이 문서에서는 EOL(수명 종료) 상태에 가까워진 Linux 배포판인 CentOS를 참조합니다. 사용 및 계획을 적절하게 고려하세요. 자세한 내용은 CentOS EOL 지침을 참조하세요.
Azure 신뢰할 수 있는 시작 기능 사용 사례, 기타 Azure 기능 지원 및 일반적인 오류 수정 사항에 대한 FAQ(질문과 대답)입니다.
사용 사례
이 섹션에서는 신뢰할 수 있는 시작 사용 사례에 대한 질문에 답합니다.
신뢰할 수 있는 시작을 사용해야 하는 이유는 무엇인가요? 신뢰할 수 있는 시작은 무엇을 보호하나요?
신뢰할 수 있는 시작은 부팅 키트, 루트킷 및 커널 수준 맬웨어로부터 보호합니다. 이러한 고급 유형의 맬웨어는 커널 모드에서 실행되고 사용자에게는 숨겨진 상태를 유지합니다. 예시:
펌웨어 루트킷: 이 키트는 VM(가상 머신) BIOS의 펌웨어를 덮어쓰므로 루트킷이 OS(운영 체제)보다 먼저 시작할 수 있습니다.
부팅 키트: 이 키트는 OS의 부트로더를 바꾸므로 VM이 OS보다 먼저 부팅 키트를 로드합니다.
커널 루트킷: 이러한 키트는 OS가 로드될 때 루트킷이 자동으로 시작되도록 OS 커널의 일부를 교체합니다.
드라이버 루트킷: 이 키트는 OS가 VM 구성 요소와 통신하는 데 사용하는 신뢰할 수 있는 드라이버 중 하나인 것처럼 가장합니다.
보안 부팅과 계획 부팅 간의 차이점은 무엇인가요?
보안 부팅 체인에서 부팅 프로세스의 각 단계는 이후 단계의 암호화 서명을 확인합니다. 예를 들어 BIOS는 로더에서 서명을 확인하고 로더는 로드되는 모든 커널 개체에 대한 서명을 검사하는 식입니다. 개체 중 하나라도 손상되면 서명이 일치하지 않고 VM이 부팅되지 않습니다. 자세한 내용은 보안 부팅을 참조하세요.
신뢰할 수 있는 시작은 Hyper-V 보호된 VM과 어떻게 다른가요?
Hyper-V 보호된 VM은 현재 Hyper-V에서만 사용할 수 있습니다. Hyper-V 보호된 VM은 일반적으로 보호된 패브릭과 함께 배포됩니다. 보호된 패브릭은 HGS(호스트 보호 서비스), 하나 이상의 보호된 호스트 및 보호된 VM 집합으로 구성됩니다. Hyper-V 보호된 VM은 VM의 데이터와 상태를 다양한 작업자로부터 보호해야 하는 패브릭에 사용됩니다. 이러한 작업자는 모두 패브릭 관리자이며 Hyper-V 호스트에서 실행될 수 있는 신뢰할 수 없는 소프트웨어입니다.
반면에 신뢰할 수 있는 시작은 HGS의 다른 배포 및 관리 없이 Azure에서 독립 시작형 VM 또는 가상 머신 확장 집합으로 배포될 수 있습니다. 배포 코드를 간단하게 변경하거나 Azure Portal 확인란을 선택하여 모든 신뢰할 수 있는 시작 기능을 사용할 수 있습니다.
VMGS(VM 게스트 상태)란 무엇인가요?
VMGS(VM 게스트 상태)는 신뢰할 수 있는 시작 VM에만 해당됩니다. Azure에서 관리하는 Blob이며 UEFI(Unified Extensible Firmware Interface) 보안 부팅 서명 데이터베이스 및 기타 보안 정보를 포함합니다. VMGS Blob의 수명 주기는 OS 디스크의 수명 주기와 연결되어 있습니다.
새 VM 배포에 대해 신뢰할 수 있는 시작을 사용하지 않도록 설정할 수 있나요?
신뢰할 수 있는 시작 VM은 기본적인 컴퓨팅 보안을 제공합니다. 배포에 다음에 대한 종속성이 있는 경우를 제외하고 새 VM 또는 가상 머신 확장 집합 배포에 대해 사용하지 않도록 설정하지 않는 것이 좋습니다.
Azure PowerShell(v10.3.0+) 및 Azure CLI(v2.53.0+)를 사용하여 새 VM 또는 가상 머신 확장 집합 배포에서 신뢰할 수 있는 시작을 사용하지 않도록 설정하려면 Standard 값으로 securityType 매개 변수를 사용할 수 있습니다.
참고
사용자 지정 서명되지 않은 커널이나 드라이버를 사용하지 않는 한 보안 부팅을 사용하지 않도록 설정하지 않는 것이 좋습니다.
보안 부팅을 사용하지 않도록 설정해야 하는 경우 VM 구성에서 보안 부팅 사용 옵션을 선택 취소합니다.
신뢰할 수 있는 시작 VM에 임시 디스크를 사용할 때 VM 만들기 후 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)에 의해 생성되거나 봉인된 키와 비밀이 이미지로 다시 설치와 같은 작업 및 서비스 복구와 같은 플랫폼 이벤트에서 유지되지 않을 수 있습니다.
신뢰할 수 있는 시작에서 제공하는 보안 기능을 데이터 디스크에도 적용할 수 있나요?
신뢰할 수 있는 시작은 부팅 무결성을 증명하여 가상 머신에 호스트된 운영 체제에 대한 기본적인 보안을 제공합니다. 신뢰할 수 있는 시작 보안 기능은 시작 중인 OS 및 OS 디스크에만 적용되며, 데이터 디스크나 데이터 디스크에 저장된 OS 이진에는 적용되지 않습니다. 자세한 내용은 신뢰할 수 있는 시작 개요를 참조하세요.
신뢰할 수 있는 시작이 사용하도록 설정되기 전에 생성된 백업을 사용하여 VM을 복원할 수 있나요?
응답은 다음 형식과 유사합니다. TrustedLaunchDisabled True가 포함된 출력은 2세대 VM 크기가 신뢰할 수 있는 시작을 지원하지 않음을 나타냅니다. 2세대 VM 크기이고 TrustedLaunchDisabled가 출력의 일부가 아닌 경우 해당 VM 크기에 대해 신뢰할 수 있는 시작이 지원됩니다.
가상 머신 - API 가져오기에서 명령의 출력을 사용할 수 있습니다. 응답은 다음 형식과 유사합니다. 출력에서 hyperVGeneration이 v2이고 SecurityType에 TrustedLaunch가 포함된 경우 2세대 OS 이미지는 신뢰할 수 있는 시작을 지원합니다.
응답은 다음 형식과 유사합니다. 출력에서 hyperVGeneration이 v2이고 SecurityType에 TrustedLaunch가 포함된 경우 2세대 OS 이미지는 신뢰할 수 있는 시작을 지원합니다.
ResourceGroupName : myImageGalleryRg
OsType : Windows
OsState : Generalized
HyperVGeneration : V2
Identifier :
Publisher : myImageDefinition
Offer : myImageDefinition
Sku : myImageDefinition
Recommended :
VCPUs :
Min : 1
Max : 16
Memory :
Min : 1
Max : 32
ProvisioningState : Succeeded
Id : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition
Name : myImageDefinition
Type : Microsoft.Compute/galleries/images
Location : westus3
Tags : {}
Features[0] :
Name : SecurityType
Value : TrustedLaunchSupported
Architecture : x64
외부 통신 드라이버가 신뢰할 수 있는 시작 VM과 어떻게 작동하나요?
COM 포트를 추가하려면 보안 부팅을 사용하지 않도록 설정해야 합니다. 신뢰할 수 있는 시작 VM에서는 COM 포트가 기본적으로 사용하지 않도록 설정됩니다.
문제 해결
이 섹션에서는 특정 상태, 부팅 형식 및 일반적인 부팅 문제에 대한 질문에 답변합니다.
신뢰할 수 있는 시작 VM에 배포 오류가 발생한 경우 어떻게 해야 하나요?
이 섹션에서는 이를 방지하기 위해 적절한 조치를 취할 수 있도록 신뢰할 수 있는 시작 배포 실패에 대한 추가 세부 정보를 제공합니다.
Virtual machine <vm name> failed to create from the selected snapshot because the virtual Trusted Platform Module (vTPM) state is locked.
To proceed with the VM creation, please select a different snapshot without a locked vTPM state.
For more assistance, please refer to “Troubleshooting locked vTPM state” in FAQ page at https://aka.ms/TrustedLaunch-FAQ.
이 배포 오류는 다음과 같은 이유로 제공된 스냅샷 또는 복원 지점에 액세스할 수 없거나 사용할 수 없을 때 발생합니다.
VMGS(가상 머신 게스트 상태) 손상
잠긴 상태의 vTPM
하나 이상의 중요한 vTPM 인덱스가 잘못된 상태입니다.
위의 상황은 가상 머신에서 실행 중인 사용자 또는 워크로드가 vTPM에 잠금을 설정하거나 중요한 vTPM 인덱스를 수정하여 vTPM을 잘못된 상태로 두는 경우 발생할 수 있습니다.
동일한 스냅샷/복원 지점으로 다시 시도하면 동일한 오류가 발생합니다.
해결 방법:
스냅샷 또는 복원 지점이 생성된 원본 신뢰할 수 있는 시작 VM에서 vTPM 오류를 수정해야 합니다.
vTPM 상태가 가상 머신의 워크로드에 의해 수정된 경우 이를 사용하여 오류 상태를 확인하고 vTPM을 오류가 없는 상태로 만들어야 합니다.
vTPM 상태를 수정하는 데 TPM 도구를 사용한 경우 동일한 도구를 사용하여 오류 상태를 확인하고 vTPM을 오류가 없는 상태로 만들어야 합니다.
스냅샷 또는 복원 지점에 이러한 오류가 없으면 이를 사용하여 새 신뢰할 수 있는 시작 VM을 만들 수 있습니다.
신뢰할 수 있는 시작 VM이 올바르게 부팅되지 않는 이유는 무엇인가요?
UEFI(게스트 펌웨어), 부트로더, OS 또는 부팅 드라이버에서 서명되지 않은 구성 요소가 검색되면 신뢰할 수 있는 시작 VM이 부팅되지 않습니다. 부팅 프로세스 중에 서명되지 않거나 신뢰할 수 없는 부팅 구성 요소가 발견되면 신뢰할 수 있는 시작 VM의 보안 부팅 설정이 부팅되지 않고 보안 부팅 실패로 보고됩니다.
참고
Azure Marketplace 이미지에서 직접 만들어진 신뢰할 수 있는 시작 VM에는 보안 부팅 오류가 발생하지 않아야 합니다. Azure Marketplace의 원래 이미지 원본이 있는 Azure Compute Gallery 이미지와 신뢰할 수 있는 시작 VM에서 만든 스냅샷에서도 이러한 오류가 발생하지 않아야 합니다.
Azure Portal에서 부팅되지 않는 시나리오를 확인하려면 어떻게 해야 하나요?
보안 부팅 오류로 인해 VM을 사용할 수 없게 되면 "부팅 안 함"은 VM에 신뢰할 수 있는 기관에서 서명한 OS 구성 요소가 있어 신뢰할 수 있는 시작 VM 부팅을 차단한다는 의미입니다. VM 배포 시 보안 부팅에 유효성 검사 오류가 있음을 나타내는 Azure Portal 내의 리소스 상태 정보가 표시될 수 있습니다.
VM 구성 페이지에서 리소스 상태에 액세스하려면 도움말 창 아래의 리소스 상태로 이동합니다.
부팅되지 않은 것이 보안 부팅 오류로 인해 발생했음을 확인한 경우:
사용 중인 이미지는 하나 이상의 신뢰할 수 없는 부팅 구성 요소가 있고 사용 중단 경로에 있을 수 있는 이전 버전입니다. 오래된 이미지를 해결하려면 지원되는 최신 이미지 버전으로 업데이트합니다.
사용 중인 이미지가 마켓플레이스 원본 외부에서 빌드되었거나 부팅 구성 요소가 수정되어 서명되지 않았거나 신뢰할 수 없는 부팅 구성 요소를 포함하고 있을 수 있습니다. 이미지에 서명되지 않았거나 신뢰할 수 없는 부팅 구성 요소가 있는지 확인하려면 다음 섹션인 "보안 부팅 실패 확인"을 참조하세요.
앞의 두 시나리오가 적용되지 않으면 VM은 잠재적으로 맬웨어(부트킷/루트킷)에 감염될 수 있습니다. 설치 중인 모든 소프트웨어를 평가하는 동안 VM을 삭제하고 동일한 원본 이미지에서 새 VM을 다시 만드는 것이 좋습니다.
신뢰할 수 있는 시작 VM에 50MB 더 적은 메모리가 표시되는 이유는 무엇인가요?
신뢰할 수 있는 시작을 사용하면 일반적으로 "파라바이저"라고 하는 실행 환경이 만들어지며 VM 내에서 실행됩니다. 일반적으로 약 50MB의 메모리가 파라바이저에서 사용되며 게스트 운영 체제 내에서 "예약됨"으로 표시됩니다.
보안 부팅 실패 확인
이 섹션은 보안 부팅 실패를 확인하는 데 도움이 됩니다.
Linux 가상 머신
Azure Linux VM 내에서 보안 부팅 오류를 담당하는 부팅 구성 요소를 확인하려면 Linux 보안 패키지의 SBInfo 도구를 사용할 수 있습니다.
보안 부팅을 끕니다.
Azure Linux 신뢰할 수 있는 시작 VM에 연결합니다.
VM이 실행 중인 배포용 SBInfo 도구를 설치합니다. 이 도구는 Linux 보안 패키지 내에 있습니다.
echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list
echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list
echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list
wget https://packages.microsoft.com/keys/microsoft.asc
wget https://packages.microsoft.com/keys/msopentech.asc
sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc
sudo apt update && sudo apt install azure-security
이러한 명령은 RHEL, CentOS 및 기타 Red Hat 기반 배포판에 적용됩니다.
echo "[packages-microsoft-com-azurecore]" | sudo tee -a /etc/yum.repos.d/azurecore.repo
echo "name=packages-microsoft-com-azurecore" | sudo tee -a /etc/yum.repos.d/azurecore.repo
echo "baseurl=https://packages.microsoft.com/yumrepos/azurecore/" | sudo tee -a /etc/yum.repos.d/azurecore.repo
echo "enabled=1" | sudo tee -a /etc/yum.repos.d/azurecore.repo
echo "gpgcheck=0" | sudo tee -a /etc/yum.repos.d/azurecore.repo
sudo yum install azure-security
배포용 Linux 보안 패키지를 설치한 후 sbinfo 명령을 실행하여 서명되지 않은 모든 모듈, 커널 및 부트로더를 표시하여 보안 부팅 실패의 원인이 되는 부팅 구성 요소를 확인합니다.
sudo sbinfo -u -m -k -b
SBInfo 진단 도구에 대해 자세히 알아보려면 sudo sbinfo -help를 실행합니다.
부팅 무결성 모니터링 오류가 발생하는 이유는 무엇인가요?
Azure VM에 대한 신뢰할 수 있는 시작은 지능형 위협에 대해 모니터링됩니다. 이러한 위협이 검색되면 경고가 트리거됩니다. 경고는 클라우드용 Microsoft Defender의 보안 강화 기능이 사용하도록 설정된 경우에만 사용할 수 있습니다.
클라우드용 Microsoft Defender는 주기적으로 증명을 수행합니다. 증명이 실패하면 보통 심각도 경고가 트리거됩니다. 신뢰할 수 있는 시작 증명은 다음과 같은 이유로 실패할 수 있습니다.
TCB(신뢰할 수 있는 컴퓨팅 기반)의 로그가 포함된 증명된 정보가 신뢰할 수 있는 기준(예: 보안 부팅을 사용함)에서 벗어납니다. 편차가 있으면 신뢰할 수 없는 모듈이 로드되어 OS가 손상되었을 수 있음을 나타냅니다.
증명된 VM의 vTPM에서 가져온 증명 견적을 확인할 수 없습니다. 확인 실패는 맬웨어가 존재하며 TPM에 대한 트래픽을 가로채고 있을 수 있음을 나타냅니다.
VM의 증명 확장이 응답하지 않습니다. 응답하지 않는 확장은 맬웨어 또는 OS 관리자에 의한 서비스 거부 공격을 나타냅니다.
인증서
이 섹션에서는 인증서에 대한 정보를 제공합니다.
신뢰할 수 있는 시작 VM으로 신뢰할 수 있는 루트를 설정하려면 어떻게 해야 하나요?
가상 TPM AK 공용 인증서는 전체 인증서 체인(루트 및 중간 인증서)에 대한 정보에 대한 표시 여부를 제공하여 인증서 및 루트 체인에 대한 신뢰의 유효성을 검사하는 데 도움이 됩니다. 신뢰할 수 있는 시작에 대한 최고의 보안 태세를 지속적으로 유지하기 위해 전체 체인을 추적할 수 있도록 인스턴스 속성에 대한 정보를 제공합니다.
다운로드 지침
패키지 인증서가 손상되었습니다. p7b(전체 인증 기관) 및 .cer(중간 CA)는 서명 및 인증 기관을 나타냅니다. 관련 콘텐츠를 복사하고 인증서 도구를 사용하여 인증서의 세부 정보를 검사 및 평가합니다.
Azure VM에 기본 제공되는 Microsoft 소유의 신뢰할 수 있는 인증서는 무엇인가요?
Windows VM의 경우 Windows CA 인증서는 UEFI 펌웨어로 빌드됩니다. Linux VM의 경우 Microsoft UEFI CA 인증서는 UEFI 펌웨어로 빌드됩니다.
Azure Linux VM의 경우에만 모든 Linux 배포에 대한 UEFI 펌웨어에 추가 'Azure Services Linux Kmod PCA' 인증서가 추가됩니다. Linux Kmod PCA는 Microsoft 소유 커널 모듈에 서명하는 데 사용됩니다.
커널 모듈을 설치하는 ASR(Azure Site Recovery)과 같은 Microsoft 솔루션을 사용할 때 고객 환경을 더 원활하게 만들기 위해 Linux Kmod PCA 인증서가 추가되었습니다. ASR 커널 모듈은 신뢰할 수 있는 'Azure Services Linux Kmod PCA' 인증서를 사용하여 서명된 ASR 커널 모듈로 키를 제공하는 고객 작업 없이 로드됩니다.
다운로드 지침
.p7b 및 .cer 구성된 패키지 인증서는 서명 및 인증 기관을 표시합니다. 관련 콘텐츠를 복사하고 인증서 도구를 사용하여 인증서의 세부 정보를 검사 및 평가합니다.
Azure HPC는 최고의 애플리케이션 성능, 스케일링 기능 및 가치를 제공하기 위해 최첨단 프로세서와 HPC급 InfiniBand 상호 연결을 사용하는 HPC 및 AI 워크로드용으로 특화된 클라우드 기능입니다. 사용자는 Azure HPC를 사용하여 비즈니스 및 기술 요구 사항이 달라질 때 동적으로 할당될 수 있는 고가용성의 HPC 및 AI 기술을 통해 뛰어난 혁신, 생산성 및 비즈니스 민첩성을 얻을 수 있습니다. 이 학습 경로는 Azure HPC에서 시작하는 데 도움이 되는 모듈 시리즈입니다. 가장 관심 있는 토픽을 선택하거나 하나씩 진행할 수 있습니다.