Apple 플랫폼 배포
- 환영합니다
- Apple 플랫폼 배포 개요
- 새로운 기능
-
-
- 손쉬운 사용 페이로드 설정
- Active Directory 인증서 페이로드 설정
- AirPlay 페이로드 설정
- AirPlay 보안 페이로드 설정
- AirPrint 페이로드 설정
- 앱 잠금 페이로드 설정
- 연결된 도메인 페이로드 설정
- 자동 인증서 관리 환경(ACME) 페이로드 설정
- 자율적인 단일 앱 모드 페이로드 설정
- 캘린더 페이로드 설정
- 셀룰러 페이로드 설정
- 셀룰러 개인 네트워크 페이로드 설정
- 인증서 환경설정 페이로드 설정
- 인증서 해지 페이로드 설정
- 인증서 투명성 페이로드 설정
- 인증서 페이로드 설정
- 회의실 디스플레이 페이로드 설정
- 연락처 페이로드 설정
- 콘텐츠 캐싱 페이로드 설정
- 디렉토리 서비스 페이로드 설정
- DNS 프록시 페이로드 설정
- DNS 설정 페이로드 설정
- Dock 페이로드 설정
- 도메인 페이로드 설정
- 에너지 절약 페이로드 설정
- Exchange ActiveSync(EAS) 페이로드 설정
- Exchange Web Services(EWS) 페이로드 설정
- 확장 가능한 단일 로그인 페이로드 설정
- 확장 가능한 단일 로그인 Kerberos 페이로드 설정
- 확장 프로그램 페이로드 설정
- FileVault 페이로드 설정
- Finder 페이로드 설정
- 방화벽 페이로드 설정
- 서체 페이로드 설정
- 전역 HTTP 프록시 페이로드 설정
- Google 계정 페이로드 설정
- 홈 화면 레이아웃 페이로드 설정
- ID 페이로드 설정
- 신원 환경설정 페이로드 설정
- 커널 확장 프로그램 정책 페이로드 설정
- LDAP 페이로드 설정
- 대역 외 연결 관리(LOM) 페이로드 설정
- 잠금 화면 메시지 페이로드 설정
- 로그인 윈도우 페이로드 설정
- 관리형 로그인 항목 페이로드 설정
- Mail 페이로드 설정
- 네트워크 사용 규칙 페이로드 설정
- 알림 페이로드 설정
- 유해 콘텐츠 차단 페이로드 설정
- 암호 페이로드 설정
- 프린트 페이로드 설정
- 개인정보 보호 환경설정 정책 제어 페이로드 설정
- 릴레이 페이로드 설정
- SCEP 페이로드 설정
- 보안 페이로드 설정
- 설정 지원 페이로드 설정
- 단일 로그인 페이로드 설정
- 스마트 카드 페이로드 설정
- 구독 캘린더 페이로드 설정
- 시스템 확장 프로그램 페이로드 설정
- 시스템 마이그레이션 페이로드 설정
- Time Machine 페이로드 설정
- TV 리모컨 페이로드 설정
- Web Clip 페이로드 설정
- 웹 콘텐츠 필터 페이로드 설정
- Xsan 페이로드 설정
-
- 선언적 앱 구성
- 인증 자격 증명 및 신원 자산 선언
- 백그라운드 작업 관리 선언적 구성
- 캘린더 선언적 구성
- 인증서 선언적 구성
- 연락처 선언적 구성
- Exchange 선언적 구성
- Google 계정 선언적 구성
- LDAP 선언적 구성
- 레거시 대화식 프로필 선언적 구성
- 레거시 프로필 선언적 구성
- Mail 선언적 구성
- 수학 및 계산기 앱 선언적 구성
- 암호 선언적 구성
- 패스키 증명 선언적 구성
- Safari 확장 프로그램 관리 선언적 구성
- 화면 공유 선언적 구성
- 서비스 구성 파일 선언적 구성
- 소프트웨어 업데이트 선언적 구성
- 소프트웨어 업데이트 설정 선언적 구성
- 저장 공간 관리 선언적 구성
- 구독 캘린더 선언적 구성
- 용어집
- 문서 수정 내역
- 저작권
FileVault 개요
Mac 컴퓨터는 내장된 암호화 기능인 FileVault로 모든 유휴 데이터를 보호합니다. FileVault는 AES-XTS 데이터 암호화 알고리즘을 사용하여 내장 및 이동식 저장 장치의 전체 볼륨을 보호합니다.
Apple Silicon이 탑재된 Mac의 FileVault는 볼륨 키와 함께 데이터 보호 클래스 C를 사용하여 구현됩니다. Apple T2 보안 칩이 탑재된 Mac 컴퓨터 및 Apple Silicon이 탑재된 Mac 컴퓨터에서는 Secure Enclave에 직접 연결된 암호화된 내부 저장 장치가 Secure Enclave의 하드웨어 보안 기능과 AES 엔진의 하드웨어 보안 기능을 활용합니다. 사용자가 Mac에서 FileVault를 켜고 나면 부팅 프로세스 동안 자격 증명이 필요합니다.
FileVault가 켜진 내부 저장 장치
유효한 로그인 자격 증명이나 암호화된 복구 키가 없을 경우 물리적 저장 장치를 제거하고 다른 컴퓨터에 연결하더라도 내부 APFS 볼륨은 암호화된 상태로 유지되며 무단 접근으로부터 보호됩니다. macOS 10.15의 경우에는 시스템 볼륨 및 데이터 볼륨이 포함됩니다. macOS 11 또는 이상에서는 SSV(서명된 시스템 볼륨) 기능을 통해 시스템 볼륨이 보호되지만 데이터 볼륨은 여전히 암호화로 보호됩니다. Apple Silicon 또는 T2 칩이 탑재된 Mac 컴퓨터의 경우, 내부 볼륨 암호화는 키 계층을 구성하고 관리하는 방식으로 구현됩니다. 또한 암호화는 특정 칩에 내장된 하드웨어 암호화 기술에 기반합니다. 키 계층 구조는 다음과 같은 네 가지 목적을 동시에 완수하기 위해 설계되었습니다.
사용자 암호를 요구하여 암호 해제
Mac에서 제거된 저장 매체를 대상으로 한 무작위 대입 공격으로부터 시스템 보호
필요한 암호화 구성 요소를 삭제하여 콘텐츠 삭제를 위한 신속하고 안전한 방법 제공
전체 볼륨 재암호화 없이 사용자 암호 변경 가능(이것으로 사용자 파일을 보호하는 암호화 키 변경 가능)
Apple Silicon이 탑재된 Mac과 T2 칩이 탑재된 Mac에서 모든 FileVault 키 처리가 Secure Enclave에서 수행되며, 암호화 키는 Intel CPU에 절대로 직접 노출되지 않습니다. 모든 APFS 볼륨은 기본적으로 볼륨 암호화 키와 함께 생성됩니다. 볼륨과 메타데이터 콘텐츠는 이 볼륨 암호화 키로 암호화되며, 이 볼륨 암호화 키는 클래스 키로 래핑됩니다. FileVault가 켜진 경우 클래스 키는 사용자 암호와 하드웨어 UID의 조합으로 보호됩니다.
FileVault가 꺼진 내부 저장 장치
Apple Silicon이 탑재된 Mac이나 T2 보안 칩이 탑재된 Mac에서 초기 설정 지원 프로세스 동안 FileVault가 꺼진 경우, 볼륨은 여전히 암호화되지만 볼륨 암호화 키는 Secure Enclave의 하드웨어 UID로만 보호됩니다.
FileVault가 나중에 켜지는 경우 (데이터가 이미 암호화되어 있으므로 즉각 실행되는 프로세스) 재실행 방지 메커니즘이 하드웨어 UID에만 기반한 예전 키가 볼륨 암호화 해제에 사용되지 않도록 합니다. 그런 다음에는 위에서 설명된 경우와 마찬가지로 볼륨이 사용자 암호와 하드웨어 UID의 조합으로 보호됩니다.
FileVault 볼륨 삭제하기
볼륨이 삭제되면 Secure Enclave가 볼륨 암호화 키를 안전하게 삭제합니다. 이 작업을 수행한 이후에는 Secure Enclave로도 해당 키를 사용하여 볼륨에 접근할 수 없습니다. 또한 모든 볼륨 암호화 키는 미디어 키로 래핑됩니다. 미디어 키는 추가적인 데이터 기밀성을 제공하지 않는 대신에 데이터를 신속하고 안전하게 삭제할 수 있도록 설계되었습니다. 이는 미디어 키가 없으면 암호화 해제가 불가능하기 때문입니다.
Apple Silicon이 탑재된 Mac 및 T2 칩이 탑재된 Mac에서 미디어 키는 Secure Enclave가 지원하는 기술(예: 원격 MDM 명령)을 통해 지울 수 있습니다. 이러한 방식으로 미디어 키를 삭제하면 볼륨의 암호화 해제가 불가능합니다.
이동식 저장 장치
이동식 저장 장치 암호화에는 Secure Enclave의 보안 기능이 사용되지 않으며, T2 칩이 없는 Intel 기반 Mac 컴퓨터에서와 같은 방식으로 암호화를 수행합니다.