다음을 통해 공유

호스터용 보호된 패브릭 및 보호된 VM 계획 가이드

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목에서는 보호된 가상 머신을 패브릭에서 실행할 수 있도록 설정해야 하는 계획 결정에 대해 설명합니다. 기존 Hyper-V 패브릭을 업그레이드하든 새 패브릭을 만들든 간에 보호된 VM을 실행하는 것은 두 가지 기본 구성 요소로 구성됩니다.

  • HGS(호스트 보호 서비스)는 증명 및 키 보호를 제공하므로 보호된 VM이 승인되고 정상인 Hyper-V 호스트에서만 실행되도록 할 수 있습니다. 
  • 보호된 VM(및 일반 VM)을 실행할 수 있는 승인되고 정상인 Hyper-V 호스트를 보호된 호스트라고 합니다.

Diagram showing the H G S's attestation and key protection services are linked to the shielded virtual machine's guarded Hyper V hosts.

의사 결정 #1: 패브릭의 신뢰 수준

호스트 보호 서비스와 보호된 Hyper-V 호스트를 구현하는 방법은 패브릭에서 달성하려는 신뢰 강도에 따라 기본 달라집니다. 신뢰 강도는 증명 모드에 의해 제어됩니다. 상호 배타적인 두 가지 옵션이 있습니다.

  1. TPM 신뢰할 수 있는 증명

    악의적인 관리자 또는 손상된 패브릭으로부터 가상 머신을 보호하는 것이 목표인 경우 TPM에서 신뢰할 수 있는 증명을 사용합니다. 이 옵션은 다중 테넌트 호스팅 시나리오뿐만 아니라 엔터프라이즈 환경의 고부가가치 자산(예: SQL 또는 SharePoint와 같은 기본 컨트롤러 또는 콘텐츠 서버)에도 적합합니다. 호스트가 보호된 VM을 실행하도록 허용되기 전에 HVCI(하이퍼바이저로 보호된 코드 무결성) 정책을 측정하고 HGS에서 적용하는 유효성을 측정합니다.

  2. 호스트 키 증명

    요구 사항이 주로 가상 머신을 미사용 컴퓨터와 진행 중 모두 암호화해야 하는 규정 준수에 의해 구동되는 경우 호스트 키 증명을 사용합니다. 이 옵션은 Hyper-V 호스트 및 패브릭 관리자가 일상적인 기본 테넌트 및 작업을 위해 가상 머신의 게스트 운영 체제에 액세스할 수 있는 데 익숙한 범용 데이터 센터에 적합합니다.

    이 모드에서는 패브릭 관리자가 Hyper-V 호스트의 상태를 확인하는 것만 담당합니다. HGS는 실행이 허용되거나 허용되지 않는 것을 결정하는 데 아무런 역할을 하지 않으므로 맬웨어 및 디버거는 설계된 대로 작동합니다.

    그러나 VM의 작업자 프로세스(VMWP.exe)가 보호된 프로세스 라이트(PPL)이기 때문에 프로세스에 직접 연결하려고 시도하는 디버거(예: WinDbg.exe)는 보호된 VM에 대해 차단됩니다. LiveKd.exe에서 사용하는 것과 같은 대체 디버깅 기술은 차단되지 않습니다. 보호된 VM과 달리 암호화 지원 VM에 대한 작업자 프로세스는 PPL로 실행되지 않으므로 WinDbg.exe와 같은 기존 디버거는 정상적으로 계속 작동합니다.

    관리 신뢰할 수 있는 증명(Active Directory 기반)이라는 유사한 증명 모드는 Windows Server 2019부터 더 이상 사용되지 않습니다.

선택한 신뢰 수준에 따라 Hyper-V 호스트에 대한 하드웨어 요구 사항과 패브릭에 적용되는 정책이 결정됩니다. 필요한 경우 기존 하드웨어 및 관리자가 신뢰할 수 있는 증명을 사용하여 보호된 패브릭을 배포한 다음 하드웨어가 업그레이드되고 패브릭 보안을 강화해야 할 때 TPM에서 신뢰할 수 있는 증명으로 변환할 수 있습니다.

의사 결정 #2: 기존 Hyper-V 패브릭과 새로운 별도의 Hyper-V 패브릭 비교

기존 패브릭(Hyper-V 또는 기타)이 있는 경우 이를 사용하여 일반 VM과 함께 보호된 VM을 실행할 수 있습니다. 일부 고객은 보호된 VM을 기존 도구 및 패브릭에 통합하는 반면 다른 고객은 비즈니스상의 이유로 패브릭을 분리하도록 선택합니다.

호스트 보호 서비스에 대한 HGS 관리자 계획

전용 물리적 서버, 보호된 VM, 격리된 Hyper-V 호스트의 VM(보호 중인 패브릭에서 분리됨) 또는 다른 Azure 구독을 사용하여 논리적으로 분리된 VM 등 매우 안전한 환경에 HGS(호스트 보호 서비스)를 배포합니다.

영역 세부 정보
설치 요구 사항
  • 서버 1개(고가용성을 위해 3노드 클러스터 권장)
  • 대체의 경우 두 개 이상의 HGS 서버가 필요합니다.
  • 서버는 가상 또는 물리적 서버일 수 있습니다(TPM 2.0을 사용하는 물리적 서버 권장; TPM 1.2도 지원됨)
  • Windows Server 2016 이상 Server Core 설치
  • HTTP 또는 대체 구성을 허용하는 패브릭에 대한 네트워크 시야
  • 액세스 유효성 검사에 권장되는 HTTPS 인증서
크기 조정 각 중간 크기(8코어/4GB) HGS 서버 노드는 1,000개의 Hyper-V 호스트를 처리할 수 있습니다.
관리 HGS를 관리할 특정 사용자를 지정합니다. 패브릭 관리자와는 별개여야 합니다. 비교를 위해 HGS 클러스터는 관리 격리, 물리적 배포 및 전반적인 보안 민감도 측면에서 CA(인증 기관)와 동일한 방식으로 생각할 수 있습니다.
Host Guardian Service Active Directory 기본적으로 HGS는 관리를 위해 자체 내부 Active Directory를 설치합니다. 자체 포함된 자체 관리형 포리스트이며 패브릭에서 HGS를 격리하는 데 도움이 되는 권장 구성입니다.

격리에 사용할 권한이 높은 Active Directory 포리스트가 이미 있는 경우 HGS 기본 포리스트 대신 해당 포리스트를 사용할 수 있습니다. HGS는 Hyper-V 호스트 또는 패브릭 관리 도구와 동일한 포리스트의 do기본 조인되지 않는 것이 중요합니다. 이렇게 하면 패브릭 관리자가 HGS를 제어할 수 있습니다.
재해 복구 다음과 같은 세 가지 옵션이 있습니다.
  1. 각 데이터 센터에 별도의 HGS 클러스터를 설치하고 보호된 VM이 주 데이터 센터와 백업 데이터 센터에서 실행되도록 권한을 부여합니다. 이렇게 하면 WAN 간에 클러스터를 확장할 필요가 없으며 지정된 사이트에서만 실행되도록 가상 머신을 격리할 수 있습니다.
  2. 둘 이상의 데이터 센터 간에 스트레치 클러스터에 HGS를 설치합니다. WAN이 중단되는 경우 복원력을 제공하지만 장애 조치(failover) 클러스터링 제한을 푸시합니다. 워크로드를 하나의 사이트로 격리할 수 없습니다. 한 사이트에서 실행할 권한이 있는 VM은 다른 사이트에서 실행할 수 있습니다.
  3. Hyper-V 호스트를 다른 HGS에 장애 조치(failover)로 등록합니다.
또한 항상 로컬로 복구할 수 있도록 구성을 내보내서 모든 HGS를 백업해야 합니다. 자세한 내용은 Export-HgsServerStateImport-HgsServerState를 참조하세요.
호스트 보호 서비스 키 호스트 보호 서비스는 각각 SSL 인증서로 표시되는 두 개의 비대칭 키 쌍(암호화 키 및 서명 키)을 사용합니다. 이러한 키를 생성하는 두 가지 옵션이 있습니다.
  1. 내부 인증 기관 – 내부 PKI 인프라를 사용하여 이러한 키를 생성할 수 있습니다. 데이터 센터 환경에 적합합니다.
  2. 공개적으로 신뢰할 수 있는 인증 기관 – 공개적으로 신뢰할 수 있는 인증 기관에서 가져온 키 집합을 사용합니다. 호스트에서 사용해야 하는 옵션입니다.
자체 서명된 인증서를 사용할 수 있지만 개념 증명 랩 이외의 배포 시나리오에는 사용하지 않는 것이 좋습니다.

HGS 키를 보유하는 것 외에도, 호스터는 "Bring Your Own Key"를 사용할 수 있습니다. 여기서 테넌트는 자체 키를 제공하여 일부(또는 모든) 테넌트가 고유한 특정 HGS 키를 가질 수 있도록 할 수 있습니다. 이 옵션은 테넌트가 키를 업로드할 수 있도록 대역 외 프로세스를 제공할 수 있는 호스트에 적합합니다.
호스트 보호 서비스 키 스토리지 가능한 가장 강력한 보안을 위해 HGS 키를 만들고 HSM(하드웨어 보안 모듈)에 단독으로 저장하는 것이 좋습니다. HSM을 사용하지 않는 경우 HGS 서버에 BitLocker를 적용하는 것이 좋습니다.

보호된 호스트에 대한 패브릭 관리자 계획

영역 세부 정보
하드웨어
  • 호스트 키 증명: 기존 하드웨어를 보호된 호스트로 사용할 수 있습니다. 몇 가지 예외가 있습니다(호스트가 Windows Server 2016부터 새로운 보안 메커니즘을 사용할 수 있도록 하려면 Windows Server 2016 가상화 기반 코드 무결성 보호를 사용하는 호환되는 하드웨어를 참조 하세요.
  • TPM에서 신뢰할 수 있는 증명: 적절하게 구성된 경우 하드웨어 보증 추가 자격이 있는 모든 하드웨어를 사용할 수 있습니다(보호된 VM을 준수하는 서버 구성 및 특정 구성에 대한 코드 무결성의 가상화 기반 보호 참조). 여기에는 TPM 2.0 및 UEFI 버전 2.3.1c 이상이 포함됩니다.
OS Hyper-V 호스트 OS에 Server Core 옵션을 사용하는 것이 좋습니다.
성능 의미 성능 테스트에 따라 보호된 VM과 보호되지 않은 VM 실행 간에 약 5%의 밀도 차이가 있을 것으로 예상합니다. 즉, 지정된 Hyper-V 호스트가 20개의 보호되지 않은 VM을 실행할 수 있는 경우 19개의 보호된 VM을 실행할 수 있습니다.

일반적인 워크로드를 사용하여 크기 조정을 확인해야 합니다. 예를 들어 집약적인 쓰기 지향 IO 워크로드가 있는 일부 이상값은 밀도 차이에 더 큰 영향을 줄 수 있습니다.
지사 고려 사항 Windows Server 버전 1709부터 지점의 보호된 VM으로 로컬로 실행되는 가상화된 HGS 서버에 대한 대체 URL을 지정할 수 있습니다. 지점이 데이터 센터의 HGS 서버에 대한 연결을 끊을 때 대체 URL을 사용할 수 있습니다. 이전 버전의 Windows Server에서 지점에서 실행되는 Hyper-V 호스트는 보호된 VM을 전원을 켜거나 실시간 마이그레이션하기 위해 호스트 보호 서비스에 연결해야 합니다. 자세한 내용은 지점 고려 사항을 참조 하세요.