Azure Disk Encryption 문제 해결 가이드

  • 아티클

적용 대상: ✔️ Windows VM ✔️ 유연한 확장 집합

이 가이드는 조직에서 Azure Disk Encryption을 사용하는 IT 전문가, 정보 보안 분석가 및 클라우드 관리자를 위한 것입니다. 이 문서는 디스크 암호화 관련 문제를 해결하는 데 도움을 드리기 위해 작성되었습니다.

이 단계를 수행하기 전에 먼저 암호화하려는 VM이 지원되는 VM 크기 및 운영 체제에 속하는지와 모든 필수 조건을 충족하는지 확인합니다.

'DiskEncryptionData를 보내지 못했습니다.' 문제 해결

"DiskEncryptionData를 보내지 못했습니다..."라는 오류 메시지와 함께 VM 암호화가 실패하는 경우 일반적으로 다음 상황 중 하나로 인해 발생합니다.

  • Virtual Machine과 다른 지역 및/또는 구독에 Key Vault가 있습니다.
  • Key Vault의 고급 액세스 정책은 Azure Disk Encryption을 허용하도록 설정되어 있지 않습니다.
  • 키 암호화 키는 사용 중일 때 Key Vault에서 비활성화되었거나 삭제되었습니다.
  • Key Vault 또는 KEK(키 암호화 키)에 대한 리소스 ID 또는 URL의 오타
  • VM, 데이터 디스크 또는 키의 이름을 지정하는 동안 사용되는 특수 문자입니다. 예: _VMName, élite 등.
  • 지원되지 않는 암호화 시나리오
  • VM/호스트가 필요한 리소스에 액세스하지 못하게 하는 네트워크 문제

제안

참고 항목

disk-encryption-keyvault 매개 변수의 값에 대한 구문은 전체 식별자 문자열입니다./subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
키 암호화-키 매개 변수의 값에 대한 구문은 https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]에서와 같은 KEK의 전체 URI입니다.

방화벽 뒤에 있는 Azure Disk Encryption 문제 해결

방화벽, 프록시 요구 사항 또는 NSG(네트워크 보안 그룹) 설정으로 연결이 제한되면 필요한 작업을 수행할 수 있는 확장의 기능이 중단될 수 있습니다. 이러한 중단으로 인해 "VM에서 확장 상태를 사용할 수 없음"과 같은 상태 메시지가 나타날 수 있으며 예상되는 시나리오에서 암호화가 완료되지 않습니다. 다음 섹션에서는 조사할 수 있는 몇 가지 일반적인 방화벽 문제가 나와 있습니다.

네트워크 보안 그룹

적용되는 모든 네트워크 보안 그룹 설정은 엔드포인트에서도 디스크 암호화에 대해 문서화된 네트워크 구성 필수 조건을 충족해야 합니다.

방화벽 뒤에 있는 Azure Key Vault

Microsoft Entra 자격 증명에 암호화가 사용하도록 설정된 경우 대상 VM은 Microsoft Entra 엔드포인트 및 Key Vault 엔드포인트 모두에 대한 연결을 허용해야 합니다. 현재 Microsoft Entra 인증 엔드포인트는 Microsoft 365 URL 및 IP 주소 범위 설명서의 56 및 59 섹션에서 유지 관리됩니다. Key Vault 지침은 방화벽 뒤에 있는 Azure Key Vault에 액세스하는 방법에 관한 설명서에서 제공됩니다.

Azure Instance Metadata Service

VM은 Azure 플랫폼 리소스 통신에 사용되는 Azure Instance Metadata Service 엔드포인트(169.254.169.254) 및 가상 공용 IP 주소(168.63.129.16)에 액세스할 수 있어야 합니다. 이 주소에 대한 로컬 HTTP 트래픽을 변경하는(예: X-Forwarded-For 헤더 추가) 프록시 구성은 지원되지 않습니다.

Windows Server 2016 Server Core 문제 해결

Windows Server 2016 Server Core에서 bdehdcfg 구성 요소는 기본적으로 사용할 수 없습니다. 이 구성 요소는 Azure Disk Encryption에 필요합니다. VM의 수명 동안 한 번만 수행되는 OS 볼륨에서 시스템 볼륨을 분할하는 데 사용됩니다. 이러한 이진 파일은 이후 암호화 작업 중 필요하지 않습니다.

이 문제를 해결하려면 Windows Server 2016 Data Center VM의 다음 4개 파일을 Server Core의 동일한 위치에 복사합니다.

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

  1. 다음 명령을 입력합니다.

    bdehdcfg.exe -target default

  2. 이 명령은 550MB 시스템 파티션을 만듭니다. 시스템을 다시 부팅합니다.

  3. DiskPart를 사용하여 볼륨을 확인한 다음 계속합니다.

예시:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

암호화 상태 문제 해결

포털은 VM 내에서 암호화되지 않은 경우에도 디스크를 암호화된 상태로 표시할 수 있습니다. 상위 수준의 Azure Disk Encryption 관리 명령을 사용하는 대신 낮은 수준의 명령을 사용하여 VM 내에서 디스크의 암호를 직접 해독하면 이 상황이 발생할 수 있습니다. 상위 수준의 명령은 VM 내에서 디스크의 암호를 해독할 뿐만 아니라 VM 외부에서 중요한 플랫폼 수준 암호화 설정 및 VM에 연결된 확장 설정도 업데이트합니다. 이러한 설정이 그대로 유지되지 않으면 플랫폼이 암호화 상태를 보고하거나 VM을 올바르게 프로비저닝할 수 없습니다.

PowerShell을 사용하여 Azure Disk Encryption을 사용하지 않도록 설정하려면 Disable-AzVMDiskEncryptionRemove-AzVMDiskEncryptionExtension을 차례로 사용합니다. 암호화를 사용하지 않도록 설정하기 전에 Remove-AzVMDiskEncryptionExtension을 실행하면 오류가 발생합니다.

CLI를 사용하여 Azure Disk Encryption을 사용하지 않도록 설정하려면 az vm encryption disable을 사용합니다.

다음 단계

이 문서에서는 일반적인 Azure Disk Encryption 문제와 해당 문제 해결 방법에 대해 자세히 알아보았습니다. 이 서비스 및 기능에 대한 자세한 내용은 다음 문서를 참조하세요.