가상 시스템에서 실행되는 게스트 운영 체제에는 물리적 시스템과 동일한 보안 위험이 따릅니다.
가상 환경의 보안을 향상시키기 위해 ESXi 호스트에 vTPM(신뢰할 수 있는 가상 플랫폼 모듈)을 추가할 수 있습니다. 또한 최신 Windows 10 및 Windows Server 2016 운영 체제를 실행하는 가상 시스템에 VBS(가상화 기반 보안)를 사용하도록 설정할 수 있습니다. 가상 시스템에 대해 vSGX(Virtual Intel® Software Guard Extensions)를 사용하여 워크로드에 추가적인 보안을 제공할 수 있습니다.
VMware Host Client의 가상 시스템에서 vSGX 활성화
Enclave 컨텐츠가 공개 및 수정되는 것을 방지하려면 VMware Host Client의 가상 시스템에서 vSGX를 활성화하면 됩니다.
- vSGX를 사용하여 가상 시스템 보호
- vSphere에서 가상 시스템에 대해 vSGX를 구성할 수 있습니다. 일부 최신 Intel CPU는 Intel ® SGX(Intel ® Software Guard Extension)라고 하는 보안 확장을 구현합니다. Intel SGX를 사용하면 사용자 수준 코드에서 Enclave라고 하는 메모리의 개인 영역을 정의할 수 있습니다. Intel SGX는 공개 또는 수정으로부터 Enclave 컨텐츠를 보호하여 Enclave 외부에서 실행되는 코드가 Enclave 컨텐츠에 액세스할 수 없도록 합니다.
일부 작업 및 기능은 SGX와 호환되지 않습니다.
- Storage vMotion을 사용한 마이그레이션
- 가상 시스템 일시 중단 또는 재개
- 가상 시스템의 스냅샷 생성
- Fault Tolerance
- GI(게스트 무결성, VMware AppDefense 1.0의 플랫폼 기반) 사용
사전 요구 사항
-
가상 시스템의 전원을 끕니다.
- 가상 시스템에서 EFI 펌웨어를 사용하는지 확인합니다.
- ESXi 호스트가 버전 7.0 이상인지 확인합니다.
- 가상 시스템의 게스트 운영 체제가 Linux, Windows 10(64비트) 이상 또는 Windows Server 2016(64비트) 이상인지 확인합니다.
- 가상 시스템에 대해 권한이 있는지 확인합니다.
- ESXi 호스트가 SGX 지원 CPU에 설치되어 있고 ESXi 호스트의 BIOS에서 SGX를 사용하도록 설정되어 있는지 확인합니다. 지원되는 CPU에 대한 자세한 내용은 https://kb.vmware.com/s/article/71367에서 참조하십시오.
프로시저
VMware Host Client의 가상 시스템에서 vSGX 비활성화
가상 시스템에서 vSGX를 비활성화하려면 VMware Host Client를 사용하면 됩니다.
프로시저
- VMware Host Client 인벤토리에서 가상 시스템을 클릭합니다.
- 목록에서 가상 시스템을 마우스 오른쪽 버튼으로 클릭하고 팝업 메뉴에서 설정 편집을 선택합니다.
- 가상 하드웨어 탭에서 보안 디바이스를 확장합니다.
- 사용 확인란의 선택을 취소하고 저장을 클릭합니다.
결과
vSGX가 가상 시스템에서 비활성화되어 있습니다.
VMware Host Client를 사용하여 VM에서 vTPM 디바이스 제거
TPM(신뢰할 수 있는 플랫폼 모듈)은 호스트 관련 중요 정보(예: 개인 키 및 운영 체제 암호)를 저장하는 특수한 칩입니다. 또한 TPM 칩은 암호화 작업을 수행하고 플랫폼의 무결성을 증명하는 데에도 사용됩니다. VMware Host Client에서는 가상 시스템에서 vTPM 디바이스를 제거할 수만 있습니다.
가상 TPM 디바이스는 TPM 기능의 소프트웨어 에뮬레이션입니다. 환경 내 가상 시스템에 vTPM(가상 TPM) 디바이스를 추가할 수 있습니다. vTPM을 구현하기 위해 호스트에 물리적 TPM 칩이 필요하지 않습니다. ESXi는 vTPM 디바이스를 사용하여 vSphere 환경에 TPM 기능을 적용합니다.
vTPM은 Windows 10 및 Windows Server 2016 운영 체제가 있는 가상 시스템에 사용할 수 있습니다. 가상 시스템은 하드웨어 버전 14 이상이어야 합니다.
vCenter Server 인스턴스에서만 가상 TPM 디바이스를 가상 시스템에 추가할 수 있습니다. 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.
VMware Host Client에서는 가상 시스템에서 가상 TPM 디바이스를 제거할 수만 있습니다.
사전 요구 사항
- 가상 시스템은 하드웨어 버전 14 이상이어야 합니다.
- 게스트 운영 체제가 Windows 10 또는 Windows Server 2016 이상이어야 합니다.
- 가상 시스템의 전원을 꺼야 합니다.
프로시저
VMware Host Client에서 기존 VM에 가상화 기반 보안 활성화 또는 비활성화
VBS(가상화 기반 보안)는 Microsoft Hyper-V 기반 가상화 기술을 사용하여 별도의 가상화된 환경에서 핵심 Windows OS 서비스를 분리합니다. 이렇게 분리하면 환경 내 키 서비스를 조작할 수 없기 되므로 보호가 한층 강화됩니다.
지원되는 Windows 게스트 운영 체제에 대해 기존 가상 시스템에서 Microsoft VBS(가상화 기반 보안)를 사용하거나 사용하지 않도록 설정하여 가상 시스템의 보안 수준을 변경할 수 있습니다.
가상 시스템에서 VBS를 활성화하면 VBS 기능을 위해 Windows에 필요한 가상 하드웨어가 자동으로 활성화됩니다. VBS를 사용하도록 설정하면 가상 시스템에서 Hyper-V 변형이 시작되고 Hyper-V 루트 파티션 내에서 Windows가 실행됩니다.
VBS는 최신 Windows 운영 체제 버전(예: Windows 10 및 Windows Server 2016)에서 사용할 수 있습니다. 가상 시스템에서 VBS를 사용하려면 가상 시스템 호환성이 ESXi 6.7 이상이어야 합니다.
VMware Host Client에서는 가상 시스템을 생성하는 동안 VBS를 활성화할 수 있습니다. 또는 기존 가상 시스템에 대해 VBS를 활성화 또는 비활성화할 수 있습니다.
사전 요구 사항
호스트의 TPM 검증이 성공하는 경우에만 가상 시스템에서 VBS를 활성화할 수 있습니다.
VBS에 Intel CPU를 사용하려면 vSphere 6.7 이상이 필요합니다. 하드웨어 버전 14 이상 및 지원되는 다음 게스트 운영 체제 중 하나를 사용하여 가상 시스템이 생성되어 있어야 합니다.
- Windows 10(64비트) 이상 릴리스
- Windows Server 2016(64비트) 이상 릴리스
VBS에 AMD CPU를 사용하려면 vSphere 7.0 업데이트 2 이상이 필요합니다. 하드웨어 버전 19 이상 및 지원되는 다음 게스트 운영 체제 중 하나를 사용하여 가상 시스템이 생성되어 있어야 합니다.
- Windows 10(64비트), 버전 1809 이상 릴리스
- Windows Server 2019(64비트) 이상 릴리스
VBS를 사용하도록 설정하기 전에 Windows 10, 버전 1809 및 Windows Server 2019에 대한 최신 패치를 설치해야 합니다.
AMD 플랫폼의 가상 시스템에서 VBS를 활성화하는 방법에 대한 자세한 내용은 VMware KB 문서 https://kb.vmware.com/s/article/89880을 참조하십시오.