Azure Virtual Machines를 위한 신뢰할 수 있는 시작
적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합
Azure는 2세대 VM의 보안을 개선하기 위한 원활한 방법으로 신뢰할 수 있는 시작을 제공합니다. 신뢰할 수 있는 시작은 고급 및 영구 공격 기술로부터 보호합니다. 신뢰할 수 있는 시작은 독립적으로 사용하도록 설정할 수 있는 몇 가지 조정된 인프라 기술로 구성되어 있습니다. 각 기술은 정교한 위협에 대한 또 다른 방어 계층을 제공합니다.
Important
- 신뢰할 수 있는 시작은 새로 만든 Azure VM의 기본 상태로 선택됩니다. 새 VM에 신뢰할 수 있는 시작에서 지원되지 않는 기능이 필요한 경우 신뢰할 수 있는 시작 FAQ를 참조 하세요.
- 기존 Azure 2세대 VM은 생성된 후 신뢰할 수 있는 시작을 사용하도록 설정할 수 있습니다. 자세한 내용은 기존 VM에서 신뢰할 수 있는 시작 사용을 참조하세요.
- 처음에 만든 기존 VMSS(가상 머신 확장 집합)에는 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다. 신뢰할 수 있는 시작에는 새 VMSS를 생성해야 합니다.
이점
- 확인된 부트 로더, OS 커널 및 드라이버를 사용하여 가상 머신을 안전하게 배포합니다.
- 가상 머신에서 키, 인증서 및 비밀을 안전하게 보호합니다.
- 전체 부팅 체인의 무결성에 대한 인사이트와 확신을 얻으세요.
- 워크로드를 신뢰할 수 있고 확인할 수 있는지 확인합니다.
Virtual Machines 크기
| Type | 지원되는 크기 패밀리 | 현재 지원되지 않는 크기 패밀리 | 지원되지 않는 크기 패밀리 |
|---|---|---|---|
| 범용 | B 시리즈, DCsv2 시리즈, DCsv3 시리즈, DCdsv3 시리즈, Dv4 시리즈, Dsv4 시리즈, Dsv3 시리즈, Dsv2 시리즈, Dav4 시리즈, Dasv4 시리즈, Ddv4 시리즈, Ddsv4 시리즈, Dv5 시리즈, Dsv5 시리즈, Ddv5 시리즈, Ddsv5 시리즈, Dasv5 시리즈, Dadsv5 시리즈, Dlsv5 시리즈, Dldsv5 시리즈 | Dpsv5 시리즈, Dpdsv5 시리즈, Dplsv5 시리즈, Dpldsv5 시리즈 | Av2 시리즈, Dv2 시리즈, Dv3 시리즈 |
| 컴퓨팅 최적화 | FX 시리즈, Fsv2 시리즈 | 지원되는 모든 크기. | |
| 메모리에 최적화 | Dsv2 시리즈, Esv3 시리즈, Ev4 시리즈, Esv4 시리즈, Edv4 시리즈, Edsv4 시리즈, Eav4 시리즈, Easv4 시리즈, Easv5 시리즈, Eadsv5 시리즈, Ebsv5 시리즈, Ebdsv5 시리즈, Edv5 시리즈, Edsv5 시리즈 | Epsv5 시리즈, Epdsv5 시리즈, M 시리즈, Msv2 시리즈, Mdsv2 중간 메모리 시리즈, Mv2 시리즈 | Ev3 시리즈 |
| 스토리지 최적화 | Lsv2 시리즈, Lsv3 시리즈, Lasv3 시리즈 | 지원되는 모든 크기. | |
| GPU | NCv2 시리즈, NCv3 시리즈, NCasT4_v3 시리즈, NVv3 시리즈, NVv4 시리즈, NDv2 시리즈, NC_A100_v4 시리즈, NVadsA10 v5 시리즈 | NDasrA100_v4 시리즈, NDm_A100_v4 시리즈 | NC 시리즈, NV 시리즈, NP 시리즈 |
| 고성능 컴퓨팅 | HB 시리즈, HBv2 시리즈, HBv3 시리즈, HBv4 시리즈, HC 시리즈, HX 시리즈 | 지원되는 모든 크기. |
참고 항목
- 보안 부팅을 사용하도록 설정된 Windows VM에 CUDA 및 GRID 드라이버를 설치하는 경우 추가 단계가 필요하지 않습니다.
- 보안 부팅 지원 Ubuntu VM에 CUDA 드라이버를 설치하려면 Linux를 실행하는 N 시리즈 VM에 NVIDIA GPU 드라이버 설치에 설명된 추가 단계가 필요합니다. 다른 Linux VM에 CUDA 드라이버를 설치하기 위해서는 보안 부팅을 사용하지 않도록 설정해야 합니다.
- GRID 드라이버를 설치하려면 Linux VM에 대해 보안 부팅을 사용하지 않도록 설정해야 합니다.
- 지원되지 않는 크기 패밀리는 2세대 VM을 지원하지 않습니다. 신뢰할 수 있는 시작을 사용하도록 설정하기 위해 VM 크기를 해당하는 는 크기 패밀리로 변경합니다.
지원되는 운영 체제
| OS | 버전 |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise 다중 세션 * |
| Windows 11 | Pro, Enterprise, Enterprise 다중 세션 * |
| Windows Server | 2016, 2019, 2022 * |
| Window Server(Azure Edition) | 2022 |
* 이 운영 체제의 변형이 지원됩니다.
추가 정보
지역:
- 모든 공용 지역
- 모든 Azure Government 지역
- 모든 Azure 중국 지역
가격 책정: 신뢰할 수 있는 시작은 기존 VM 가격 책정 비용을 증가시키지 않습니다.
지원되지 않는 기능
참고 항목
다음 Virtual Machine 기능은 현재 신뢰할 수 있는 시작에서 지원되지 않습니다.
- Azure Site Recovery
- 관리되는 이미지(고객은 Azure Compute Gallery를 사용하는 것이 좋음)
- 중첩된 가상화(대부분의 v5 VM 크기 패밀리가 지원됨)
보안 부팅
신뢰할 수 있는 시작의 루트에는 VM에 대한 보안 부팅이 있습니다. 플랫폼 펌웨어에서 구현되는 보안 부팅은 맬웨어 기반 루트킷 및 부팅 키트의 설치로부터 보호합니다. 보안 부팅은 서명된 운영 체제와 드라이버만 부팅할 수 있도록 합니다. VM에서 소프트웨어 스택에 대한 "신뢰의 루트"를 설정합니다. 보안 부팅을 사용하도록 설정하면 모든 OS 부팅 구성 요소(부팅 로더, 커널, 커널 드라이버)에 신뢰할 수 있는 게시자 서명이 필요합니다. Windows 및 Select Linux 배포판은 모두 보안 부팅을 지원합니다. 보안 부팅이 신뢰할 수 있는 게시자가 이미지를 서명했음을 인증하지 못하면 VM이 부팅되지 않습니다. 자세한 내용은 보안 부팅을 참조하세요.
vTPM
신뢰할 수 있는 시작에는 Azure VM용 vTPM도 도입됩니다. vTPM은 TPM2.0 사양을 준수하는 하드웨어 신뢰할 수 있는 플랫폼 모듈의 가상화된 버전입니다. 키 및 측정을 위한 전용 보안 자격 증명 모음 역할을 합니다. 신뢰할 수 있는 시작은 VM에 자체 전용 TPM 인스턴스를 제공하여 VM의 손이 닿지 않는 보안 환경에서 실행됩니다. vTPM을 사용하면 VM의 전체 부팅 체인(UEFI, OS, 시스템 및 드라이버)을 측정하여 증명을 수행할 수 있습니다.
신뢰할 수 있는 시작은 vTPM을 사용하여 클라우드를 통해 원격 증명을 수행합니다. 증명을 사용하면 플랫폼 상태 검사 신뢰 기반 의사 결정을 내릴 수 있습니다. 상태 검사를 통해 신뢰할 수 있는 시작은 VM이 올바르게 부팅되었음을 암호화하여 인증할 수 있습니다. VM에서 권한 없는 구성 요소를 실행 중이므로 프로세스가 실패하면 클라우드용 Microsoft Defender 무결성 경고를 발생시킬 수 있습니다. 경고에는 무결성 검사 통과하지 못한 구성 요소에 대한 세부 정보가 포함됩니다.
가상화 기반 보안
VBS(가상화 기반 보안 )는 하이퍼바이저를 사용하여 안전하고 격리된 메모리 영역을 만듭니다. Windows는 이러한 지역을 사용하여 취약성 및 악의적인 악용에 대한 보호가 강화된 다양한 보안 솔루션을 실행합니다. 신뢰할 수 있는 시작을 사용하면 HVCI(하이퍼바이저 코드 무결성) 및 Windows Defender Credential Guard를 사용하도록 설정할 수 있습니다.
HVCI는 악성 또는 확인되지 않은 코드의 삽입 및 실행에 대해 Windows 커널 모드 프로세스를 보호하는 강력한 시스템 완화 기능입니다. 커널 모드 드라이버와 이진 파일을 실행하기 전에 검사 서명되지 않은 파일이 메모리로 로드되지 않도록 방지합니다. 실행 코드를 로드할 수 있게 되면 수정할 수 없는지 확인합니다. VBS 및 HVCI에 대한 자세한 내용은 VBS(가상화 기반 보안) 및 HVCI(하이퍼바이저 적용 코드 무결성)를 참조하세요.
신뢰할 수 있는 시작 및 VBS를 사용하여 Windows Defender Credential Guard를 사용하도록 설정할 수 있습니다. Credential Guard는 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 비밀을 격리하고 보호합니다. PtH(Pass-the-Hash) 공격과 같은 비밀 및 자격 증명 탈취 공격에의 무단 액세스를 방지하는 데 유용합니다. 자세한 내용은 Credential Guard를 참조하세요.
클라우드용 Microsoft Defender 통합
신뢰할 수 있는 시작은 클라우드용 Microsoft Defender와 통합되어 VM이 제대로 구성되었는지 확인합니다. 클라우드용 Microsoft Defender 호환되는 VM을 지속적으로 평가하고 관련 권장 사항을 실행합니다.
- 보안 부팅 을 사용하도록 설정하는 권장 사항 - 보안 부팅 권장 사항은 신뢰할 수 있는 시작을 지원하는 VM에만 적용됩니다. 클라우드용 Microsoft Defender 보안 부팅을 사용하도록 설정할 수 있지만 사용하지 않도록 설정된 VM을 식별합니다. 이를 사용하도록 설정하기 위해 낮은 심각도 권장 사항을 발급합니다.
- vTPM 사용 설정 권장 사항 - VM에 vTPM이 사용하도록 설정되어 있는 경우 클라우드용 Microsoft Defender는 이를 사용하여 게스트 증명을 수행하고 고급 위협 패턴을 식별할 수 있습니다. 클라우드용 Microsoft Defender 신뢰할 수 있는 시작을 지원하고 vTPM을 사용하지 않도록 설정한 VM을 식별하는 경우 낮은 심각도 권장 사항을 실행하여 사용하도록 설정합니다.
- 게스트 증명 확장을 설치하는 권장 사항 - VM에 보안 부팅 및 vTPM이 활성화되어 있지만 게스트 증명 확장이 설치되어 있지 않은 경우 클라우드용 Microsoft Defender 게스트 증명 확장을 설치하기 위한 낮은 심각도 권장 사항을 발급합니다. 이 확장을 통해 클라우드용 Microsoft Defender는 VM의 부팅 무결성을 적극적으로 증명하고 모니터링할 수 있습니다. 부팅 무결성은 원격 증명을 통해 증명됩니다.
- 증명 상태 평가 또는 부팅 무결성 모니터링 - VM에 보안 부팅 및 vTPM이 사용하도록 설정되어 있고 증명 확장이 설치된 경우 클라우드용 Microsoft Defender는 VM이 정상적인 방식으로 부팅되었는지 원격으로 유효성 검사할 수 있습니다. 이를 부팅 무결성 모니터링이라고 합니다. 클라우드용 Microsoft Defender는 원격 증명 상태를 나타내는 평가를 발행합니다.
VM이 신뢰할 수 있는 시작으로 올바르게 설정되어 있으면 클라우드용 Microsoft Defender가 VM 상태 문제를 검색하고 경고할 수 있습니다.
VM 증명 실패에 대한 경고: 클라우드용 Microsoft Defender VM에서 정기적으로 증명을 수행합니다. 증명은 VM이 부팅된 후에도 발생합니다. 증명이 실패하면 중간 심각도 경고가 트리거됩니다. VM 증명은 다음과 같은 이유로 실패할 수 있습니다.
- 부팅 로그를 포함하는 수집된 정보는 신뢰할 수 있는 기준에서 벗어난다. 모든 편차는 신뢰할 수 없는 모듈이 로드되었으며 OS가 손상되었을 수 있음을 나타낼 수 있습니다.
- 증명 견적은 증명된 VM의 vTPM에서 시작되는지 확인할 수 없습니다. 확인되지 않은 원본은 맬웨어가 존재하며 vTPM에 대한 트래픽을 가로챌 수 있음을 나타낼 수 있습니다.
참고 항목
vTPM을 사용하도록 설정하고 증명 확장이 설치된 VM에 대해 경고를 사용할 수 있습니다. 증명을 통과하려면 보안 부팅을 사용하도록 설정해야 합니다. 보안 부팅을 사용하지 않도록 설정하면 증명이 실패합니다. 보안 부팅을 사용하지 않도록 설정해야 하는 경우 가양성 방지를 위해 이 경고를 표시하지 않을 수 있습니다.
신뢰할 수 없는 Linux 커널 모듈에 대한 경고: 보안 부팅을 사용하는 신뢰할 수 있는 시작의 경우, 커널 드라이버가 유효성 검사에 실패하고 로드가 금지되어도 VM이 부팅될 수 있습니다. 이 경우 클라우드용 Microsoft Defender 낮은 심각도 경고를 발생합니다. 즉각적인 위협은 없지만 신뢰할 수 없는 드라이버가 로드되지 않았기 때문에 이러한 이벤트를 조사해야 합니다.
- 어떤 커널 드라이버가 실패합니까? 이 드라이버에 익숙하고 로드될 것으로 예상하나요?
- 이것이 내가 기대하는 드라이버의 정확한 버전인가요? 드라이버 이진 파일이 손상되지 않은가요? 타사 드라이버인 경우 공급업체가 OS 규정 준수 테스트를 통과하여 서명했나요?
다음 단계
신뢰할 수 있는 시작 VM을 배포합니다.