다음을 통해 공유

Azure VMware Solution에 대한 신뢰할 수 있는 시작

  • 아티클

이 문서에서는 신뢰할 수 있는 시작 및 Azure VMware Solution의 Virtual Machines에서 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)을 구성하는 방법에 대해 알아봅니다. 신뢰할 수 있는 시작은 보안 부팅, vTPM(가상 신뢰할 수 있는 플랫폼 모듈) 및 VBS(가상화 기반 보안)의 세 가지 주요 구성 요소를 포함하는 포괄적인 보안 솔루션입니다. 이러한 각 구성 요소는 VM의 보안 태세를 강화하는 데 중요한 역할을 합니다.

신뢰할 수 있는 시작, 보안 부팅, 가상 신뢰할 수 있는 플랫폼 모듈 및 가상화 기반 보안의 세 가지 핵심 요소를 보여 주는 다이어그램

이점

• 확인된 부팅 로더, 운영 체제 커널 및 드라이버를 사용하여 VM을 안전하게 배포합니다.

• VM에서 키, 인증서 및 비밀을 안전하게 보호합니다.

• 전체 부팅 체인의 무결성에 대한 통찰력과 자신감을 얻습니다.

• 워크로드를 신뢰할 수 있고 확인할 수 있는지 확인합니다.

보안 부팅

보안 부팅은 신뢰할 수 있는 시작의 첫 번째 방어선입니다. 서명된 운영 체제 및 드라이버만 부팅할 수 있도록 하여 VM에 대한 "신뢰의 루트"를 설정합니다. 이렇게 하면 전체 시스템의 보안을 손상시킬 수 있는 맬웨어 기반 루트킷 및 부트킷의 설치를 방지할 수 있습니다. 보안 부팅을 사용하도록 설정하면 부팅 로더에서 커널 및 커널 드라이버에 이르는 부팅 프로세스의 모든 측면을 신뢰할 수 있는 게시자가 디지털 서명해야 합니다. 이렇게 하면 무단 수정에 대한 강력한 보호막이 생성되고 VM이 안전하고 신뢰할 수 있는 상태로 시작됩니다.

vTPM(가상 신뢰할 수 있는 플랫폼 모듈)

vTPM은 TPM(하드웨어 신뢰할 수 있는 플랫폼 모듈) 2.0 디바이스의 가상화된 버전입니다. 키, 인증서 및 비밀을 저장하기 위한 전용 보안 자격 증명 모음 역할을 합니다. vTPM을 차별화하는 것은 VM의 손이 닿지 않는 보안 환경에서 작동하여 변조 방지 및 매우 안전한 기능입니다. vTPM의 주요 기능 중 하나는 증명입니다. UEFI, OS, 시스템 구성 요소 및 드라이버를 포함하여 VM의 전체 부팅 체인을 측정하여 VM이 안전하게 부팅되었음을 인증합니다. 이 증명 메커니즘은 VM의 무결성을 확인하고 손상되지 않았는지 확인하는 데 매우 중요합니다.

VBS(가상화 기반 보안)

VBS(가상화 기반 보안)는 신뢰할 수 있는 시작 퍼즐의 마지막 부분입니다. 하이퍼바이저를 활용하여 VM 내에서 격리된 보안 메모리 영역을 만듭니다. VBS는 가상화를 사용하여 격리된 하이퍼바이저 제한 특수 하위 시스템을 만들어 시스템 보안을 강화합니다. 자격 증명의 무단 액세스로부터 보호를 제공하고, Windows 시스템에서 맬웨어가 실행되지 않도록 방지하며, 신뢰할 수 있는 코드만 부팅 로더에서 실행되도록 합니다.

Azure VMware Solution을 사용하여 Virtual Machines에서 vTPM(가상 신뢰할 수 있는 플랫폼 모듈) 구성

이 섹션에서는 Azure VMware Solution에서 실행되는 VMware vSphere VM(가상 머신)에서 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)을 사용하도록 설정하는 방법을 보여 줍니다.

VMware vSphere의 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)은 VM 암호화를 활용하는 물리적 TPM 2.0 칩의 가상 모듈입니다. 물리적 TPM과 동일한 기능을 제공하지만 VM 내에서 작동합니다. 각 VM에는 고유한 격리된 vTPM이 있을 수 있으므로 중요한 정보를 보호하고 시스템 무결성을 유지하는 데 도움이 됩니다. 이 설정을 통해 VM은 BitLocker 디스크 암호화와 같은 보안 기능을 적용하고 가상 하드웨어 디바이스를 인증하여 보다 안전한 가상 환경을 만들 수 있습니다.

필수 조건

Azure VMware Solution의 VM에서 vTPM을 구성하기 전에 다음 필수 구성 요소가 충족되는지 확인합니다.

  • 가상 머신은 EFI 펌웨어를 사용해야 합니다.
  • 가상 머신은 하드웨어 버전 14 이상이어야 합니다.
  • 게스트 OS 지원: Linux, Windows Server 2008 이상, Windows 7 이상.

Important

고객은 Azure VMware Solution에서 vTPM을 사용하도록 키 공급자를 구성할 필요가 없습니다. Azure VMware Solution은 이미 각 환경에 대한 주요 공급자를 제공하고 관리합니다.

vTPM을 구성하는 방법

Azure VMware Solution의 VM에서 vTPM을 구성하려면 다음 단계를 수행합니다.

  1. vSphere 클라이언트를 사용하여 vCenter Server에 연결합니다.

  2. 인벤토리에서 수정할 가상 머신을 마우스 오른쪽 단추로 클릭하고 "설정 편집"을 선택합니다.

Azure VMware Solution의 가상 머신에서 vTPM을 사용하도록 설정하는 방법을 보여 주는 다이어그램

  1. 설정 편집 대화 상자에서 "새 디바이스 추가"를 클릭하고 "신뢰할 수 있는 플랫폼 모듈"을 선택합니다.

  2. "확인"을 클릭합니다. 가상 머신 요약 탭은 VM 하드웨어 창에 가상 신뢰할 수 있는 플랫폼 모듈을 표시합니다.

Important

VMware vSphere 7에서 가상 머신을 복제하면 VM과 vTPM의 정확한 복제본이 만들어집니다. VMware vSphere 8에는 TPM을 복사하거나 교체하는 옵션이 도입되어 다양한 사용 사례를 더 잘 처리할 수 있습니다.

지원되지 않는 시나리오

일부 도구에서는 vTPM을 사용하여 VM 마이그레이션을 지원하지 않을 수 있습니다. 마이그레이션 도구의 설명서를 확인합니다. 지원되지 않는 경우 VMware 설명서에 따라 vTPM을 안전하게 사용하지 않도록 설정하고 마이그레이션 후 다시 사용하도록 설정할 수 있습니다.

자세한 정보

가상 신뢰할 수 있는 플랫폼 모듈을 사용하여 Virtual Machines 보안

가상 신뢰할 수 있는 플랫폼 모듈이란?

vSphere VTPM(Virtual TPM) 질문 및 답변