이 문서에서는 Windows VM용 Azure Disk Encryption에 대한 FAQ(질문과 대답)를 제공합니다. 이 서비스에 대한 자세한 내용은 Azure Disk Encryption 개요를 참조하세요.
Windows VM용 Azure Disk Encryption이란?
Windows VM용 Azure Disk Encryption은 Windows의 BitLocker 기능을 사용하여 OS 디스크 및 데이터 디스크에 대한 전체 디스크 암호화를 제공합니다. 또한 VolumeType 매개 변수가 All일 때 임시 디스크의 암호화를 제공합니다. 콘텐츠는 암호화되어 VM에서 Storage 백 엔드로 흐릅니다. 고객 관리형 키를 사용한 엔드투엔드 암호화를 제공합니다.
지원되는 VM 및 운영 체제를 참조하세요.
GA(일반 공급)에서 Azure Disk Encryption은 어디에 있나요?
Azure Disk Encryption은 모든 Azure 공용 지역의 일반 공급에서 사용할 수 있습니다.
Azure Disk Encryption에서 사용할 수 있는 사용자 환경은 무엇인가요?
Azure Disk Encryption GA에서는 Azure Resource Manager 템플릿, Azure PowerShell 및 Azure CLI를 지원합니다. 다양한 사용자 환경이 유연성을 제공합니다. VM에 대한 디스크 암호화를 사용하기 위한 세 가지 옵션이 있습니다. Azure Disk Encryption에서 사용할 수 있는 사용자 환경 및 단계별 지침에 대한 자세한 내용은 Windows용 Azure Disk Encryption을 참조하세요.
Azure Disk Encryption 비용은 얼마인가요?
Azure Disk Encryption을 사용한 VM 디스크 암호화에 대한 요금은 청구되지 않으나, Azure Key Vault 사용과 관련된 요금은 청구됩니다. Azure Key Vault 요금에 대한 자세한 내용은 Key Vault 가격 책정 페이지를 참조하세요.
Azure Disk Encryption을 사용하기 시작하려면 어떻게 해야 하나요?
시작하려면 Azure Disk Encryption 개요를 읽어보세요.
Azure Disk Encryption을 지원하는 VM 크기 및 운영 체제는 무엇인가요?
Azure Disk Encryption 개요 문서에는 Azure Disk Encryption을 지원하는 VM 크기 및 VM 운영 체제가 나열되어 있습니다.
Azure Disk Encryption을 사용하여 부팅 볼륨과 데이터 볼륨을 모두 암호화할 수 있나요?
부팅 볼륨과 데이터 볼륨을 모두 암호화할 수 있지만 먼저 OS 볼륨을 암호화하지 않고 데이터를 암호화할 수는 없습니다.
Azure Disk Encryption으로 미탑재 볼륨을 암호화할 수 있나요?
아니요, Azure Disk Encryption은 탑재된 볼륨만 암호화합니다.
Storage 서버 쪽 암호화란 무엇인가요?
Storage 서버 쪽 암호화는 Azure Storage에서 Azure 관리 디스크를 암호화합니다. 관리 디스크는 플랫폼 관리형 키를 사용하는 서버 쪽 암호화를 통해 기본적으로 암호화됩니다(2017년 6월 10일 기준). 고객 관리형 키를 지정하여 고유한 키로 관리 디스크의 암호화를 관리할 수 있습니다. 자세한 내용은 Azure 관리 디스크의 서버 쪽 암호화를 참조하세요.
Azure Disk Encryption은 고객 관리형 키를 사용한 Storage 서버 쪽 암호화와 어떻게 다르며 언제 각 솔루션을 사용해야 하나요?
Azure Disk Encryption은 고객 관리형 키를 사용하여 OS 디스크, 데이터 디스크 및 임시 디스크에 엔드투엔드 암호화를 제공합니다.
- 위의 모든 암호화와 엔드투엔드 암호화가 요구 사항에 포함되는 경우 Azure Disk Encryption을 사용합니다.
- 고객 관리형 키를 사용한 미사용 데이터 암호화만 요구 사항에 포함되는 경우 고객 관리형 키를 사용한 서버 쪽 암호화를 사용합니다. Azure Disk Encryption과 고객 관리형 키를 사용한 Storage 서버 쪽 암호화를 모두 사용하여 디스크를 암호화할 수 없습니다.
- 제한 사항에서 호출되는 시나리오를 사용하는 경우 고객 관리형 키로 서버 쪽 암호화를 사용하는 것이 좋습니다.
- 조직의 정책상 Azure 관리형 키를 사용하여 미사용 콘텐츠를 암호화할 수 있는 경우 아무 작업도 필요하지 않으며 콘텐츠가 기본적으로 암호화됩니다. 관리 디스크의 경우 스토리지 내부의 콘텐츠는 플랫폼 관리형 키를 사용하는 서버 쪽 암호화를 사용하여 기본적으로 암호화됩니다. 키는 Azure Storage 서비스에서 관리됩니다.
비밀 또는 암호화 키를 어떻게 회전하나요?
비밀을 회전하려면 디스크 암호화를 사용하도록 설정하는 데 원래 사용했던 것과 동일한 명령을 호출하고 다른 키 자격 증명 모음을 지정합니다. 키 암호화 키를 회전하려면 디스크 암호화를 사용하도록 설정하는 데 원래 사용했던 것과 동일한 명령을 호출하고 새 키 암호화를 지정합니다.
Warning
- 이전에 Microsoft Entra 자격 증명 지정을 통해 Microsoft Entra 앱에서 Azure Disk Encryption을 사용하여 이 VM을 암호화한 경우에는 이 옵션을 계속 사용해야 합니다. Microsoft Entra ID가 있는 Azure Disk Encryption을 사용하여 암호화된 VM에서 Microsoft Entra ID가 없는 Azure Disk Encryption을 사용하는 것은 아직 지원되지 않는 시나리오입니다.
KEK(키 암호화 키)를 처음 사용하는 경우 추가 또는 제거는 어떻게 해야 하나요?
키 암호화 키를 추가하려면 키 암호화 키 매개 변수를 전달하는 사용 명령을 다시 호출합니다. 키 암호화 키를 제거하려면 키 암호화 키 매개 변수 없이 사용 명령을 다시 호출합니다.
KEK(키 암호화 키)에는 어떤 크기를 사용해야 하나요?
Windows Server 2022 및 Windows 11은 최신 버전의 BitLocker를 포함하고 있으며 현재 RSA 2048 비트 키 암호화 키와 함께 작동하지 않습니다. 이 문제가 해결될 때까지 지원되는 운영 체제에 설명된 대로 RSA 3072 또는 RSA 4096 비트 키를 사용합니다.
이전 버전의 Windows에서는 RSA 2048 키 암호화 키를 대신 사용할 수 있습니다.
Azure Disk Encryption에서 BYOK(Bring Your Own Key)를 가져올 수 있나요?
네, 사용자 고유의 키 암호화 키를 제공할 수 있습니다. 이러한 키는 Azure Disk Encryption에 대한 키 저장소인 Azure Key Vault에서 보호됩니다. 키 암호화 키 지원 시나리오에 대한 자세한 내용은 Azure Disk Encryption에 대한 키 자격 증명 모음 만들기 및 구성을 참조하세요.
Azure에서 만든 키 암호화 키를 사용할 수 있나요?
예, Azure Key Vault를 사용하여 Azure Disk Encryption을 사용하기 위한 키 암호화 키를 생성할 수 있습니다. 이러한 키는 Azure Disk Encryption에 대한 키 저장소인 Azure Key Vault에서 보호됩니다. 키 암호화 키에 대한 자세한 내용은 Azure Disk Encryption에 대한 키 자격 증명 모음 만들기 및 구성을 참조하세요.
온-프레미스 키 관리 서비스 또는 HSM을 사용하여 암호화 키를 보호할 수 있나요?
온-프레미스 키 관리 서비스 또는 HSM은 Azure Disk Encryption을 통해 암호화 키를 보호하는 데 사용할 수 없습니다. Azure Key Vault 서비스만 사용하여 암호화 키를 보호할 수 있습니다. 키 암호화 키 지원 시나리오에 대한 자세한 내용은 Azure Disk Encryption에 대한 키 자격 증명 모음 만들기 및 구성을 참조하세요.
Azure Disk Encryption을 구성하기 위한 필수 구성 요소는 무엇인가요?
Azure Disk Encryption의 경우 필수 구성 요소가 있습니다. 새로운 키 자격 증명 모음을 만들거나, 디스크 암호화 액세스에 대한 기존 키 자격 증명 모음을 설정하여 암호화를 사용하도록 설정하고 비밀과 키를 보호하려면 Azure Disk Encryption에 대한 키 자격 증명 모음 만들기 및 구성 문서를 참조하세요. 키 암호화 키 지원 시나리오에 대한 자세한 내용은 Azure Disk Encryption에 대한 키 자격 증명 모음 만들기 및 구성을 참조하세요.
Microsoft Entra 앱(이전 릴리스)을 사용하여 Azure Disk Encryption을 구성하기 위한 필수 구성 요소는 무엇인가요?
Azure Disk Encryption의 경우 필수 구성 요소가 있습니다. Microsoft Entra 애플리케이션을 만들거나, 새로운 키 자격 증명 모음을 만들거나, 디스크 암호화 액세스에 대한 기존 키 자격 증명 모음을 설정하여 암호화를 사용하도록 설정하고 비밀과 키를 보호하려면 Microsoft Entra ID를 사용한 Azure Disk Encryption 콘텐츠를 참조하세요. 키 암호화 키 지원 시나리오에 대한 자세한 내용은 Microsoft Entra ID를 사용하여 Azure Disk Encryption에 대한 키 자격 증명 모음 만들기 및 구성을 참조하세요.
Microsoft Entra 앱(이전 릴리스)을 사용한 Azure Disk Encryption은 여전히 지원되나요?
예. Microsoft Entra 앱을 사용한 디스크 암호화는 계속 지원됩니다. 그러나 새 VM을 암호화하는 경우 Microsoft Entra 앱을 사용하여 암호화하기보다 새 메서드를 사용하는 것이 좋습니다.
Microsoft Entra 앱을 사용하여 암호화된 VM을 Microsoft Entra 앱을 사용하지 않는 암호화로 마이그레이션할 수 있나요?
현재 Microsoft Entra 앱을 사용하여 암호화된 머신을 Microsoft Entra 앱을 사용하지 않는 암호화로 직접 마이그레이션하는 경로는 없습니다. 또한 Microsoft Entra 앱을 사용하지 않는 암호화에서 AD 앱을 사용한 암호화까지의 직접 경로는 없습니다.
Azure Disk Encryption에서 지원하는 Azure PowerShell 버전은 무엇인가요?
최신 버전의 Azure PowerShell SDK를 사용하여 Azure Disk Encryption을 구성합니다. 최신 버전의 Azure PowerShell을 다운로드합니다. Azure SDK 버전 1.1.0에서는 Azure Disk Encryption을 지원하지 않습니다.
디스크 "Bek Volume" 또는 "/mnt/azure_bek_disk"란 무엇인가요?
“Bek volume”은 암호화된 Azure VM에 대한 암호화 키를 안전하게 저장하는 로컬 데이터 볼륨입니다.
참고 항목
이 디스크의 내용은 삭제하거나 편집하지 않아야 합니다. IaaS VM의 암호화 작업에 암호화 키가 필요하므로 이 디스크를 분리하지 않도록 합니다.
Azure Disk Encryption에는 어떤 암호화 방법이 사용되나요?
Azure Disk Encryption은 다음과 같이 Windows 버전에 따라 BitLocker의 암호화 방법을 선택합니다.
Windows 버전 | 버전 | 암호화 방법 |
---|---|---|
Windows Server 2012, Windows 10 이상 | >=1511 | XTS-AES 256비트 |
Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES 256비트 * |
Windows Server 2008R2 | AES 256비트(디퓨저 포함) |
* AES 256비트(디퓨저 포함)는 Windows 2012 이상에서 지원되지 않습니다.
Windows OS 버전을 확인하려면 가상 머신에서 'winver' 도구를 실행합니다.
암호화된 VM을 백업하고 복원할 수 있나요?
Azure Backup은 동일한 구독 및 지역 내에서 암호화된 VM을 백업 및 복원하는 메커니즘을 제공합니다. 지침은 Azure Backup을 사용하여 암호화된 가상 머신을 백업 및 복원을 참조하세요. 암호화된 VM을 다른 지역으로 복원하는 것은 현재 지원되지 않습니다.
질문을 하거나 의견을 제출할 수 있는 곳은 어디인가요?
Azure Disk Encryption의 Microsoft Q&A 질문 페이지에서 질문하거나 피드백을 제출할 수 있습니다.
다음 단계
이 문서에서는 Azure Disk Encryption와 관련하여 가장 자주 묻는 질문에 대해 자세히 알아 보았습니다. 이 서비스에 대한 자세한 내용은 다음 문서를 참조하세요.