Hyper-V 2세대 VM(가상 머신)은 중요한 데이터를 보호하고 무단 액세스 또는 변조를 방지하도록 설계된 강력한 보안 기능을 제공합니다. 이 문서에서는 2세대 VM에 대해 Hyper-V Manager에서 사용할 수 있는 보안 설정을 살펴보고 구성하는 방법을 보여 줍니다. 이러한 기능이 위협으로부터 VM을 보호하고 보안 모범 사례를 준수하는 데 어떻게 도움이 되는지 알아봅니다.
Hyper-V 2세대 VM에 사용할 수 있는 보안 기능은 다음과 같습니다.
- 보안 부팅.
- TPM(신뢰할 수 있는 플랫폼 모듈), 실시간 마이그레이션 및 저장된 상태에 대한 암호화 지원
- 보호된 VM.
- HGS(Host Guardian Service).
이러한 보안 기능은 가상 머신의 데이터와 상태를 보호하는 데 도움이 되도록 설계되었습니다. 호스트에서 실행될 수 있는 맬웨어와 데이터 센터 관리자 모두에서 검사, 도난 및 변조로부터 VM을 보호할 수 있습니다. 보안 수준은 실행하는 호스트 하드웨어, 가상 머신 생성 및 호스트가 보호된 VM을 시작할 수 있도록 권한을 부여하는 HGS(호스트 보호 서비스)를 설정했는지 여부에 따라 달라집니다.
호스트 보호 서비스는 Windows Server 2016에서 처음 도입되었습니다. 합법적인 Hyper-V 호스트를 식별하고 보호된 VM 집합을 실행할 수 있습니다. 데이터 센터에 대해 호스트 보호 서비스를 가장 일반적으로 사용하도록 설정하지만 호스트 보호 서비스를 설정하지 않고 로컬로 실행하는 보호된 VM을 만들 수도 있습니다. 나중에 보호된 가상 머신을 호스트 보호 서비스에 배포할 수 있습니다.
호스트 보호 서비스를 사용하여 VM을 보다 안전하게 만드는 방법을 알아보려면 보호된 패브릭 및 보호된 VM을 참조하고 패브릭 강화: Hyper-V 테넌트 비밀 보호(Ignite 비디오)를 참조하세요.
보안 부팅
보안 부팅은 권한 없는 펌웨어, 운영 체제 또는 UEFI(Unified Extensible Firmware Interface) 드라이버(옵션 ROM이라고도 함)가 부팅 시 실행되지 않도록 방지하는 2세대 VM에서 사용할 수 있는 기능입니다. 보안 부팅은 기본적으로 사용 됩니다. Windows 또는 Linux 배포 운영 체제를 실행하는 2세대 VM에서 보안 부팅을 사용할 수 있습니다.
VM의 운영 체제 및 구성에 따라 세 가지 템플릿을 사용할 수 있습니다. 다음 표에서는 이러한 각 템플릿을 나열하고 부팅 프로세스의 무결성을 확인하는 데 필요한 인증서를 참조합니다.
| 템플릿 이름 | Compatibility |
|---|---|
| Microsoft Windows | Windows 운영 체제. |
| Microsoft UEFI 인증 기관 | Linux 배포 운영 체제. |
| 오픈 소스 보호 VM | Linux 기반 보호 VM. |
암호화 지원
Hyper-V 2세대 가상 머신은 가상화된 인프라에 대한 여러 보호 계층을 제공하는 강력한 암호화 기능을 제공합니다. 암호화 지원에는 TPM(신뢰할 수 있는 플랫폼 모듈) 기능, 실시간 마이그레이션 네트워크 트래픽 및 저장된 상태 데이터의 세 가지 중요한 영역이 포함됩니다. 이러한 보안 기능은 함께 작동하여 무단 액세스 및 데이터 침해에 대한 포괄적인 방어를 만들어 중요한 정보가 미사용 및 전송 중에 보호되도록 합니다.
vTPM(가상화된 TPM) 기능은 VM 보안 아키텍처의 상당한 발전을 나타냅니다. 2세대 가상 머신에 vTPM을 추가하면 게스트 운영 체제에서 물리적 컴퓨터에서 사용할 수 있는 함수와 유사한 하드웨어 기반 보안 기능을 사용할 수 있습니다. 이 가상화된 보안 칩을 사용하면 게스트 OS가 BitLocker 드라이브 암호화를 사용하여 전체 가상 머신 디스크를 암호화하여 무단 액세스에 대한 추가 보호 계층을 만들 수 있습니다. 또한 vTPM은 TPM이 필요한 다른 보안 기술을 지원할 수 있으므로 보안 표준 및 규정을 엄격하게 준수해야 하는 엔터프라이즈 환경의 필수 구성 요소입니다.
지원되는 버전의 Windows Server 또는 Windows를 실행하는 호스트로 가상 TPM을 사용하도록 설정된 가상 머신을 마이그레이션할 수 있습니다. 다른 호스트로 마이그레이션하는 경우 시작하지 못할 수 있습니다. 새 호스트 가상 머신을 실행할 권한을 부여하려면 해당 가상 머신에 대한 키 보호기를 업데이트해야 합니다. 자세한 내용은 보호된 패브릭 및 보호된 VM 및 Windows Server의 Hyper-V에 대한 시스템 요구 사항을 참조하세요.
Hyper-v 관리자의 보안 정책
보호된 가상 머신은 Hyper-V 2세대 VM에 사용할 수 있는 최고 수준의 보안을 나타내며 외부 위협 및 권한 있는 액세스 공격 모두에 대해 포괄적인 보호를 제공합니다. 가상 머신에서 보호 기능을 사용하도록 설정하면 중요한 VM 함수에 대한 관리 액세스를 제한하면서 VM의 상태 및 마이그레이션 트래픽을 암호화하는 강화된 환경을 만듭니다. 이 보호는 데이터 센터 관리자 및 호스트 수준 맬웨어가 실시간 마이그레이션 작업 중에 VM의 메모리, 저장된 상태 또는 네트워크 트래픽에 액세스하지 못하도록 하여 기존의 보안 조치를 넘어 확장됩니다.
보호 기능은 보안 부팅, TPM 사용 및 저장된 상태 및 마이그레이션 트래픽의 암호화를 비롯한 여러 보안 요구 사항을 자동으로 적용합니다. 또한 보호된 VM은 콘솔 연결, PowerShell Direct 및 공격자가 잠재적으로 악용할 수 있는 특정 통합 구성 요소와 같은 특정 관리 기능을 사용하지 않도록 설정합니다. 이 방법은 가상 머신이 호스트 시스템에 효과적으로 불투명해지는 심층 방어 보안 모델을 만들어 손상된 호스팅 환경에서도 중요한 워크로드가 보호되도록 합니다. 조직은 엔터프라이즈 규모 구현을 위해 호스트 보호 서비스를 사용하여 보호된 VM을 배포하거나 소규모 배포에서 보안 강화를 위해 로컬로 실행할 수 있습니다.
차폐 가상 머신 호스트 보호자 서비스를 설정하지 않고 로컬에서 실행할 수 있습니다. 다른 호스트로 마이그레이션하는 경우 시작하지 못할 수 있습니다. 새 호스트 가상 머신을 실행할 권한을 부여하려면 해당 가상 머신에 대한 키 보호기를 업데이트해야 합니다. 자세한 내용은 보호된 패브릭 및 차폐 VM을 참조하십시오.
관련 콘텐츠
자세한 내용은 다음 문서를 참조하세요.