부팅 무결성 모니터링 개요

아티클
08/24/2024

Azure Trusted Launch가 VM(가상 머신)에서 악의적인 루트킷 공격을 더 잘 방지할 수 있도록 Azure Attestation 엔드포인트를 통한 게스트 증명을 사용하여 부팅 시퀀스 무결성을 모니터링합니다. 이 증명은 플랫폼 상태의 유효성을 제공하는 데 중요합니다.

신뢰할 수 있는 시작 VM을 사용하려면 증명 확장을 설치할 수 있도록 보안 부팅 및 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)을 사용하도록 설정해야 합니다. 클라우드용 Microsoft Defender 게스트 증명 확인 상태 및 VM의 부팅 무결성이 올바르게 설정되었는지에 따라 보고서를 제공합니다. 클라우드용 Microsoft Defender 통합에 대한 자세한 내용은 클라우드용 Microsoft Defender 신뢰할 수 있는 시작 통합을 참조하세요.

Important

이제 부팅 무결성 모니터링 - 게스트 증명 확장에 자동 확장 업그레이드를 사용할 수 있습니다. 자세한 내용은 자동 확장 업그레이드를 참조 하세요.

필수 조건

활성 Azure 구독 및 신뢰할 수 있는 시작 VM이 필요합니다.

무결성 모니터링 사용

무결성 모니터링을 사용하도록 설정하려면 이 섹션의 단계를 수행합니다.

Azure Portal에 로그인합니다.
리소스(Virtual Machines)를 선택합니다.
설정에서 구성을 선택합니다. 보안 유형 창에서 무결성 모니터링을 선택합니다.
변경 내용을 저장합니다.

VM 개요 페이지에서 무결성 모니터링에 대한 보안 유형이 사용으로 표시되어야 합니다.

이 작업은 확장 + 애플리케이션 탭의 설정을 통해 참조할 수 있는 게스트 증명 확장을 설치합니다 .

빠른 시작 템플릿을 사용하여 신뢰할 수 있는 시작 VM에 대한 게스트 증명 확장을 배포할 수 있습니다.

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}

신뢰할 수 있는 시작 VM의 초기 배포를 통해 보안 부팅 및 vTPM 기능이 있는 신뢰할 수 있는 시작이 있는 VM을 만듭니다. 게스트 증명 확장을 배포하려면 .를 사용합니다 --enable-integrity-monitoring. VM 소유자는 .를 사용하여 az vm createVM 구성을 사용자 지정할 수 있습니다.
기존 VM의 경우 무결성 모니터링이 켜져 있는지 확인하기 위해 업데이트하여 부팅 무결성 모니터링 설정을 사용하도록 설정할 수 있습니다. --enable-integrity-monitoring을 사용할 수 있습니다.

참고 항목

게스트 증명 확장을 명시적으로 구성해야 합니다.

게스트 증명 확장 설치 문제 해결 가이드

이 섹션에서는 증명 오류 및 해결에 대해 설명합니다.

증상

NSG(네트워크 보안 그룹) 또는 프록시를 설정할 때 Azure Attestation 확장이 제대로 작동하지 않습니다. "Microsoft.Azure.Security.WindowsAttestation.GuestAttestation 프로비저닝 실패"처럼 보이는 오류가 나타납니다.

해결 방법

Azure에서 NSG는 Azure 리소스 간의 네트워크 트래픽을 필터링하는 데 사용됩니다. NSG에는 인바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙 또는 여러 유형의 Azure 리소스에서 아웃바운드 네트워크 트래픽이 포함됩니다. Azure Attestation 엔드포인트는 게스트 증명 확장과 통신할 수 있어야 합니다. 이 엔드포인트가 없으면 신뢰할 수 있는 시작에서 게스트 증명에 액세스할 수 없으므로 클라우드용 Microsoft Defender VM의 부팅 시퀀스의 무결성을 모니터링할 수 있습니다.

서비스 태그를 사용하여 NSG에서 Azure 증명 트래픽의 차단을 해제하려면 다음을 수행합니다.

아웃바운드 트래픽을 허용하려는 VM으로 이동합니다.
맨 왼쪽 창의 네트워킹 아래에서 네트워킹 설정을 선택합니다.
그런 다음, 포트 규칙>아웃바운드 포트 규칙 만들기를 선택합니다.
Azure Attestation을 허용하려면 대상을 서비스 태그로 만듭니다. 이 설정을 사용하면 IP 주소 범위를 업데이트하고 Azure Attestation을 허용하는 규칙을 자동으로 설정할 수 있습니다. 대상 서비스 태그를 AzureAttestation으로 설정하고 작업을 허용으로 설정합니다.

방화벽은 여러 신뢰할 수 있는 시작 VM을 포함하는 가상 네트워크를 보호합니다. 애플리케이션 규칙 컬렉션을 사용하여 방화벽에서 Azure 증명 트래픽의 차단을 해제하려면 다음을 수행합니다.

신뢰할 수 있는 시작 VM 리소스에서 트래픽이 차단된 Azure Firewall 인스턴스로 이동합니다.
설정에서 규칙(클래식)을 선택하여 방화벽 뒤에서 게스트 증명 차단 해제를 시작합니다.
네트워크 규칙 컬렉션에서 네트워크 규칙 컬렉션 추가를 선택합니다.
필요에 따라 이름, 우선 순위, 원본 유형 및 대상 포트를 구성합니다. 서비스 태그 이름을 AzureAttestation으로 설정하고 작업을 허용으로 설정합니다.

애플리케이션 규칙 컬렉션을 사용하여 방화벽에서 Azure 증명 트래픽의 차단을 해제하려면 다음을 수행합니다.

신뢰할 수 있는 시작 VM 리소스에서 트래픽이 차단된 Azure Firewall 인스턴스로 이동합니다.

규칙 컬렉션에는 FQDN(정규화된 도메인 이름)을 대상으로 하는 규칙이 하나 이상 포함되어야 합니다.
애플리케이션 규칙 컬렉션을 선택하고 애플리케이션 규칙을 추가합니다.
애플리케이션 규칙에 대한 이름 및 숫자 우선 순위를 선택합니다. 규칙 컬렉션에 대한 작업을 허용으로 설정합니다.
이름, 원본 및 프로토콜을 구성합니다. 원본 유형은 단일 IP 주소에 대한 것입니다. 방화벽을 통해 여러 IP 주소를 허용하려면 IP 그룹을 선택합니다.

지역 공유 공급자

Azure Attestation은 사용 가능한 각 지역에 지역 공유 공급자를 제공합니다. 지역 공유 공급자를 증명에 사용하거나 사용자 지정 정책을 사용하여 고유한 공급자를 만들도록 선택할 수 있습니다. 모든 Microsoft Entra 사용자는 공유 공급자에 액세스할 수 있습니다. 연결된 정책은 변경할 수 없습니다.

참고 항목

원본 유형, 서비스, 대상 포트 범위, 프로토콜, 우선 순위 및 이름을 구성할 수 있습니다.

신뢰할 수 있는 시작 및 신뢰할 수 있는 시작 VM 배포에 대해 자세히 알아봅니다.

다음을 통해 공유

부팅 무결성 모니터링 개요

필수 조건

무결성 모니터링 사용

Windows

Linux

게스트 증명 확장 설치 문제 해결 가이드

증상

해결 방법

지역 공유 공급자

피드백

추가 리소스

다음을 통해 공유

부팅 무결성 모니터링 개요

필수 조건

무결성 모니터링 사용

게스트 증명 확장 설치 문제 해결 가이드

증상

해결 방법

지역 공유 공급자

관련 콘텐츠

피드백

추가 리소스