암호화에 대한 BitLocker 및 분산 키 관리자(DKM)
Microsoft 서버는 BitLocker를 사용하여 볼륨 수준에서 미사용 고객 데이터가 포함된 디스크 드라이브를 암호화합니다. BitLocker 암호화는 Windows에 기본 제공되는 데이터 보호 기능입니다. BitLocker는 다른 프로세스 또는 컨트롤(예: 하드웨어의 액세스 제어 또는 재활용)에 경과하여 고객 데이터가 포함된 디스크에 물리적으로 액세스할 수 있는 경우 위협으로부터 보호하는 데 사용되는 기술 중 하나입니다. 이 경우 BitLocker는 분실, 도난 또는 부적절하게 폐기된 컴퓨터 및 디스크로 인한 데이터 도난 또는 노출 가능성을 제거합니다.
BitLocker는 Exchange Online, SharePoint Online 및 비즈니스용 Skype 고객 데이터를 포함하는 디스크에서 AES(Advanced Encryption Standard) 256비트 암호화를 사용하여 배포됩니다. 디스크 섹터는 서버의 TPM(신뢰할 수 있는 플랫폼 모듈)에 바인딩되는 VMK(볼륨 마스터 키)로 암호화되는 FVEK(전체 볼륨 암호화 키)로 암호화됩니다. VMK는 FVEK를 직접 보호하므로 VMK를 보호하는 것이 중요합니다. 다음 그림에서는 지정된 서버(이 경우 Exchange Online 서버 사용)에 대한 BitLocker 키 보호 체인의 예를 보여 줍니다.
다음 표에서는 지정된 서버(이 경우 Exchange Online 서버)에 대한 BitLocker 키 보호 체인에 대해 설명합니다.
| 키 보호기 | 세분성 | 어떻게 생성되었나요? | 어디에 저장되어 있나요? | 보호 |
|---|---|---|---|---|
| AES 256비트 외부 키 | 서버당 | BitLocker API | TPM 또는 비밀 안전 | Lockbox/Access Control |
| 사서함 서버 레지스트리 | 암호화된 TPM | |||
| 48자리 숫자 암호 | 디스크당 | BitLocker API | PowerShell 연결 | Lockbox/Access Control |
| X.509 DRA(Data Recovery Agent)로서의 인증서를 공개 키 보호기라고도 합니다. | 환경(예: Exchange Online 다중 테넌트) | Microsoft CA | 빌드 시스템 | 개인 키에 대한 전체 암호가 있는 사용자는 없습니다. 암호는 물리적 보호를 받고 있습니다. |
BitLocker 키 관리에는 Microsoft 데이터 센터에서 암호화된 디스크의 잠금을 해제/복구하는 데 사용되는 복구 키 관리가 포함됩니다. Microsoft 365는 마스터 키를 보안된 공유에 저장하며, 선별 및 승인된 개인만 액세스할 수 있습니다. 키에 대한 자격 증명은 액세스 제어 데이터("비밀 저장소"라고 함)에 대한 보안 리포지토리에 저장되며, Just-In-Time 액세스 권한 상승 도구를 사용하여 액세스하려면 높은 수준의 권한 상승 및 관리 승인이 필요합니다.
BitLocker는 다음 두 가지 관리 범주에 속하는 키를 지원합니다.
BitLocker 관리형 키는 수명이 짧고 운영 체제의 수명 instance 서버 또는 지정된 디스크에 설치됩니다. 이러한 키는 서버 다시 설치 또는 디스크 서식 지정 중에 삭제되고 초기화됩니다.
BitLocker 복구 키는 BitLocker 외부에서 관리되지만 디스크 암호 해독에 사용됩니다. BitLocker는 운영 체제가 다시 설치되고 암호화된 데이터 디스크가 이미 존재하는 시나리오에 복구 키를 사용합니다. 복구 키는 응답자가 디스크의 잠금을 해제해야 하는 Exchange Online의 관리되는 가용성 모니터링 프로브에서도 사용됩니다.
BitLocker로 보호되는 볼륨은 볼륨 master 키로 암호화되는 전체 볼륨 암호화 키로 암호화됩니다. BitLocker는 FIPS 규격 알고리즘을 사용하여 암호화 키가 유선으로 저장되거나 전송되지 않도록 합니다. 고객 데이터 미사용 보호의 Microsoft 365 구현은 기본 BitLocker 구현에서 벗어나지 않습니다.