암호화 위험 및 보호
Microsoft는 Microsoft 365 서비스 및 고객 데이터에 대한 위험에 중점을 둔 제어 및 규정 준수 프레임워크를 따릅니다. Microsoft는 이러한 위험을 완화하기 위해 많은 기술 및 프로세스 기반 방법(컨트롤이라고 함)을 구현합니다. 컨트롤을 통한 위험 식별, 평가 및 완화는 지속적인 프로세스입니다.
시설, 네트워크, 서버, 애플리케이션, 사용자(예: Microsoft 관리자) 및 데이터와 같은 클라우드 서비스의 다양한 계층 내에서 제어를 구현하는 것은 심층 방어 전략을 형성합니다. 이 전략의 핵심은 동일하거나 유사한 위험 시나리오로부터 보호하기 위해 다양한 컨트롤이 서로 다른 계층에서 구현된다는 것입니다. 이 다중 계층 접근 방식은 어떤 이유로든 컨트롤이 실패할 경우 안전하지 않은 보호를 제공합니다.
일부 위험 시나리오 및 이를 완화하는 현재 사용 가능한 암호화 기술이 아래에 나열되어 있습니다. 이러한 시나리오는 Office 365 구현된 다른 컨트롤을 통해 완화되는 경우가 많습니다.
| 암호화 기술 | 서비스 | 키 관리 | 위험 시나리오 | 값 |
|---|---|---|---|---|
| BitLocker | Exchange Online, SharePoint Online 및 비즈니스용 Skype | Microsoft | 디스크 또는 서버가 도난당하거나 잘못 재활용됩니다. | BitLocker는 도난 또는 잘못 재활용된 하드웨어(서버/디스크)로 인한 데이터 손실로부터 보호하기 위한 안전 실패 접근 방식을 제공합니다. |
| 서비스 암호화 | SharePoint Online, 비즈니스용 Skype 및 비즈니스용 OneDrive; Exchange Online | Microsoft | 내부 또는 외부 해커는 개별 파일/데이터에 Blob으로 액세스하려고 시도합니다. | 암호화된 데이터는 키에 액세스하지 않고 암호를 해독할 수 없습니다. 해커가 데이터에 액세스하는 위험을 완화하는 데 도움이 됩니다. |
| 고객 키 | SharePoint Online, 비즈니스용 OneDrive, Exchange Online 및 비즈니스용 Skype | 고객 | 해당 없음(이 기능은 위험에 대한 완화가 아니라 규정 준수 기능으로 설계되었습니다.) | 고객이 내부 규정 및 규정 준수 의무와 서비스를 종료하고 Microsoft의 데이터 액세스를 해지할 수 있는 기능을 충족하는 데 도움이 됩니다. |
| Microsoft 365와 클라이언트 간의 TLS | Exchange Online, SharePoint Online, 비즈니스용 OneDrive, 비즈니스용 Skype, Teams 및 Viva Engage | Microsoft, Customer | 인터넷을 통해 Microsoft 365와 클라이언트 컴퓨터 간의 데이터 흐름을 탭하기 위한 중간 또는 기타 공격입니다. | 이 구현은 Microsoft와 고객 모두에게 가치를 제공하고 Microsoft 365와 클라이언트 간에 흐르는 데이터 무결성을 보장합니다. |
| Microsoft 데이터 센터 간의 TLS | Exchange Online, SharePoint Online, 비즈니스용 OneDrive 및 비즈니스용 Skype | Microsoft | 다른 Microsoft 데이터 센터에 있는 Microsoft 365 서버 간의 고객 데이터 흐름을 탭하기 위한 중간 또는 기타 공격입니다. | 이 구현은 Microsoft 데이터 센터 간의 공격으로부터 데이터를 보호하는 또 다른 방법입니다. |
| Azure 권한 관리(Microsoft 365 또는 Azure Information Protection 포함) | Exchange Online, SharePoint Online 및 비즈니스용 OneDrive | 고객 | 데이터는 데이터에 액세스할 수 없는 사람의 손에 속합니다. | Azure Information Protection 암호화, ID 및 권한 부여 정책을 사용하여 여러 디바이스에서 파일 및 전자 메일을 보호하는 데 도움이 되는 Azure RMS를 사용합니다. Azure RMS는 특정 조건(예: 특정 주소에 대한 모든 전자 메일)과 일치하는 Microsoft 365에서 시작된 모든 전자 메일을 다른 받는 사람에게 보내기 전에 자동으로 암호화할 수 있는 고객에게 가치를 제공합니다. |
| S/MIME | Exchange Online | 고객 | Email 의도 된 받는 사람이 아닌 사람의 손에 빠진다. | S/MIME는 S/MIME로 암호화된 전자 메일을 전자 메일의 직접 받는 사람만 암호 해독할 수 있도록 하여 고객에게 가치를 제공합니다. |
| Office 365 메시지 암호화 | Exchange Online, SharePoint Online | 고객 | 보호된 첨부 파일을 포함한 Email 전자 메일의 의도된 수신자가 아닌 Microsoft 365 내부 또는 외부의 사용자의 손에 맡깁니다. | OME는 특정 조건(즉, 특정 주소에 대한 모든 전자 메일)과 일치하는 Microsoft 365에서 시작된 모든 전자 메일이 다른 내부 또는 외부 받는 사람에게 전송되기 전에 자동으로 암호화되는 고객에게 가치를 제공합니다. |
| 파트너 organization SMTP TLS | Exchange Online | 고객 | microsoft 365 테넌트에서 다른 파트너 organization 전송하는 동안 Email 중간 또는 기타 공격을 통해 가로채집니다. | 이 시나리오는 암호화된 SMTP 채널 내에서 Microsoft 365 테넌트와 파트너의 이메일 organization 간에 모든 전자 메일을 보내고 받을 수 있도록 고객에게 가치를 제공합니다. |
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 추가 Purview 기능이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 어떻게 도움이 될 수 있는지 organization 알아봅니다. 이제 Microsoft Purview 규정 준수 포털 평가판 허브에서 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
다중 테넌트 환경에서 사용할 수 있는 암호화 기술
| 암호화 기술 | 에 의해 구현됨 | 키 교환 알고리즘 및 강도 | 키 관리* | FIPS 140-2 유효성 검사됨 |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256비트 | AES 외부 키는 비밀 안전 및 Exchange 서버의 레지스트리에 저장됩니다. 비밀 안전은 액세스에 대한 높은 수준의 권한 상승 및 승인이 필요한 보안 리포지토리입니다. Lockbox라는 내부 도구를 사용해야만 액세스를 요청하고 승인할 수 있습니다. AES 외부 키는 서버의 신뢰할 수 있는 플랫폼 모듈에도 저장됩니다. 48자리 숫자 암호는 Active Directory에 저장되고 Lockbox로 보호됩니다. | 예 |
| SharePoint Online | AES 256비트 | AES 외부 키는 비밀 안전에 저장됩니다. 비밀 안전은 액세스에 대한 높은 수준의 권한 상승 및 승인이 필요한 보안 리포지토리입니다. Lockbox라는 내부 도구를 사용해야만 액세스를 요청하고 승인할 수 있습니다. AES 외부 키는 서버의 신뢰할 수 있는 플랫폼 모듈에도 저장됩니다. 48자리 숫자 암호는 Active Directory에 저장되고 Lockbox로 보호됩니다. | 예 | |
| Skype for Business | AES 256비트 | AES 외부 키는 비밀 안전에 저장됩니다. 비밀 안전은 액세스에 대한 높은 수준의 권한 상승 및 승인이 필요한 보안 리포지토리입니다. Lockbox라는 내부 도구를 사용해야만 액세스를 요청하고 승인할 수 있습니다. AES 외부 키는 서버의 신뢰할 수 있는 플랫폼 모듈에도 저장됩니다. 48자리 숫자 암호는 Active Directory에 저장되고 Lockbox로 보호됩니다. | 예 | |
| 서비스 암호화 | SharePoint Online | AES 256비트 | Blob을 암호화하는 데 사용되는 키는 SharePoint Online 콘텐츠 데이터베이스에 저장됩니다. SharePoint Online 콘텐츠 데이터베이스는 데이터베이스 액세스 제어 및 미사용 암호화로 보호됩니다. 암호화는 Azure SQL Database에서 TDE를 사용하여 수행됩니다. 이러한 비밀은 테넌트 수준이 아니라 SharePoint Online의 서비스 수준에 있습니다. 이러한 비밀(master 키라고도 함)은 키 저장소라는 별도의 보안 리포지토리에 저장됩니다. TDE는 활성 데이터베이스와 데이터베이스 백업 및 트랜잭션 로그 모두에 대한 미사용 보안을 제공합니다. 고객이 선택적 키를 제공하면 고객 키가 Azure Key Vault 저장되고 서비스는 키를 사용하여 테넌트 키를 암호화합니다. 이 키는 사이트 키를 암호화하는 데 사용되며, 이 키는 파일 수준 키를 암호화하는 데 사용됩니다. 기본적으로 고객이 키를 제공하는 경우 새 키 계층 구조가 도입됩니다. | 예 |
| Skype for Business | AES 256비트 | 각 데이터는 임의로 생성된 다른 256비트 키를 사용하여 암호화됩니다. 암호화 키는 회의별 master 키로도 암호화되는 해당 메타데이터 XML 파일에 저장됩니다. master 키는 회의당 한 번씩 임의로 생성됩니다. | 예 | |
| Exchange Online | AES 256비트 | 각 사서함은 Microsoft 또는 고객이 제어하는 암호화 키(고객 키를 사용하는 경우)를 사용하는 데이터 암호화 정책을 사용하여 암호화됩니다. | 예 | |
| Microsoft 365와 클라이언트/파트너 간의 TLS | Exchange Online | 여러 암호 그룹을 지원하는 기회적 TLS | Exchange Online(outlook.office.com)용 TLS 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. Exchange Online TLS 루트 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA1RSA 인증서입니다. |
예, 256비트 암호 강도가 있는 TLS 1.2가 사용되는 경우 |
| SharePoint Online | AES 256을 사용하는 TLS 1.2 비즈니스용 OneDrive 및 SharePoint Online에서의 데이터 암호화 |
SharePoint Online(*.sharepoint.com)에 대한 TLS 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. SharePoint Online용 TLS 루트 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA1RSA 인증서입니다. |
예 | |
| Skype for Business | SIP 통신 및 PSOM 데이터 공유 세션에 대한 TLS | 비즈니스용 Skype(*.lync.com)용 TLS 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. 비즈니스용 Skype 대한 TLS 루트 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. |
예 | |
| Microsoft Teams | AES 256을 사용하는 TLS 1.2 Microsoft Teams에 대한 질문과 대답 – 관리 도움말 |
Microsoft Teams용 TLS 인증서(teams.microsoft.com, edge.skype.com)는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. Microsoft Teams용 TLS 루트 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. |
예 | |
| Microsoft 데이터 센터 간의 TLS | 모든 Microsoft 365 서비스 | AES 256을 사용하는 TLS 1.2 SRTP(보안 실시간 전송 프로토콜) |
Microsoft는 내부적으로 관리되고 배포된 인증 기관을 사용하여 Microsoft 데이터 센터 간의 서버 간 통신을 수행합니다. | 예 |
| Azure 권한 관리(Microsoft 365 또는 Azure Information Protection 포함) | Exchange Online | 업데이트되고 향상된 RMS 암호화 구현인 암호화 모드 2를 지원합니다. 서명 및 암호화를 위한 RSA 2048과 서명의 해시에 대해 SHA-256을 지원합니다. | Microsoft에서 관리합니다. | 예 |
| SharePoint Online | 업데이트되고 향상된 RMS 암호화 구현인 암호화 모드 2를 지원합니다. 서명 및 암호화를 위한 RSA 2048과 서명용 SHA-256을 지원합니다. | 기본 설정인 Microsoft에서 관리합니다. 또는 고객 관리형- Microsoft 관리형 키의 대안입니다. IT 관리형 Azure 구독이 있는 조직은 BYOK를 사용하고 추가 비용 없이 사용량을 기록할 수 있습니다. 자세한 내용은 사용자 고유의 키 가져오기 구현을 참조하세요. 이 구성에서는 nCipher HSM을 사용하여 키를 보호합니다. |
예 | |
| S/MIME | Exchange Online | 암호화 메시지 구문 표준 1.5(PKCS #7) | 배포된 고객 관리형 공개 키 인프라에 따라 다릅니다. 키 관리는 고객이 수행하며 Microsoft는 서명 및 암호 해독에 사용되는 프라이빗 키에 액세스할 수 없습니다. | 예, 3DES 또는 AES256을 사용하여 보내는 메시지를 암호화하도록 구성된 경우 |
| Office 365 메시지 암호화 | Exchange Online | Azure RMS(서명 및 암호화의 경우 암호화 모드 2 - RSA 2048, 서명의 경우 SHA-256)와 동일합니다. | Azure Information Protection 암호화 인프라로 사용합니다. 사용되는 암호화 방식은 메시지 암호화 및 암호 해독에 사용되는 RMS 키를 얻은 위치에 따라 다릅니다. | 예 |
| 파트너 organization SMTP TLS | Exchange Online | AES 256을 사용하는 TLS 1.2 | Exchange Online(outlook.office.com)용 TLS 인증서는 DigiCert Cloud Services CA-1에서 발급한 RSA 암호화 인증서가 있는 2048비트 SHA-256입니다. Exchange Online 대한 TLS 루트 인증서는 GlobalSign 루트 CA – R1에서 발급한 RSA 암호화 인증서가 있는 2048비트 SHA-1입니다. 보안상의 이유로 인증서는 때때로 변경됩니다. |
예, 256비트 암호 강도가 있는 TLS 1.2가 사용되는 경우 |
*이 표에서 참조되는 TLS 인증서는 미국 데이터 센터용입니다. 미국 이외의 데이터 센터는 2048비트 SHA256RSA 인증서도 사용합니다.
정부 클라우드 커뮤니티 환경에서 사용할 수 있는 암호화 기술
| 암호화 기술 | 에 의해 구현됨 | 키 교환 알고리즘 및 강도 | 키 관리* | FIPS 140-2 유효성 검사됨 |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256비트 | AES 외부 키는 비밀 안전 및 Exchange 서버의 레지스트리에 저장됩니다. 비밀 안전은 액세스에 대한 높은 수준의 권한 상승 및 승인이 필요한 보안 리포지토리입니다. Lockbox라는 내부 도구를 사용해야만 액세스를 요청하고 승인할 수 있습니다. AES 외부 키는 서버의 신뢰할 수 있는 플랫폼 모듈에도 저장됩니다. 48자리 숫자 암호는 Active Directory에 저장되고 Lockbox로 보호됩니다. | 예 |
| SharePoint Online | AES 256비트 | AES 외부 키는 비밀 안전에 저장됩니다. 비밀 안전은 액세스에 대한 높은 수준의 권한 상승 및 승인이 필요한 보안 리포지토리입니다. Lockbox라는 내부 도구를 사용해야만 액세스를 요청하고 승인할 수 있습니다. AES 외부 키는 서버의 신뢰할 수 있는 플랫폼 모듈에도 저장됩니다. 48자리 숫자 암호는 Active Directory에 저장되고 Lockbox로 보호됩니다. | 예 | |
| Skype for Business | AES 256비트 | AES 외부 키는 비밀 안전에 저장됩니다. 비밀 안전은 액세스에 대한 높은 수준의 권한 상승 및 승인이 필요한 보안 리포지토리입니다. Lockbox라는 내부 도구를 사용해야만 액세스를 요청하고 승인할 수 있습니다. AES 외부 키는 서버의 신뢰할 수 있는 플랫폼 모듈에도 저장됩니다. 48자리 숫자 암호는 Active Directory에 저장되고 Lockbox로 보호됩니다. | 예 | |
| 서비스 암호화 | SharePoint Online | AES 256비트 | Blob을 암호화하는 데 사용되는 키는 SharePoint Online 콘텐츠 데이터베이스에 저장됩니다. SharePoint Online 콘텐츠 데이터베이스는 데이터베이스 액세스 제어 및 미사용 암호화로 보호됩니다. 암호화는 Azure SQL Database에서 TDE를 사용하여 수행됩니다. 이러한 비밀은 테넌트 수준이 아니라 SharePoint Online의 서비스 수준에 있습니다. 이러한 비밀(master 키라고도 함)은 키 저장소라는 별도의 보안 리포지토리에 저장됩니다. TDE는 활성 데이터베이스와 데이터베이스 백업 및 트랜잭션 로그 모두에 대한 미사용 보안을 제공합니다. 고객이 선택적 키를 제공하면 고객 키가 Azure Key Vault 저장되고 서비스는 키를 사용하여 테넌트 키를 암호화합니다. 이 키는 사이트 키를 암호화하는 데 사용되며, 이 키는 파일 수준 키를 암호화하는 데 사용됩니다. 기본적으로 고객이 키를 제공하는 경우 새 키 계층 구조가 도입됩니다. | 예 |
| Skype for Business | AES 256비트 | 각 데이터는 임의로 생성된 다른 256비트 키를 사용하여 암호화됩니다. 암호화 키는 회의별 master 키로도 암호화되는 해당 메타데이터 XML 파일에 저장됩니다. master 키는 회의당 한 번씩 임의로 생성됩니다. | 예 | |
| Exchange Online | AES 256비트 | 각 사서함은 Microsoft 또는 고객이 제어하는 암호화 키(고객 키를 사용하는 경우)를 사용하는 데이터 암호화 정책을 사용하여 암호화됩니다. | 예 | |
| Microsoft 365와 클라이언트/파트너 간의 TLS | Exchange Online | 여러 암호 그룹을 지원하는 기회적 TLS | Exchange Online(outlook.office.com)용 TLS 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. Exchange Online TLS 루트 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA1RSA 인증서입니다. |
예, 256비트 암호 강도가 있는 TLS 1.2가 사용되는 경우 |
| SharePoint Online | AES 256을 사용하는 TLS 1.2 | SharePoint Online(*.sharepoint.com)에 대한 TLS 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. SharePoint Online용 TLS 루트 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA1RSA 인증서입니다. |
예 | |
| Skype for Business | SIP 통신 및 PSOM 데이터 공유 세션에 대한 TLS | 비즈니스용 Skype(*.lync.com)용 TLS 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. 비즈니스용 Skype 대한 TLS 루트 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. |
예 | |
| Microsoft Teams | Microsoft Teams에 대한 질문과 대답 – 관리 도움말 | Microsoft Teams용 TLS 인증서(teams.microsoft.com, edge.skype.com)는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. Microsoft Teams용 TLS 루트 인증서는 Baltimore CyberTrust Root에서 발급한 2048비트 SHA256RSA 인증서입니다. |
예 | |
| Microsoft 데이터 센터 간의 TLS | Exchange Online, SharePoint Online, 비즈니스용 Skype | AES 256을 사용하는 TLS 1.2 | Microsoft는 내부적으로 관리되고 배포된 인증 기관을 사용하여 Microsoft 데이터 센터 간의 서버 간 통신을 수행합니다. | 예 |
| SRTP(보안 실시간 전송 프로토콜) | ||||
| Azure Rights Management Service | Exchange Online | 업데이트되고 향상된 RMS 암호화 구현인 암호화 모드 2를 지원합니다. 서명 및 암호화를 위한 RSA 2048과 서명의 해시에 대해 SHA-256을 지원합니다. | Microsoft에서 관리합니다. | 예 |
| SharePoint Online | 업데이트되고 향상된 RMS 암호화 구현인 암호화 모드 2를 지원합니다. 서명 및 암호화를 위한 RSA 2048과 서명의 해시에 대해 SHA-256을 지원합니다. | 기본 설정인 Microsoft에서 관리합니다. 또는 고객 관리형(BYOK라고도 함)은 Microsoft 관리형 키의 대안입니다. IT 관리형 Azure 구독이 있는 조직은 BYOK를 사용하고 추가 비용 없이 사용량을 기록할 수 있습니다. 자세한 내용은 사용자 고유의 키 가져오기 구현을 참조하세요. BYOK 시나리오에서는 nCipher HSM을 사용하여 키를 보호합니다. |
예 | |
| S/MIME | Exchange Online | 암호화 메시지 구문 표준 1.5(PKCS #7) | 배포된 공개 키 인프라에 따라 다릅니다. | 예, 3DES 또는 AES-256을 사용하여 나가는 메시지를 암호화하도록 구성된 경우입니다. |
| Office 365 메시지 암호화 | Exchange Online | Azure RMS(서명 및 암호화의 경우 암호화 모드 2 - RSA 2048, 서명의 해시용 SHA-256)와 동일합니다. | Azure RMS를 암호화 인프라로 사용합니다. 사용되는 암호화 방식은 메시지 암호화 및 암호 해독에 사용되는 RMS 키를 얻은 위치에 따라 다릅니다. Microsoft Azure RMS를 사용하여 키를 가져오는 경우 암호화 모드 2가 사용됩니다. AD(Active Directory) RMS를 사용하여 키를 가져오는 경우 암호화 모드 1 또는 암호화 모드 2가 사용됩니다. 사용되는 메서드는 온-프레미스 AD RMS 배포에 따라 달라집니다. 암호화 모드 1은 원래 AD RMS 암호화 구현입니다. 서명 및 암호화를 위해 RSA 1024를 지원하고 서명에 SHA-1을 지원합니다. 이 모드는 HSM을 사용하는 BYOK 구성을 제외하고 모든 현재 버전의 RMS에서 계속 지원됩니다. |
예 |
| 파트너 organization SMTP TLS | Exchange Online | AES 256을 사용하는 TLS 1.2 | Exchange Online(outlook.office.com)용 TLS 인증서는 DigiCert Cloud Services CA-1에서 발급한 RSA 암호화 인증서가 있는 2048비트 SHA-256입니다. Exchange Online 대한 TLS 루트 인증서는 GlobalSign 루트 CA – R1에서 발급한 RSA 암호화 인증서가 있는 2048비트 SHA-1입니다. 보안상의 이유로 인증서는 때때로 변경됩니다. |
예, 256비트 암호 강도가 있는 TLS 1.2가 사용되는 경우 |
*이 표에서 참조되는 TLS 인증서는 미국 데이터 센터용입니다. 미국 이외의 데이터 센터는 2048비트 SHA256RSA 인증서도 사용합니다.