Azure의 암호화

암호화된 통신 및 운영 프로세스와 같은 Azure의 기술 보호 기능은 데이터를 안전하게 유지하는 데 도움이 됩니다. 또한 추가 암호화 기능을 구현하고 고유한 암호화 키를 관리할 수 있는 유연성도 있습니다. 고객 구성에 관계없이 Microsoft는 Azure에서 고객 데이터를 보호하기 위해 암호화를 적용합니다. 또한 Microsoft를 사용하면 암호화 키를 암호화, 제어 및 관리하고 데이터에 대한 액세스를 제어 및 감사하는 다양한 고급 기술을 통해 Azure에서 호스트되는 데이터를 제어할 수 있습니다. 또한 Azure Storage는 개발자가 보안 애플리케이션을 빌드할 수 있도록 하는 포괄적인 보안 기능 집합을 제공합니다.

Azure는 한 위치에서 다른 위치로 이동할 때 데이터를 보호하기 위한 여러 메커니즘을 제공합니다. Microsoft는 TLS를 사용하여 클라우드 서비스와 고객 간에 이동할 때 데이터를 보호합니다. Microsoft의 데이터 센터는 Azure 서비스에 연결하는 클라이언트 시스템과 TLS 연결을 협상합니다. FS(Forward Secrecy)는 고유한 키로 고객의 클라이언트 시스템과 Microsoft의 클라우드 서비스 간의 연결을 보호합니다. 또한 연결은 RSA 기반 2,048비트 암호화 키 길이를 사용합니다. 이 조합을 사용하면 누군가가 전송 중인 데이터를 가로채서 액세스하기가 어렵습니다.

클라이언트 쪽 암호화, HTTPS 또는 SMB 3.0을 사용하여 애플리케이션과 Azure 간에 전송 중인 데이터를 보호합니다. 사용자 고유의 VM(가상 머신)과 사용자 간의 트래픽에 대한 암호화를 사용하도록 설정할 수 있습니다. Azure Virtual Networks를 사용하면 업계 표준 IPsec 프로토콜을 사용하여 회사 VPN Gateway와 Azure 간의 트래픽과 Virtual Network 있는 VM 간의 트래픽을 암호화할 수 있습니다.

미사용 데이터의 경우 Azure는 AES-256 지원과 같은 많은 암호화 옵션을 제공하므로 요구 사항에 가장 적합한 데이터 스토리지 시나리오를 선택할 수 있습니다. 스토리지 서비스 암호화를 사용하여 Azure Storage에 쓸 때 데이터를 자동으로 암호화할 수 있으며 VM에서 사용하는 운영 체제 및 데이터 디스크를 암호화할 수 있습니다. 자세한 내용은 Azure의 Windows 가상 머신에 대한 보안 권장 사항을 참조하세요. 또한 공유 액세스 서명을 사용하여 Azure Storage의 데이터 개체에 대한 위임된 액세스 권한을 부여할 수 있습니다. 또한 Azure는 Azure SQL Database 및 Data Warehouse 투명한 데이터 암호화를 사용하여 미사용 데이터에 대한 암호화를 제공합니다.

Azure의 암호화에 대한 자세한 내용은 Azure 암호화 개요 및 미사용 Azure 데이터 암호화를 참조하세요.

Azure Disk Encryption

Azure Disk Encryption을 사용하면 Windows 및 Linux IaaS(Infrastructure as a Service) VM 디스크를 암호화할 수 있습니다. Azure Disk Encryption은 Windows의 BitLocker 기능과 Linux의 DM-Crypt 기능을 사용하여 운영 체제 및 데이터 디스크에 대한 볼륨 수준 암호화를 제공합니다. 또한 VM 디스크의 모든 데이터가 Azure Storage의 미사용 시 암호화되도록 합니다. Azure Disk Encryption은 Azure Key Vault 통합되어 암호화 키 및 비밀 사용을 제어, 관리 및 감사하는 데 도움이 됩니다.

자세한 내용은 Azure의 Windows 가상 머신에 대한 보안 권장 사항을 참조하세요.

Azure 저장소 서비스 암호화

Azure Storage 서비스 암호화를 사용하면 Azure Storage는 데이터를 스토리지에 유지하기 전에 자동으로 암호화하고 검색하기 전에 데이터의 암호를 해독합니다. 암호화, 암호 해독 및 키 관리 프로세스는 사용자에게 완전히 투명합니다. Azure Storage 서비스 암호화는 Azure Blob Storage 및 Azure Files 사용할 수 있습니다. Azure Storage 서비스 암호화와 함께 Microsoft 관리형 암호화 키를 사용하거나 사용자 고유의 암호화 키를 사용할 수도 있습니다. (사용자 고유의 키를 사용하는 방법에 대한 자세한 내용은 Azure Key Vault 고객 관리형 키를 사용한 스토리지 서비스 암호화를 참조하세요. Microsoft 관리형 키를 사용하는 방법에 대한 자세한 내용은 미사용 데이터에 대한 스토리지 서비스 암호화를 참조하세요.) 또한 암호화 사용을 자동화할 수 있습니다. 예를 들어 Azure Storage 리소스 공급자 REST API, .NET용 스토리지 리소스 공급자 클라이언트 라이브러리, Azure PowerShell 또는 Azure CLI를 사용하여 스토리지 계정에서 스토리지 서비스 암호화를 프로그래밍 방식으로 사용하거나 사용하지 않도록 설정할 수 있습니다.

일부 Microsoft 365 서비스는 Azure를 사용하여 데이터를 저장합니다. 예를 들어 SharePoint Online 및 비즈니스용 OneDrive Azure Blob Storage에 데이터를 저장하고 Microsoft Teams는 해당 채팅 서비스에 대한 데이터를 테이블, Blob 및 큐에 저장합니다. 또한 Microsoft Purview 규정 준수 포털 준수 관리자 기능은 고객이 입력한 데이터를 Azure Cosmos DB, PaaS(Platform as a Service), 전역적으로 분산된 다중 모델 데이터베이스에 암호화된 형태로 저장합니다. Azure Storage 서비스 암호화는 Azure Blob Storage 및 테이블에 저장된 데이터를 암호화하고, Azure Disk Encryption은 Windows 및 IaaS 가상 머신 디스크뿐만 아니라 큐의 데이터를 암호화하여 운영 체제 및 데이터 디스크에 대한 볼륨 암호화를 제공합니다. 이 솔루션은 가상 머신 디스크의 모든 데이터가 Azure Storage의 미사용 시 암호화되도록 합니다. Azure Cosmos DB의 미사용 암호화 는 보안 키 스토리지 시스템, 암호화된 네트워크 및 암호화 API를 비롯한 여러 보안 기술을 사용하여 구현됩니다.

Azure Key Vault

보안 키 관리는 암호화 모범 사례의 핵심이 아닙니다. 클라우드에서 데이터를 보호하는 데에도 필수적입니다. Azure Key Vault 사용하면 HSM(하드웨어 보안 모듈)에 저장된 키를 사용하는 암호와 같은 키와 작은 비밀을 암호화할 수 있습니다. Azure Key Vault 클라우드 서비스에서 사용하는 암호화 키에 대한 액세스를 관리하고 제어하기 위한 Microsoft의 권장 솔루션입니다. 액세스 키에 대한 권한은 서비스 또는 Azure Active Directory 계정이 있는 사용자에게 할당할 수 있습니다. Azure Key Vault 조직에서 HSM 및 키 관리 소프트웨어를 구성, 패치 및 유지 관리해야 하는 필요성을 완화합니다. Azure Key Vault 사용하면 Microsoft에서 키와 애플리케이션에 직접 액세스할 수 없는 것을 볼 수 없습니다. 사용자는 제어를 유지합니다. HSM에서 키를 가져오거나 생성할 수도 있습니다. Azure Information Protection 포함하는 구독이 있는 조직은 고객 관리형 키 BYOK(Bring Your Own Key)를 사용하고 사용량을 기록하도록 Azure Information Protection 테넌트 구성을 수행할 수 있습니다.