암호화된 하드 드라이브
개요
암호화된 하드 드라이브는 하드웨어 수준에서 자체 암호화되고 사용자에게 투명하면서 전체 디스크 하드웨어 암호화를 허용하는 하드 드라이브 클래스입니다. 이러한 드라이브는 BitLocker 드라이브 암호화에서 제공하는 보안 및 관리 이점을 자체 암호화 드라이브의 기능과 결합합니다.
암호화된 하드 드라이브는 암호화 작업을 하드웨어로 오프로드하여 BitLocker 성능을 높이고 CPU 사용량과 전력 소비를 줄입니다. 암호화된 하드 드라이브는 데이터를 빠르게 암호화하므로 생산성에 거의 영향을 주지 않고 엔터프라이즈 장치 전체에서 BitLocker 배포를 확장할 수 있습니다.
암호화된 하드 드라이브는 다음을 제공합니다.
- 성능 향상: 드라이브 컨트롤러에 통합된 암호화 하드웨어를 사용하면 성능 저하 없이 드라이브가 전체 데이터 속도로 작동할 수 있습니다.
- 하드웨어 기반의 강력한 보안: 암호화는 항상 작동 하며 암호화 키는 하드 드라이브를 벗어나지 않습니다. 사용자 인증은 드라이브가 잠금 해제되기 전에 운영 체제와 독립적으로 수행됩니다.
- 사용 편의성: 암호화는 사용자에게 투명하며 사용자는 암호화를 사용하도록 설정할 필요가 없습니다. 암호화된 하드 드라이브는 온보드 암호화 키를 사용하여 쉽게 지워집니다. 드라이브에서 데이터를 다시 암호화할 필요가 없습니다.
- 낮은 소유 비용: BitLocker는 기존 인프라를 사용하여 복구 정보를 저장하므로 암호화 키를 관리하는 새 인프라가 필요하지 않습니다. 프로세서 주기를 암호화 프로세스에 사용할 필요가 없으므로 디바이스가 더 효율적으로 작동합니다.
암호화된 하드 드라이브는 다음 메커니즘을 통해 운영 체제에서 기본적으로 지원됩니다.
- 식별: 운영 체제는 드라이브가 암호화된 하드 드라이브 디바이스 유형임을 식별합니다.
- 활성화: 운영 체제 디스크 관리 유틸리티가 볼륨을 활성화, 생성 및 적절하게 범위/밴드에 매핑합니다.
- 구성: 운영 체제가 볼륨을 만들고 범위/밴드에 적절하게 매핑합니다.
- API: BitLocker 드라이브 암호화와 무관하게 암호화된 하드 드라이브를 관리하는 애플리케이션에 대한 API 지원
- BitLocker 지원: BitLocker 제어판 통합하면 원활한 BitLocker 사용자 환경이 제공됩니다.
Warning
Windows용 자체 암호화 하드 드라이브 및 암호화된 하드 드라이브는 다음과 같은 유형의 디바이스가 아닙니다.
- Windows용 암호화된 하드 드라이브에는 IEEE 1667 규정 준수뿐만 아니라 특정 TCG 프로토콜에 대한 규정 준수가 필요합니다.
- 자체 암호화 하드 드라이브에는 이러한 요구 사항이 없습니다.
배포를 계획할 때 디바이스 유형이 Windows용 암호화된 하드 드라이브인지 확인하는 것이 중요합니다.
운영 체제가 암호화된 하드 드라이브를 식별하면 보안 모드가 활성화됩니다. 이 활성화를 통해 드라이브 컨트롤러는 호스트 컴퓨터가 만드는 모든 볼륨에 대한 미디어 키를 생성할 수 있습니다. 디스크 외부에 노출되지 않는 미디어 키는 디스크에서 보내거나 받은 데이터의 모든 바이트를 신속하게 암호화하거나 해독하는 데 사용됩니다.
암호화된 하드 드라이브를 구현하는 방법에 대한 자세한 내용은 암호화된 하드 드라이브 디바이스 가이드를 참조하세요.
시스템 요구 사항
암호화된 하드 드라이브를 사용하려면 다음 시스템 요구 사항이 적용됩니다.
데이터 드라이브로 사용되는 암호화된 하드 드라이브의 경우:
- 드라이브가 초기화되지 않은 상태여야 합니다.
- 드라이브가 보안 비활성 상태여야 합니다.
시작 드라이브로 사용되는 암호화된 하드 드라이브의 경우:
- 드라이브가 초기화되지 않은 상태여야 합니다.
- 드라이브가 보안 비활성 상태여야 합니다.
- 컴퓨터는 UEFI 2.3.1 기반이어야 하며 이 정의되어 있어야
EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL
합니다. 이 프로토콜은 EFI 부팅 서비스 환경에서 실행되는 프로그램이 드라이브에 보안 프로토콜 명령을 보낼 수 있도록 하는 데 사용됩니다. - 컴퓨터에 UEFI에서 CSM(호환성 지원 모듈)이 비활성화되어 있어야 합니다.
- 컴퓨터는 항상 UEFI에서 기본적으로 부팅해야 합니다.
Warning
제대로 작동하려면 암호화된 모든 하드 드라이브를 비 RAID 컨트롤러에 연결해야 합니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 암호화된 하드 드라이브를 지원하는 Windows 버전이 나와 있습니다.
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
예 | 예 | 예 | 예 |
암호화된 하드 드라이브 라이선스 자격은 다음 라이선스에 의해 부여됩니다.
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
예 | 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.
암호화된 하드 드라이브를 시작 드라이브로 구성
암호화된 하드 드라이브를 시작 드라이브로 구성하려면 표준 하드 드라이브와 동일한 방법을 사용합니다.
- 미디어에서 배포: 암호화된 하드 드라이브의 구성은 설치 프로세스를 통해 자동으로 수행됩니다.
- 네트워크에서 배포: 이 배포 방법에는 Windows PE 환경을 부팅하고 이미징 도구를 사용하여 네트워크 공유에서 Windows 이미지를 적용하는 작업이 포함됩니다. 이 방법을 사용하면 고급 스토리지 선택적 구성 요소가 Windows PE 이미지에 포함되어야 합니다. 서버 관리자, Windows PowerShell 또는 DISM 명령줄 도구를 사용하여 이 구성 요소를 사용하도록 설정합니다. 구성 요소가 없는 경우 암호화된 하드 드라이브의 구성이 작동하지 않습니다.
-
서버에서 배포: 이 배포 방법에는 암호화된 하드 드라이브가 있는 클라이언트를 부팅하는 PXE가 포함됩니다. 암호화된 하드 드라이브의 구성은 고급 스토리지 구성 요소가 PXE 부팅 이미지에 추가될 때 이 환경에서 자동으로 수행됩니다. 배포하는 동안 의 TCGSecurityActivationDisabled 설정은
unattend.xml
암호화된 하드 드라이브의 암호화 동작을 제어합니다. - 디스크 중복: 이 배포 방법에는 이전에 구성된 디바이스 및 디스크 중복 도구를 사용하여 암호화된 하드 드라이브에 Windows 이미지를 적용하는 작업이 포함됩니다. 디스크 중복자를 사용하여 만든 이미지가 작동하지 않음
정책 설정을 사용하여 하드웨어 기반 암호화 구성
BitLocker가 하드웨어 기반 암호화를 사용하는 방법과 사용할 암호화 알고리즘을 관리하는 세 가지 정책 설정이 있습니다. 암호화된 드라이브가 장착된 시스템에서 이러한 설정을 구성하거나 사용하지 않도록 설정하지 않으면 BitLocker는 소프트웨어 기반 암호화를 사용합니다.
- 고정 데이터 드라이브에 대한 하드웨어 기반 암호화 사용 구성
- 이동식 데이터 드라이브에 대한 하드웨어 기반 암호화 사용 구성
- 운영 체제 드라이브에 대한 하드웨어 기반 암호화 사용 구성
암호화된 하드 드라이브 아키텍처
암호화된 하드 드라이브는 디바이스에서 두 개의 암호화 키를 활용하여 드라이브의 데이터 잠금 및 잠금 해제를 제어합니다. 이러한 암호화 키는 DEK( 데이터 암호화 키 ) 및 AK( 인증 키 )입니다.
- 데이터 암호화 키는 드라이브의 모든 데이터를 암호화하는 데 사용됩니다. 드라이브는 DEK를 생성하고 디바이스를 나가지 않습니다. 드라이브의 임의의 위치에 암호화된 형식으로 저장됩니다. DEK가 변경되거나 지워지면 DEK를 사용하여 암호화된 데이터는 복구할 수 없습니다.
- AK는 드라이브의 데이터 잠금을 해제하는 데 사용되는 키입니다. 키의 해시가 드라이브에 저장되며 DEK의 암호를 해독하려면 확인이 필요합니다.
암호화된 하드 드라이브가 있는 디바이스가 전원이 꺼진 상태이면 드라이브가 자동으로 잠급니다. 디바이스가 켜짐에 따라 디바이스는 잠긴 상태로 유지되며 AK가 DEK의 암호를 해독한 후에만 잠금이 해제됩니다. AK가 DEK의 암호를 해독하면 디바이스에서 읽기-쓰기 작업이 수행됩니다.
데이터가 드라이브에 기록되면 쓰기 작업이 완료되기 전에 암호화 엔진을 통과합니다. 마찬가지로 드라이브에서 데이터를 읽으려면 암호화 엔진이 해당 데이터를 사용자에게 다시 전달하기 전에 데이터의 암호를 해독해야 합니다. AK를 변경하거나 지워야 하는 경우 드라이브의 데이터를 다시 암호화할 필요가 없습니다. 새 인증 키를 만들고 DEK를 다시 암호화해야 합니다. 완료되면 이제 새 AK를 사용하여 DEK의 잠금을 해제할 수 있으며 볼륨에 대한 읽기-쓰기를 계속할 수 있습니다.
암호화된 하드 드라이브 다시 구성
많은 암호화된 하드 드라이브 디바이스가 사용하도록 미리 구성되어 있습니다. 드라이브를 재구성해야 하는 경우 사용 가능한 모든 볼륨을 제거하고 드라이브를 초기화되지 않은 상태로 되돌려 낸 후 다음 절차를 따르세요.
- 디스크 관리 열기(
diskmgmt.msc
) - 디스크를 초기화하고 적절한 파티션 스타일(MBR 또는 GPT)을 선택합니다.
- 디스크에 하나 이상의 볼륨을 만듭니다.
- BitLocker 설정 마법사를 사용하여 볼륨에서 BitLocker를 사용하도록 설정합니다.