보안 코어 서버란?
적용 대상: Windows Server 2022, Azure Stack HCI 버전 21H2 이상
보안 코어는 기본 제공 하드웨어, 펌웨어, 드라이버 및 운영 체제 보안 기능을 제공하는 기능 모음입니다. 보안 코어 시스템에서 제공하는 보호는 운영 체제가 부팅되기 전에 시작되며 실행되는 동안 계속됩니다. 보안 코어 서버는 중요한 데이터 및 애플리케이션을 위한 보안 플랫폼을 제공하도록 설계되었습니다.
보안 코어 서버는 다음 세 가지 주요 보안 핵심 요소를 기반으로 합니다.
하드웨어 지원 신뢰 루트 만들기
펌웨어 수준 공격에 대한 방어.
확인되지 않은 코드 실행으로부터 OS를 보호합니다.
보안 코어 서버를 만드는 이유
보안 코어 이니셔티브는 Microsoft와 PC 제조 파트너 간의 긴밀한 협업을 통해 Windows PC에서 시작하여 가장 높은 Windows 보안을 제공합니다. Microsoft는 Windows Server가 안전한 운영 체제 환경을 제공할 수 있도록 서버 제조 파트너와의 파트너십을 더욱 확장했습니다.
Windows Server는 하드웨어와 긴밀하게 통합하여 보안 수준을 높입니다.
권장 기준: 신뢰 및 보안 부팅의 하드웨어 루트에 TPM 2.0을 사용하여 기본 시스템 무결성을 제공하기 위해 모든 시스템에 권장되는 최소값입니다. Windows Server 하드웨어 인증에는 TPM2.0 및 보안 부팅이 필요합니다. 자세한 내용은 다음 주요 Windows Server 릴리스에 대한 Microsoft의 보안 표준 강화를 참조 하세요.
보안 코어 서버: 높은 수준의 보증이 필요한 시스템 및 산업에 권장됩니다. 보안 코어 서버는 이전 기능을 기반으로 하며 고급 프로세서 기능을 사용하여 펌웨어 공격으로부터 보호합니다.
다음 표에서는 각 보안 개념 및 기능을 사용하여 보안 코어 서버를 만드는 방법을 보여 있습니다.
| 개념 | 기능 | 요건 | 권장 기준 | Secured-Core 서버 |
|---|---|---|---|---|
| 하드웨어 지원 신뢰 루트 만들기 | ||||
| 보안 부팅 | 보안 부팅은 기본적으로 UEFI(Unified Extensible Firmware Interface) BIOS에서 사용하도록 설정됩니다. | ✓ | ✓ | |
| Trusted Platform Module(TPM) 2.0 | TCG(신뢰할 수 있는 컴퓨팅 그룹) 사양에 대한 최신 Microsoft 요구 사항을 충족합니다. | ✓ | ✓ | |
| Windows Server용 인증 | 서버 시스템이 보안, 안정성 및 관리 효율성에 대한 Microsoft의 최고 기술 기준을 충족하는 것을 보여 줍니다. | ✓ | ✓ | |
| 부팅 DMA 보호 | IOMMU(입력/출력 메모리 관리 단위)가 있는 디바이스에서 지원합니다. 예를 들어 Intel VT-D 또는 AMD-Vi입니다. | ✓ | ||
| 펌웨어 수준 공격 방어 | ||||
| System Guard 보안 시작 | DRTM(Dynamic Root of Trust for Measurement) 호환 인텔 및 AMD 하드웨어를 사용하여 운영 체제에서 사용하도록 설정됩니다. | ✓ | ||
| 확인되지 않은 코드 실행으로부터 OS 보호 | ||||
| VBS(가상화 기반 보안) | Intel VT-X 및 AMD-v를 포함하여 가상화 확장이 있는 64비트 프로세서에서만 지원되는 Windows 하이퍼바이저가 필요합니다. | ✓ | ✓ | |
| 하이퍼바이저 HVCI(고급 코드 무결성) | HVCI(하이퍼바이저 코드 무결성) 호환 드라이버와 VBS 요구 사항 | ✓ | ✓ |
하드웨어 기반 신뢰할 수 있는 루트 만들기
UEFI 보안 부팅 은 시스템 부팅 구성 요소를 확인하여 악의적인 루트킷으로부터 서버를 보호하는 보안 표준입니다. 보안 부팅은 신뢰할 수 있는 작성자가 UEFI 펌웨어 드라이버 및 애플리케이션에 디지털 서명을 했는지 확인합니다. 서버가 시작되면 펌웨어가 펌웨어 드라이버 및 OS를 포함한 각 부팅 구성 요소의 서명을 확인합니다. 서명이 유효한 경우 서버가 부팅되고 펌웨어가 OS에 대한 제어를 제공합니다.
부팅 프로세스에 대한 자세한 내용은 Windows 부팅 프로세스 보안을 참조 하세요.
TPM 2.0은 중요한 키와 데이터를 위한 안전한 하드웨어 지원 스토리지를 제공합니다. 부팅 프로세스 중에 로드된 모든 구성 요소는 측정되고 측정값은 TPM에 저장됩니다. 하드웨어 신뢰 루트를 확인하면 TPM 2.0을 사용하고 증명 기반 워크플로를 쉽게 만드는 BitLocker와 같은 기능에서 제공하는 보호가 향상됩니다. 이러한 증명 기반 워크플로는 제로 트러스트 보안 전략에 통합될 수 있습니다.
신뢰할 수 있는 플랫폼 모듈 및 Windows에서 TPM을 사용하는 방법에 대해 자세히 알아봅니다.
보안 부팅 및 TPM 2.0과 함께 Windows Server Secureed-core는 IOMMU(입력/출력 메모리 관리 단위)가 있는 호환되는 프로세서에서 부팅 DMA 보호를 사용합니다. 예를 들어 Intel VT-D 또는 AMD-Vi입니다. 부팅 DMA 보호를 사용하면 시스템이 부팅 중 및 운영 체제 런타임 동안 DMA(직접 메모리 액세스) 공격으로부터 보호됩니다.
펌웨어 수준 공격 방어
펌웨어가 운영 체제에서 실행되는 경우 엔드포인트 보호 및 검색 솔루션은 일반적으로 펌웨어의 가시성이 제한됩니다. 펌웨어는 운영 체제 및 하이퍼바이저 커널보다 높은 수준의 액세스 및 권한을 가지므로 공격자에게 매력적인 대상이 됩니다. 펌웨어를 대상으로 하는 공격은 운영 체제에서 구현하는 다른 보안 조치를 훼손하여 시스템 또는 사용자가 손상된 시기를 식별하기가 더 어려워집니다.
Windows Server 2022부터 System Guard Secure Launch는 AMD 및 Intel의 하드웨어 기능을 사용하여 펌웨어 공격으로부터 부팅 프로세스를 보호합니다. DRTM(Dynamic Root of Trust for Measurement) 기술에 대한 프로세서 지원을 통해 보안 코어 서버는 높은 권한의 펌웨어 코드에서 취약성의 영향을 제한하는 데 도움이 되는 하드웨어 지원 샌드박스에 펌웨어를 배치합니다. System Guard는 호환되는 프로세서에 기본 제공되는 DRTM 기능을 사용하여 운영 체제를 시작하여 시스템이 확인된 코드를 사용하여 명시된 신뢰할 수 있는 상태로 시작되도록 합니다.
확인되지 않은 코드 실행으로부터 OS 보호
보안 코어 서버는 VBS(가상화 기반 보안) 및 HVCI(하이퍼바이저로 보호된 코드 무결성)를 사용하여 일반 운영 체제에서 보안 메모리 영역을 만들고 격리합니다. VBS는 Windows 하이퍼바이저를 사용하여 VSM(가상 보안 모드)을 만들어 다른 보안 솔루션에 사용할 수 있는 운영 체제 내에서 보안 경계를 제공합니다.
일반적으로 메모리 무결성 보호라고 하는 HVCI는 서명되고 신뢰할 수 있는 코드만 커널에서 실행할 수 있도록 하는 데 도움이 되는 보안 솔루션입니다. 서명된 코드와 신뢰할 수 있는 코드만 사용하면 커널 모드 코드를 수정하려는 공격을 방지할 수 있습니다. 예를 들어 드라이버를 수정하는 공격 또는 커널에 악성 코드를 삽입하려는 WannaCry와 같은 악용이 있습니다.
VBS 및 하드웨어 요구 사항에 대한 자세한 내용은 가상화 기반 보안을 참조하세요.
간소화된 관리
Windows PowerShell 또는 Windows 관리 Center의 보안 확장을 사용하여 보안 코어 시스템의 OS 보안 기능을 보고 구성할 수 있습니다. Azure Stack HCI 통합 시스템을 통해 제조 파트너는 Microsoft의 최상의 서버 보안을 바로 사용할 수 있도록 고객을 위한 구성 환경을 더욱 간소화했습니다.
Windows 관리 Center에 대해 자세히 알아보세요.
예방 방어
보안 코어 기능을 사용하도록 설정하여 공격자가 시스템을 악용하는 데 사용하는 많은 경로를 사전에 방어하고 방해할 수 있습니다. 보안 코어 서버는 기술 스택의 하단 계층에서 고급 보안 기능을 사용하도록 설정하여 많은 보안 도구가 악용을 인식하기 전에 시스템의 가장 권한 있는 영역을 보호합니다. 또한 IT 및 SecOps 팀의 추가 작업이나 모니터링 없이도 발생합니다.
보안 코어 경험 시작
Windows Server 카탈로그 및 Azure Stack HCI 카탈로그의 Azure Stack HCI 서버에서 보안 코어 서버용으로 인증된 하드웨어를 찾을 수 있습니다. 이러한 인증된 서버는 하드웨어, 펌웨어 및 운영 체제에 내장된 업계 최고의 보안 완화 기능을 완벽하게 갖추고 있어 일부 고급 공격 벡터를 저지할 수 있습니다.
다음 단계
이제 보안 코어 서버가 무엇인지 이해했으므로 시작할 수 있는 몇 가지 리소스는 다음과 같습니다. 방법에 대해 알아봅니다.
- 보안 코어 서버를 구성합니다.
- Microsoft는 Microsoft 보안 블로그에서 보안 코어 를 사용하여 Server 및 Edge에 고급 하드웨어 보안을 제공합니다.
- 이제 Microsoft 보안 블로그에서 인프라 를 보호하기 위해 Microsoft 에코시스템에서 새 보안 코어 서버를 사용할 수 있습니다.
- Windows 하드웨어 호환 프로그램 사양 및 정책의 모든 Windows 플랫폼에서 Windows 호환 디바이스, 시스템 및 필터 드라이버를 빌드합니다.