테넌트에 대한 보호된 패브릭 및 보호된 VM 계획 가이드
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
이 항목에서는 규정 준수 및 보안을 위해 VM(가상 머신)을 보호하려는 VM 소유자에 중점을 둡니다. VM이 호스팅 공급자의 보호된 패브릭에서 실행되는지 또는 개인 보호된 패브릭에서 실행되는지에 관계없이 VM 소유자는 보호된 VM의 보안 수준을 제어해야 합니다. 여기에는 필요한 경우 암호 해독 기능 기본 포함됩니다.
보호된 VM을 사용할 때 고려해야 할 세 가지 영역이 있습니다.
- VM의 보안 수준
- 암호화 키를 보호하는 데 사용되는 암호화 키
- 데이터 보호 - 보호된 VM을 만드는 데 사용되는 중요한 정보
VM에 대한 보안 수준
보호된 VM을 배포하는 경우 다음 두 가지 보안 수준 중 하나를 선택해야 합니다.
- 차폐
- 지원되는 암호화
보호된 VM과 암호화 지원 VM에는 모두 가상 TPM이 연결되어 있으며 Windows를 실행하는 VM은 BitLocker로 보호됩니다. 주요 차이점은 보호된 VM이 패브릭 관리자의 액세스를 차단하는 반면 암호화 지원 VM은 패브릭 관리자에게 일반 VM에 대한 액세스 수준과 동일한 수준의 액세스를 허용한다는 것입니다. 이러한 차이점에 대한 자세한 내용은 보호된 패브릭 및 보호된 VM 개요를 참조하세요.
손상된 패브릭(손상된 관리자 포함)으로부터 VM을 보호하려는 경우 보호된 VM을 선택합니다. 패브릭 관리자와 패브릭 자체를 신뢰할 수 없는 환경에서 사용해야 합니다. 미사용 암호화 및 실시간 마이그레이션 중 VM의 암호화가 모두 필요할 수 있는 규정 준수 표시줄을 충족하려는 경우 암호화 지원 VM을 선택합니다.
암호화 지원 VM은 패브릭 관리자가 완전히 신뢰할 수 있지만 암호화가 요구 사항을 다시 기본 환경에 이상적입니다.
보호된 패브릭과 동일한 Hyper-V 호스트에서 일반 VM, 보호된 VM 및 암호화 지원 VM을 혼합하여 실행할 수 있습니다.
VM이 보호되는지 또는 암호화 지원되는지 여부는 VM을 만들 때 선택된 보호 데이터에 의해 결정됩니다. VM 소유자는 보호 데이터를 만들 때 보안 수준을 구성합니다(데이터 보호 섹션 참조). 이 선택이 완료되면 VM이 가상화 패브릭에서 다시 기본 동안 변경할 수 없습니다.
보호된 VM에 사용되는 암호화 키
보호된 VM은 암호화된 디스크 및 다음에서만 암호 해독할 수 있는 다양한 암호화된 요소를 사용하여 가상화 패브릭 공격 벡터로부터 보호됩니다.
- 소유자 키 – 일반적으로 최후의 수단 복구 또는 문제 해결에 사용되는 VM 소유자가 기본 암호화 키입니다. VM 소유자는 안전한 위치에서 소유자 키를 기본 책임이 있습니다.
- 하나 이상의 보호자(호스트 보호자 키) – 각 보호자는 소유자가 보호된 VM의 실행 권한을 부여하는 가상화 패브릭을 나타냅니다. 엔터프라이즈에는 기본 및 DR(재해 복구) 가상화 패브릭이 둘 다 있는 경우가 많으며 일반적으로 보호된 VM이 둘 다에서 실행되도록 권한을 부여합니다. 경우에 따라 공용 클라우드 공급자가 보조(DR) 패브릭을 호스팅할 수 있습니다. 보호된 패브릭의 프라이빗 키는 가상화 패브릭에서만 기본, 퍼블릭 키를 다운로드할 수 있으며 보호자 내에 포함됩니다.
소유자 키를 만들 어떻게 할까요? 있나요? 소유자 키는 두 개의 인증서로 표시됩니다. 암호화용 인증서 및 서명용 인증서입니다. 사용자 고유의 PKI 인프라를 사용하여 이러한 두 인증서를 만들거나 CA(공용 인증 기관)에서 SSL 인증서를 가져올 수 있습니다. 테스트를 위해 Windows 10 또는 Windows Server 2016으로 시작하는 모든 컴퓨터에서 자체 서명된 인증서를 만들 수도 있습니다.
얼마나 많은 소유자 키가 있어야 하나요? 단일 소유자 키 또는 여러 소유자 키를 사용할 수 있습니다. 모범 사례에서는 동일한 보안, 신뢰 또는 위험 수준을 공유하는 VM 그룹 및 관리 제어에 단일 소유자 키를 권장합니다. 할 일기본 조인된 보호된 VM 및 할 일기본 관리자가 관리할 소유자 키를 에스크로에 대한 단일 소유자 키를 공유할 수 있습니다.
호스트 보호자를 위해 내 키를 사용할 수 있나요? 예, 호스팅 공급자에 "Bring Your Own" 키를 사용하고 보호된 VM에 해당 키를 사용할 수 있습니다. 이렇게 하면 특정 키(호스팅 공급자 키 사용과 비교)를 사용할 수 있으며 준수해야 하는 특정 보안 또는 규정이 있는 경우 사용할 수 있습니다. 주요 위생을 위해 호스트 보호 키는 소유자 키와 달라야 합니다.
데이터 보호
데이터 보호에는 보호된 VM 또는 암호화 지원 VM을 배포하는 데 필요한 비밀이 포함됩니다. 또한 일반 VM을 보호된 VM으로 변환할 때도 사용됩니다.
보호 데이터는 데이터 파일 보호 마법사를 사용하여 만들어지며 VM 소유자가 보호된 패브릭에 업로드하는 PDK 파일에 저장됩니다.
보호된 VM은 손상된 가상화 패브릭의 공격으로부터 보호하는 데 도움이 되므로 가상화 패브릭 자체 또는 관리자에게 공개하지 않고 관리자의 암호, do기본 조인 자격 증명 또는 RDP 인증서와 같은 중요한 초기화 데이터를 전달하는 안전한 메커니즘이 필요합니다. 또한 보호 데이터에는 다음이 포함됩니다.
- 보안 수준 – 보호 또는 암호화 지원
- VM을 실행할 수 있는 신뢰할 수 있는 호스트 보호자의 소유자 및 목록
- 가상 머신 초기화 데이터(unattend.xml, RDP 인증서)
- 가상화 환경에서 VM을 만들기 위한 신뢰할 수 있는 서명된 템플릿 디스크 목록
보호 또는 암호화 지원 VM을 만들거나 기존 VM을 변환할 때 중요한 정보를 묻는 메시지가 표시되지 않고 보호 데이터를 선택하라는 메시지가 표시됩니다.
얼마나 많은 보호 데이터 파일이 필요한가요? 단일 보호 데이터 파일을 사용하여 보호된 모든 VM을 만들 수 있습니다. 그러나 지정된 보호된 VM에서 4개 항목 중 어느 것이라도 달라야 하는 경우 추가 보호 데이터 파일이 필요합니다. 예를 들어 초기 관리자 암호와 RDP 인증서가 다르기 때문에 IT 부서에 대한 하나의 보호 데이터 파일과 HR 부서에 대한 다른 보호 데이터 파일이 있을 수 있습니다.
보호된 각 VM에 대해 별도의 보호 데이터 파일을 사용할 수 있지만 반드시 최적의 선택은 아니며 올바른 이유로 수행해야 합니다. 예를 들어 보호된 모든 VM에 다른 관리자 암호가 있어야 하는 경우 대신 암호 관리 서비스 또는 Microsoft의 LAPS(로컬 관리istrator 암호 솔루션)와 같은 도구를 사용하는 것이 좋습니다.
가상화 패브릭에서 보호된 VM 만들기
가상화 패브릭에서 보호된 VM을 만들기 위한 몇 가지 옵션이 있습니다(다음은 보호된 VM 및 암호화 지원 VM 모두와 관련이 있음).
- 사용자 환경에서 보호된 VM을 만들고 가상화 패브릭에 업로드
- 가상화 패브릭의 서명된 템플릿에서 보호된 새 VM 만들기
- 기존 VM 보호(기존 VM은 2세대여야 하며 Windows Server 2012 이상을 실행해야 합니다.)
템플릿에서 새 VM을 만드는 것이 일반적인 방법입니다. 그러나 새 보호된 VM을 만드는 데 사용되는 템플릿 디스크가 가상화 패브릭에 있으므로 악의적인 패브릭 관리자 또는 패브릭에서 실행되는 맬웨어에 의해 변조되지 않도록 추가 조치가 필요합니다. 이 문제는 서명된 템플릿 디스크를 사용하여 해결됩니다. 서명된 템플릿 디스크 및 해당 디스크 서명은 신뢰할 수 있는 관리자 또는 VM 소유자가 만듭니다. 보호된 VM이 만들어지면 템플릿 디스크의 서명이 지정된 보호 데이터 파일에 포함된 서명과 비교됩니다. 보호 데이터 파일의 서명이 템플릿 디스크의 서명과 일치하는 경우 배포 프로세스가 계속됩니다. 일치하는 항목을 찾을 수 없는 경우 신뢰할 수 없는 템플릿 디스크로 인해 VM 비밀이 손상되지 않도록 배포 프로세스가 중단됩니다.
서명된 템플릿 디스크를 사용하여 보호된 VM을 만드는 경우 다음 두 가지 옵션을 사용할 수 있습니다.
- 가상화 공급자가 제공하는 기존 서명된 템플릿 디스크를 사용합니다. 이 경우 가상화 공급자는 서명된 템플릿 디스크를 기본.
- 서명된 템플릿 디스크를 가상화 패브릭에 업로드합니다. VM 소유자는 서명된 템플릿 디스크를 기본 담당합니다.