 경우)를 사용하여 VM에 로그인할 수 있는지 확인합니다.

PowerShell

이 섹션에서는 Azure PowerShell을 사용하여 기존 Azure 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하는 단계를 안내합니다.

최신 Azure PowerShell을 설치했고 Connect-AzAccount를 사용하여 Azure 계정에 로그인했는지 확인합니다.

1. Azure 구독에 로그인

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. VM 할당 취소

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. --security-type을 TrustedLaunch로 설정하여 신뢰할 수 있는 시작을 사용하도록 설정합니다.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. 업데이트된 VM 구성에서 유효성을 검사합니다securityProfile.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. VM을 시작합니다.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. 업그레이드된 신뢰할 수 있는 시작 VM을 시작하고 성공적으로 시작되었는지 확인하고 RDP(Windows VM의 경우) 또는 SSH(Linux VM의 경우)를 사용하여 VM에 로그인할 수 있는지 확인합니다.

템플릿

이 섹션에서는 ARM 템플릿을 사용하여 기존 Azure 2세대 VM에서 신뢰할 수 있는 시작을 사용하도록 설정하는 단계를 안내합니다.

Azure Resource Manager 템플릿은 프로젝트의 인프라 및 구성을 정의하는 JSON(JavaScript Object Notation) 파일입니다. 이 템플릿은 선언적 구문을 사용합니다. 배포를 만들기 위한 프로그래밍 명령 시퀀스를 작성하지 않고 의도한 배포를 설명합니다.

1. 템플릿을 검토합니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. TrustedLaunch 보안 유형으로 업데이트할 가상 머신을 사용하여 매개 변수 json 파일을 편집합니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

매개 변수 파일 정의

속성	속성 설명	예제 템플릿 값
vmName	Azure 2세대 VM의 이름	"myVm"
location	Azure 2세대 VM의 위치	"westus3"
secureBootEnabled	신뢰할 수 있는 시작 보안 유형으로 보안 부팅 사용	true

3. 업데이트할 모든 Azure 2세대 VM을 할당 취소합니다.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. ARM 템플릿 배포를 실행합니다.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. 배포가 성공했는지 확인합니다. Azure Portal을 사용하여 VM의 보안 유형 및 UEFI 설정을 확인합니다. 개요 페이지에서 보안 유형 섹션을 확인합니다.

6. 업그레이드된 신뢰할 수 있는 시작 VM을 시작하고 성공적으로 시작되었는지 확인하고 RDP(Windows VM의 경우) 또는 SSH(Linux VM의 경우)를 사용하여 VM에 로그인할 수 있는지 확인합니다.

다음 단계

(권장) 업그레이드 후 부팅 무결성 모니터링을 사용하도록 설정하면 클라우드용 Microsoft Defender를 사용하여 VM의 상태를 모니터링할 수 있습니다.

신뢰할 수 있는 시작에 대해 자세히 알아보고 질문과 대답을 검토합니다.