암호화된 하드 드라이브

적용 대상

  • Windows 10
  • Windows 11
  • Windows Server 2022
  • WindowsServer 2019
  • WindowsServer 2016

암호화된 하드 드라이브는 BitLocker 드라이브 암호화에서 제공하는 신속한 암호화를 사용하여 데이터 보안 및 관리를 향상합니다.

암호화 작업을 하드웨어로 오프로드하면 암호화된 하드 드라이브에서 BitLocker 성능을 향상하고 CPU 사용량 및 전력 소비를 줄입니다. 암호화된 하드 드라이브는 데이터를 빠르게 암호화하므로 엔터프라이즈 장치에서 생산성에 미치는 영향을 최소화하면서 BitLocker 배포를 확장할 수 있습니다.

암호화된 하드 드라이브는 하드웨어 수준에서 자체 암호화되고 전체 디스크 하드웨어 암호화를 허용하는 새로운 클래스의 하드 드라이브입니다. 추가 수정 없이 Windows 하드 드라이브에 암호화된 하드 드라이브를 설치할 Windows 8 Windows Server 2012.

암호화된 하드 드라이브는 다음을 제공합니다.

  • 성능 향상: 드라이브 컨트롤러에 통합된 암호화 하드웨어를 사용하면 성능 저하가 없는 전체 데이터 속도로 드라이브를 작동할 수 있습니다.
  • 하드웨어 기반의 강력한보안: 암호화는 항상 "설정"으로 설정되어 있으며 암호화 키는 하드 드라이브를 나가지 않습니다. 사용자 인증은 운영 체제에 관계없이 잠금 해제 전 드라이브에 의해 수행됩니다.
  • 사용 편의성: 암호화는 사용자에게 투명하며 사용자가 사용하도록 설정할 필요가 없습니다. 암호화된 하드 드라이브는 온보드 암호화 키를 사용하여 쉽게 지울 수 있습니다. 드라이브에서 데이터를 다시 암호화하지 않아도 됩니다.
  • 소유 비용절감: BitLocker는 기존 인프라를 활용하여 복구 정보를 저장하기 때문에 암호화 키를 관리하기 위해 새 인프라가 필요하지 않습니다. 암호화 프로세스에 프로세서 주기를 사용할 필요가 없습니다.

암호화된 하드 드라이브는 다음 메커니즘을 통해 운영 체제에서 기본적으로 지원됩니다.

  • 식별: 운영 체제에서 드라이브가 암호화된 하드 드라이브 장치 유형인지 확인할 수 있습니다.
  • 정품인증: 운영 체제 디스크 관리 유틸리티에서 볼륨을 적절하게 범위/밴드에 활성화, 생성 및 매핑할 수 있습니다.
  • 구성: 운영 체제에서 볼륨을 만들고 적절하게 범위/밴드에 매핑할 수 있습니다.
  • API: BitLocker 드라이브 암호화(BDE)와는 독립적으로 암호화된 하드 드라이브를 관리하는 응용 프로그램에 대한 API 지원
  • BitLocker 지원: BitLocker 제어판과의 통합은 원활한 BitLocker 최종 사용자 환경을 제공합니다.

경고

Self-Encrypting 하드 드라이브와 암호화된 하드 Windows 장치 유형이 다릅니다. 암호화된 하드 드라이브를 Windows IEEE 1667 준수뿐만 아니라 특정 TCG 프로토콜을 준수해야 합니다. Self-Encrypting 하드 드라이브에는 이러한 요구 사항이 없습니다. 배포를 계획할 때 장치 유형이 암호화된 하드 Windows 확인하는 것이 중요합니다.

암호화된 하드 드라이브를 구현하는 방법에 대한 자세한 내용은 암호화된 하드 드라이브 장치 가이드를 참조하세요.

시스템 요구 사항

암호화된 하드 드라이브를 사용하기 위해 다음과 같은 시스템 요구 사항이 적용됩니다.

데이터 드라이브로 사용되는 암호화된 하드 드라이브의 경우:

  • 드라이브가 인니티얼화되지 않은 상태야 합니다.
  • 드라이브가 보안 비활성 상태일 수 있습니다.

시작 드라이브로 사용되는 암호화된 하드 드라이브의 경우:

  • 드라이브가 인니티얼화되지 않은 상태야 합니다.
  • 드라이브가 보안 비활성 상태일 수 있습니다.
  • 컴퓨터는 UEFI 2.3.1을 기반으로 해야하며 EFI_STORAGE_SECURITY_COMMAND_PROTOCOL 정의되어 있어야 합니다. 이 프로토콜은 EFI 부팅 서비스 환경에서 실행되는 프로그램이 드라이브에 보안 프로토콜 명령을 보낼 수 있도록 하는 데 사용됩니다.
  • 컴퓨터에는 UEFI에서 CSM(호환성 지원 모듈)을 사용하지 않도록 설정해야 합니다.
  • 컴퓨터는 항상 UEFI에서 기본적으로 부팅되어야 합니다.

경고

제대로 작동하려면 모든 암호화된 하드 드라이브를 RAID가 아닌 컨트롤러에 연결해야 합니다.

기술 개요

BitLocker의 신속한 암호화는 엔터프라이즈의 보안 요구를 직접 해결하면서 성능을 크게 개선합니다. 이전 버전의 Windows 이전 버전의 Windows Server 2012 BitLocker는 읽기/쓰기 요청을 완료하기 위해 2단계 프로세스가 필요했습니다. 암호화된 Windows Server 2012, Windows 8 이상에서 암호화된 하드 드라이브는 훨씬 더 큰 효율성을 위해 암호화 작업을 드라이브 컨트롤러로 오프로드합니다. 운영 체제가 암호화된 하드 드라이브를 식별하면 보안 모드가 활성화됩니다. 이 정품 인증을 통해 드라이브 컨트롤러는 호스트 컴퓨터가 만드는 모든 볼륨에 대한 미디어 키를 생성할 수 있습니다. 디스크 외부에 노출되지 않는 이 미디어 키는 디스크에서 보내거나 받은 모든 데이터를 빠르게 암호화하거나 암호 해독하는 데 사용됩니다.

암호화된 하드 드라이브를 시작 드라이브로 구성

암호화된 하드 드라이브를 시작 드라이브로 구성하는 것은 표준 하드 드라이브와 동일한 방법을 사용하여 수행됩니다. 이러한 메서드는 다음과 같습니다.

  • 미디어에서 배포: 암호화된 하드 드라이브의 구성은 설치 프로세스를 통해 자동으로 수행됩니다.
  • 네트워크에서배포: 이 배포 방법에는 Windows PE 환경을 부팅하고 이미징 도구를 사용하여 네트워크 공유에서 Windows 이미지를 적용합니다. 이 메서드를 사용하면 확장된 Storage 선택적 구성 요소를 PE 이미지에 Windows 합니다. 서버 관리자, 서버 관리자 또는 DISM 명령줄 도구를 Windows PowerShell 구성 요소를 사용하도록 설정할 수 있습니다. 이 구성 요소가 없는 경우 암호화된 하드 드라이브의 구성이 작동하지 않습니다.
  • 서버에서 배포: 이 배포 방법은 암호화된 하드 드라이브가 있는 클라이언트를 부팅하는 PXE 부팅과 관련이 있습니다. 이 환경에서는 PXE 부팅 이미지에 고급 Storage 구성 요소가 추가될 때 암호화된 하드 드라이브의 구성이 자동으로 수행됩니다. 배포 중에 암호화된 하드 드라이브의 암호화 동작을 unattend.xml TCGSecurityActivationDisabled 설정이 제어됩니다.
  • 디스크 중복: 이 배포 방법은 이전에 구성한 장치 및 디스크 중복 도구를 사용하여 암호화된 하드 드라이브에 Windows 이미지를 적용하는 작업입니다. 이 구성이 작동하려면 적어도 Windows 8 또는 Windows Server 2012 디스크를 분할해야 합니다. 디스크 중복을 사용하여 만든 이미지는 작동하지 않습니다.

그룹 정책을 사용하여 하드웨어 기반 암호화 구성

BitLocker에서 하드웨어 기반 암호화를 사용하는 방법과 사용할 암호화 알고리즘을 관리하는 데 도움이 되는 세 가지 관련 그룹 정책 설정이 있습니다. 암호화된 드라이브가 탑재된 시스템에서 이러한 설정을 구성하거나 사용하지 않도록 설정하지 않은 경우 BitLocker는 소프트웨어 기반 암호화를 사용합니다.

암호화된 하드 드라이브 아키텍처

암호화된 하드 드라이브는 디바이스에서 두 개의 암호화 키를 사용하여 드라이브의 데이터 잠금 및 잠금 해제를 제어합니다. 이러한 키는 DEK(데이터 암호화 키) 및 AK(인증 키)입니다.

데이터 암호화 키는 드라이브의 모든 데이터를 암호화하는 데 사용되는 키입니다. 드라이브는 DEK를 생성하며 장치를 나가지 않습니다. 드라이브의 임의 위치에 암호화된 형식으로 저장됩니다. DEK가 변경되거나 지워진 경우 DEK를 사용하여 암호화된 데이터는 변경할 수 없습니다.

인증 키는 드라이브에서 데이터를 잠금 해제하는 데 사용되는 키입니다. 키 해시가 드라이브에 저장되고 DEK의 암호를 해독하려면 확인이 필요합니다.

암호화된 하드 드라이브가 꺼진 상태인 컴퓨터가면 드라이브가 자동으로 잠겨집니다. 컴퓨터가 전원을 니다. 디바이스는 잠긴 상태로 유지되어 인증 키가 데이터 암호화 키를 해독한 후에만 잠금이 해제됩니다. 인증 키가 데이터 암호화 키의 암호를 해독하면 장치에서 읽기-쓰기 작업이 수행될 수 있습니다.

드라이브에 데이터를 쓸 때 쓰기 작업이 완료되기 전에 암호화 엔진을 통과합니다. 마찬가지로 드라이브에서 데이터를 읽으려면 해당 데이터를 사용자에게 다시 전달하기 전에 암호화 엔진에서 데이터 암호를 해독해야 합니다. DEK를 변경하거나 지워야 하는 경우 드라이브의 데이터를 다시 암호화할 필요가 없습니다. 새 인증 키를 만들어야 하며 DEK를 다시 암호화합니다. 완료되면 이제 새 AK를 사용하여 DEK 잠금을 해제할 수 있으며 볼륨에 대한 읽기 쓰기가 계속될 수 있습니다.

암호화된 하드 드라이브 다시 구성

많은 암호화된 하드 드라이브 장치는 사용하도록 미리 구성되어 있습니다. 드라이브를 다시 구성해야 하는 경우 사용 가능한 모든 볼륨을 제거하고 드라이브를 기본화되지 않은 상태로 되버린 후 다음 절차를 사용합니다.

  1. Open Disk Management(diskmgmt.msc)
  2. 디스크를 초기화하고 적절한 파티션 스타일(MBR 또는 GPT)을 선택합니다.
  3. 디스크에 하나 이상의 볼륨을 만들 수 있습니다.
  4. BitLocker 설정 마법사를 사용하여 볼륨에서 BitLocker를 사용하도록 설정할 수 있습니다.