영어로 읽기

다음을 통해 공유


Surface 보안 개요

사이버 위협이 진화함에 따라 사이버 위협에 대처하기 위한 전략도 진화해야 합니다. Microsoft Surface는 하드웨어에서 클라우드 서비스, 제품 개념에서 서비스 해제에 이르기까지 모든 수준에서 고급 보안 기능을 기본적으로 포함하여 새로운 위협을 해결하기 위한 사전 예방적 "제로 트러스트" 접근 방식을 채택하여 Surface 디바이스가 수명 주기 내내 매우 안전하고 적응 가능하며 복원력을 유지할 수 있도록 합니다.

칩-클라우드 보안은 Surface 전략의 핵심입니다. 기본적으로 강력한 Windows 11 보안 기능을 사용하는 강력한 플랫폼 보호를 제공합니다. AI 지원 미래를 향해 나아가면서 Surface는 조직이 기본 제공 보호의 기초를 사용하여 하드웨어, OS, 데이터, 앱 및 ID 전반에 걸쳐 보안 태세를 강화할 수 있도록 지원합니다.

보안 Surface 공급망

Surface 디바이스가 "설계상 안전하고, 기본적으로 안전하며, 배포 시 안전"되도록 하기 위해 Microsoft는 전체 제품 수명 주기에 엄격한 보안 제어를 적용합니다. 이러한 컨트롤은 물리적 하드웨어 및 소프트웨어 구성 요소를 모두 다룹니다. Surface 장치는 개념에서 시작하여 디자인, 개발, 생산, 배달 및 유지 관리를 통해 엄격한 보안 검토를 받습니다. 이러한 포괄적인 보안 검토는 디바이스 수명 주기 전반에 걸쳐 원활한 신뢰 체인을 지원합니다.

제조 수준에서 Microsoft는 랜섬웨어, 피싱 및 맬웨어와 같은 잠재적 위협을 방지하기 위해 정기적인 공급업체 감사를 수행합니다. 또한 Surface 장치는 전 세계 무역을 더욱 보호하고 전 세계 Surface 장치 배송을 위한 안전한 물류를 지원하는 C-TPAT(관세 무역 파트너십)TAPA(운송 자산 보호 협회) 보안 프로그램의 혜택을 누릴 수 있습니다.

소프트웨어의 경우 Microsoft는 SDL(보안 개발 수명 주기) 을 개발하고 모든 제품에 이 프레임워크를 적용하여 변화하는 위협 환경 및 미국 행정 명령 14028("국가 사이버 보안 개선") 과 같은 규제 요구에 사전에 적응했습니다. 또한 Microsoft와 공급업체는 소프트웨어 구성 요소에 디지털 서명하고, 통신을 위해 보안 채널 및 프로토콜을 사용하고, 잠재적인 문제를 해결하기 위해 Surface 디바이스에 시기적시 및 정기적인 업데이트를 제공해야 합니다. 마지막으로 Surface UEFI 개발 파트너는 Microsoft의 오픈 소스 Project Mu와 협력하여 모든 Surface 장치에 대해 완전히 Microsoft 소유의 통합 확장성 펌웨어 인터페이스(UEFI) 스택 을 제공하여 비 Microsoft 펌웨어 공급자에 대한 의존도를 줄여 장치의 가장 낮고 가장 민감한 수준에 대한 투명성과 보호를 제공합니다.

Microsoft는 하드웨어 디자인과 펌웨어 개발을 모두 소유함으로써 공급망 위험을 최소화하여 잠재적인 취약성에 대한 신속한 대응을 허용합니다. 이러한 사전 예방 사례를 통해 Surface 디바이스는 디지털 및 물리적 공급망 보안 모두에 대한 최고 표준을 충족하도록 설계되었습니다. 이 통합된 사내 접근 방식은 공장을 떠나기 전에 Surface 장치의 보안을 강화합니다.

Microsoft에서 디자인한 & 빌드된 구성 요소

Microsoft는 모든 작업 환경에서 고객에게 포괄적인 제어, 사전 예방적 보호 및 안심을 제공하기 위해 Surface 장치를 설계하고 유지 관리합니다. Surface 장치에는 정교한 공격으로부터 보호하고 디바이스 관리를 간소화하기 위한 Microsoft의 선도적인 보안 기능이 장착되어 있습니다.

기본 제공 Surface 보안

전원 버튼을 누르는 순간부터 장치를 종료하는 시간까지 Surface는 수명 주기의 모든 단계에서 최첨단 기본 제공 보안을 제공합니다.

기본적으로 Windows 11 실행하는 모든 Surface 디바이스는 다양한 보안 작업을 위해 암호화 키를 변조하고 관리하여 플랫폼 무결성을 보장하는 데 도움이 되는 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0을 사용합니다. TPM은 하드웨어 기반 보안 경계를 만들어 디바이스가 신뢰할 수 있는 상태로 부팅되도록 하는 전용 모듈인 하드웨어 신뢰 루트를 지원합니다. TPM 및 루트 of Trust는 통합 암호화 및 보안 작업을 위한 보안 앵커 역할을 하며 BitLocker, VBS(가상화 기반 보안), 메모리 무결성/HVCI, 비즈니스용 Windows Hello 위한 향상된 Sign-In 보안(ESS) 및 기타 보안 작업에 대한 보안 기반을 설정합니다.

VBS와 HVCI에서 각각 제공하는 가상화 및 무결성 검사를 통해 디바이스의 커널은 보안 커널의 운영 체제와 별도로 호스트됩니다. 즉, 운영 체제가 손상되더라도 커널은 여전히 보호됩니다. 또한 커널 DMA 보호 는 메모리에 대한 무단 액세스를 얻는 외부 주변 장치로부터 커널을 보호하여 DMA(직접 메모리 액세스) 드라이브 바이 공격으로부터 디바이스 메모리를 보호하는 데 도움이 됩니다.

전원 켜기 시 디바이스 부팅의 무결성을 지원하기 위해 보안 부팅은 디바이스의 신뢰 루트를 사용하여 인증되지 않은 펌웨어가 부팅 시 실행되지 않도록 방지합니다. Microsoft에서 빌드한 UEFITPM 2.0에서 사용하도록 설정하면 OS가 로드되기 전에 권한 있는 펌웨어만 실행되도록 할 수 있습니다. 이 펌웨어는 Microsoft, IHV(Independent Hardware Vendors) 또는 승인된 오픈 소스 리포지토리에서 시작되어야 하며 전송 및 디바이스로 프로비전하는 동안 수정되지 않은 상태로 유지되어야 합니다. 이 프로세스는 전원 단추를 누르는 것부터 OS 시작까지 부팅 시퀀스의 각 단계에서 펌웨어의 무결성을 보호합니다. System Guard 보안 실행의 일환으로 Surface 디바이스는 부팅 프로세스의 무결성을 보장하고 펌웨어 수준 공격으로부터 방어하도록 설계된 하드웨어 기반 신뢰 루트를 설정하는 DRTM(Dynamic Root of Trust Measurement) 또는 FASR(펌웨어 공격 표면 감소) 사용하여 부팅을 보호합니다.

이러한 기본 제공 보안 기능의 대부분은 하드웨어, 펌웨어 및 가상화를 통합하여 맬웨어, 물리적 소유 문제(예: 손실 또는 도난) 및 액세스 공격을 포함한 다양한 위협으로부터 디바이스를 보호하는 SCPC(Secured-Core PC)의 토대를 형성합니다. SCPC는 디바이스가 손상된 경우에도 데이터를 보호하는 데 도움이 됩니다.

2021년 말부터 Windows 11 실행하는 모든 Surface 장치는 Secured-Core PC로, 최고 수준의 보호 기능을 기본으로 사용할 수 있습니다. 다음 보안 기능은 모든 SCPC Surface 디바이스에서 기본적으로 사용하도록 설정된 이러한 기능의 하위 집합입니다.

기능 Description 더 알아보세요
TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 변조를 방지하고 시스템 드라이브 잠금 해제, 디스크 암호화, 부팅 프로세스 측정 및 생체 인식 인증과 같은 기능에 대한 암호화 키를 생성 및 관리하는 보안 메커니즘을 제공하여 플랫폼 무결성을 보장하는 보안 암호화 프로세서입니다. TPM(신뢰할 수 있는 플랫폼 모듈) 기술 개요
하드웨어 신뢰 루트 디바이스의 TPM 및 신뢰 루트 측정 기능을 적용하여 펌웨어 취약성을 완화하여 신뢰할 수 있는 부팅 상태를 설정하는 데 도움이 됩니다. 하드웨어 기반 보안 경계를 만들어 OS에서 시스템 메모리를 격리하여 중요한 서비스 및 중요한 데이터를 OS 취약성으로부터 보호하고 증명을 통해 시스템 무결성을 지원합니다. 하드웨어 신뢰 루트
BitLocker 분실, 도난 또는 불충분하게 해제된 디바이스에서 데이터 도난 또는 데이터 노출의 위협을 해결하기 위한 암호화를 제공합니다. 사용하도록 설정하면 BitLocker는 디바이스가 무단으로 처리되더라도 데이터에 액세스할 수 없도록 하는 데 도움이 됩니다. BitLocker 개요
VBS(가상화 기반 보안) 하드웨어 가상화를 사용하여 일반 운영 체제에서 안전한 메모리 영역을 만들고 격리합니다. Windows는 이 "가상 보안 모드"를 사용하여 여러 보안 솔루션을 호스트하여 OS의 잠재적인 취약성 또는 악용으로부터 보안 작업을 보호할 수 있습니다. VBS(가상화 기반 보안)
메모리 무결성

HVCI(하이퍼바이저 적용 코드 무결성)라고도 함
운영 체제의 높은 권한 영역인 커널에서 코드 무결성을 유지하는 데 도움이 됩니다. 실행 전에 모든 커널 모드 드라이버 및 이진 파일을 확인하고 서명되지 않은 드라이버 또는 시스템 파일이 메모리에 로드되지 않도록 차단합니다. 격리된 환경 내에서 작동하면 커널 서명 정책에 따라 커널 코드 무결성을 확인합니다. 코드 무결성의 가상화 기반 보호 사용 설정
ESS(향상된 Sign-In 보안) 인증을 위해 생체 인식의 격리되고 안전한 통신을 위해 VBS 및 TPM 2.0을 사용하여 생체 인식 암호 없는 로그인으로 Windows Hello 수 있습니다. 향상된 로그인 보안 Windows Hello
비즈니스용 Windows Hello ESS(보안 생체 인식) 또는 PIN 및 엔터프라이즈 ID에 연결된 디바이스별 자격 증명을 기반으로 하는 2단계 인증을 사용하여 암호 없는 로그인을 허용합니다. 이 인증 방법은 사용자에게 향상된 보안 및 편의를 제공합니다. 비즈니스용 Windows Hello 작동 방식
보안 커널 모든 코드 무결성 정책 검사가 통과하도록 하여 Windows OS로부터 보호하기 위해 가상화된 환경 내에서 작동합니다. 잠재적인 OS 취약성으로부터 커널 보호를 위해 격리된 환경에 VBS 및 HVCI를 사용합니다. 보안 커널
커널 DMA 보호 외부 주변 장치가 메모리에 무단으로 액세스하지 못하도록 보호합니다. 드라이브 기반 DMA 공격으로부터 보호할 수 있습니다. 커널 DMA 보호
Microsoft에서 빌드한 UEFI 디바이스를 구성하고 Microsoft 및 Surface가 공동으로 개발한 OS를 부팅하는 펌웨어입니다. 펌웨어 런타임 서비스를 제공하고 Microsoft Intune 통해 클라우드 기반 또는 온-프레미스 관리를 통해 하드웨어에 대한 제어를 크게 향상시킵니다. Surface UEFI: 업계 최고의 보안 PC를 구축하기 위한 부팅, 보안 & 디바이스 관리의 발전



Surface UEFI 설정 관리
보안 부팅 다음 부팅 단계로 전달하기 전에 각 부팅 소프트웨어의 서명을 확인하여 디바이스가 신뢰할 수 있는 소프트웨어만 부팅하도록 합니다. 이 프로세스는 UEFI, 부팅 로더, 커널 및 애플리케이션 환경 간에 서명 적용 핸드오프를 설정하여 부팅 시퀀스에서 맬웨어 공격 또는 기타 잠재적 위협을 차단합니다. 보안 부팅
DRTM(동적 신뢰 루트 측정) 시스템 무결성을 지원하기 위해 런타임 동안 동적으로 설정된 하드웨어 신뢰 루트에 대한 알려진 코드 경로와 측정된 코드 경로로 CPU를 강제로 강제하여 신뢰할 수 없는 상태에서 디바이스를 부팅합니다. Windows 10 보안 시작에서 펌웨어 코드를 측정하고 테스트하도록 강제 적용
FASR(펌웨어 공격 표면 감소) 펌웨어 환경에서 실행 코드를 제한하여 잠재적 공격에 대한 펌웨어의 노출을 최소화하는 인증된 부팅 경로를 설정합니다. FASR(펌웨어 공격 표면 감소)

Surface 상업용 보안 이점

원격 관리

IT 관리자는 Surface 디바이스를 원격으로 관리할 수 있습니다. IntuneWindows Autopilot이 있는 Microsoft Intune 관리 센터를 사용하면 Azure Cloud에서 Surface 디바이스를 완전히 원격으로 관리하여 시작 시 완전히 구성된 디바이스를 사용자에게 제공할 수 있습니다. 초기화 및 사용 중지 기능을 사용하면 IT에서 새 원격 사용자를 위해 디바이스를 신속하게 용도 변경하거나 도난당한 디바이스를 초기화할 수 있습니다. 이러한 기능을 통해 신속하고 안전한 응답을 가능하게 하여 모든 회사 데이터를 원격으로 제거하고 Surface를 완전히 새로운 장치로 재구성할 수 있습니다.

MICROSOFT INTUNE 일부로 DFCI(디바이스 펌웨어 구성 인터페이스)를 사용하면 하드웨어의 원격 사용 안 함 및 UEFI 설정 잠금을 비롯한 펌웨어 설정을 클라우드 기반으로 관리할 수 있습니다. 이와 유사한 대안으로, SEMM(Surface Enterprise Management Mode)은 organization 내에서 펌웨어 설정을 보호하고 관리하는 또 다른 관리 솔루션입니다.

반응형 보안

빠르게 진화하는 디지털 시대에 신속하고 사전에 대응하는 능력이 가장 중요합니다. 엔드포인트용 Microsoft Defender 지능형 위협으로부터 AI 기반의 실시간 보호를 제공하여 중요한 데이터와 통신을 보호합니다. 조직은 펌웨어 및 OS 애플리케이션 모두의 Microsoft 유지 관리 스택을 사용하여 비즈니스용 Windows 업데이트 활용할 수 있습니다. 이 서비스는 최신 보안 보호를 통해 시스템을 최신 상태로 유지하고 이미 의뢰된 디바이스의 IT 관리를 허용합니다.

기능 Description 더 알아보세요
Microsoft Intune 조직에서 사용자 액세스, 앱 및 디바이스를 관리하고 회사 리소스에 대한 보안 액세스를 보장하는 데 도움이 되는 클라우드 기반 엔드포인트 관리 솔루션입니다. 디바이스 규정 준수를 적용하고, 방어 서비스와 통합하고, ID 및 앱 데이터를 보호하여 제로 트러스트 보안 모델을 지원합니다. Microsoft Intune ID를 안전하게 관리하고, 앱을 관리하고, 디바이스를 관리합니다.
Windows Autopilot 새 디바이스를 클라우드 기반 설정 및 미리 구성하여 생산적인 사용을 준비하고 IT 관리자의 부담을 최소화할 수 있습니다. Windows 디바이스 수명 주기를 간소화하기 위해 디바이스를 다시 설정, 용도 변경 또는 복구하는 데 사용할 수도 있습니다. Windows Autopilot 개요
DFCI(디바이스 펌웨어 구성 인터페이스) Windows Autopilot에 등록되고 Microsoft Intune 통해 관리되는 디바이스에서 UEFI 설정을 원격으로 관리할 수 있습니다. 펌웨어 설정을 원격으로 제어하고, 하드웨어 구성 요소를 사용하지 않도록 설정하고, 디바이스 보안을 강화하기 위해 권한 있는 구성을 적용할 수 있습니다. Surface 장치에서 DFCI 관리
Surface 엔터프라이즈 관리 모드(SEMM) 온-프레미스, 하이브리드 및 클라우드 환경에서 UEFI 펌웨어 설정을 중앙 집중식으로 관리할 수 있습니다. IT 관리자가 UEFI 구성 설정을 준비하고 Surface 디바이스에 설치할 수 있습니다. Surface Enterprise 관리 모드 시작
엔드포인트용 Microsoft Defender 정교한 위협을 감지, 방지 및 대응하는 엔터프라이즈급 보안 플랫폼입니다. 관리되는 Surface 디바이스에 대한 강력한 AI 기반 엔드포인트 보안을 제공합니다. 엔드포인트용 Microsoft Defender
비즈니스용 Windows 업데이트 IT 관리자는 이러한 시스템을 Windows 업데이트 서비스에 직접 연결하여 최신 보안 업데이트 및 Windows 기능으로 organization Windows 클라이언트 디바이스를 항상 최신 상태로 유지할 수 있습니다. 비즈니스용 Windows 업데이트란 무엇인가요?

보안 크기 조정

위협 환경이 발전함에 따라 Surface는 일부 디바이스에서 더 많은 보안 기능을 채택하기 시작했습니다. 이러한 기능은 아직 Surface 제품의 전체 포트폴리오에 통합되지 않았지만 향후 몇 년 동안 다양한 제품 라인에서 확장되고 있습니다. 제품별 몇 가지 보안 기능은 다음과 같습니다.

기능 Description 더 알아보세요
메모리 안전 확장 프로그래밍 언어인 Rust는 기존 C 코드에 비해 취약성을 최대 70%까지 줄일 수 있는 특정 메모리 안전 보장을 보장합니다. Surface 소프트웨어 및 펌웨어 내의 대상 구성 요소는 UEFI 및 MCU(Microcontroller Unit) 스택의 일부로 시작하여 Rust 드라이버 개발을 위한 드라이버 프레임워크를 만드는 Rust로 변환되고 있습니다. Project Mu를 통한 UEFI 개발을 위한 Rust 지원



오픈 소스 Rust 드라이버 개발 플랫폼
Microsoft Pluton 보안 프로세서 Microsoft Pluton 보안 프로세서는 디바이스 코어의 보안을 위해 CPU에 기본 제공되는 보안 암호화 프로세서입니다. Microsoft Pluton 보안 프로세서
Microsoft Pluton TPM Microsoft Pluton은 중요한 정보 및 암호화 키를 보호하기 위해 신뢰의 실리콘 루트에 대해 TPM 2.0을 지원합니다. 또한 Windows 업데이트 통해 보안 향상을 수집할 수 있습니다. Microsoft Pluton을 신뢰할 수 있는 플랫폼 모듈로
Copilot+ PC 디바이스 내에서 AI(인공 지능) 환경 및 작업을 가속화하는 기본 제공 NPU(신경 처리 장치)가 있는 PC. Surface의 Copilot+ PC 및 Windows 11 PC에 대해 자세히 알아보기

이러한 보안 기능은 크기가 조정되지만 더 많은 Surface 디바이스가 기본값으로 제품에 통합됩니다. instance 경우 디바이스 내에서 AI(인공 지능) 환경 및 작업을 가속화하는 NPU(인공 지능 처리 장치)가 내장된 새로운 Windows PC인 Copilot+ PC에는 이 페이지에 설명된 전체 Surface 보안 기능 제품군 외에도 기본적으로 사용하도록 설정된 Microsoft Pluton 프로세서가 포함되어 있습니다.

참조

FASR 기능은 Intel에서 디자인한 Surface 제품 전용입니다. FASR은 Qualcomm(QC) 또는 AMD 프로세서로 설계된 Surface 제품에는 적용되지 않습니다.