다음을 통해 공유

고객 키에 대한 가용성 키 알아보기

가용성 키는 데이터 암호화 정책을 만들 때 자동으로 생성되고 프로비전되는 루트 키입니다. Microsoft 365는 이 키를 저장하고 보호합니다.

가용성 키는 고객 키에 제공하는 두 개의 루트 키와 같은 기능을 합니다. 키 계층 구조에서 키 1계층을 낮게 래핑합니다. Azure Key Vault 관리하는 키와 달리 가용성 키에 직접 액세스할 수 없습니다. Microsoft 365 자동화된 서비스는 프로그래밍 방식으로 관리합니다. 이러한 서비스는 키에 직접 액세스하지 않고 자동화된 작업을 수행합니다.

가용성 키의 기본 목적은 관리하는 루트 키의 예기치 않은 손실로부터 복구를 지원하는 것입니다. 이러한 손실은 잘못된 관리 또는 악의적인 작업으로 인해 발생할 수 있습니다. 루트 키를 제어하지 못하면 Microsoft 지원 문의하여 가용성 키를 사용한 복구에 대한 지원을 받으세요. 이 키를 사용하여 프로비전하는 새 루트 키를 사용하여 새 데이터 암호화 정책으로 마이그레이션합니다.

가용성 키는 다음 세 가지 이유로 스토리지 및 제어의 Azure Key Vault 키와 다릅니다.

  • Azure Key Vault 키가 모두 손실된 경우 복구 또는 "중단" 옵션을 제공합니다.
  • 논리 제어 및 스토리지 위치의 분리는 심층 방어를 추가하고 단일 실패 지점으로 인한 키 또는 데이터의 총 손실로부터 보호하는 데 도움이 됩니다.
  • 일시적인 오류로 인해 Microsoft 365가 Azure Key Vault 연결할 수 없는 경우 고가용성을 지원합니다. 이 시나리오는 Exchange 서비스 암호화에만 적용됩니다. SharePoint 및 OneDrive는 명시적으로 복구를 요청하지 않는 한 가용성 키를 사용하지 않습니다.

Microsoft는 계층화된 키 관리 보호 및 프로세스를 통해 데이터를 보호하는 책임을 공유합니다. 이 방법을 사용하면 모든 키와 데이터가 영구적으로 손실되거나 소멸될 위험이 줄어듭니다. 서비스를 종료하는 경우 가용성 키를 사용하지 않도록 설정하거나 삭제할 수 있는 유일한 권한이 있습니다. 기본적으로 Microsoft의 누구도 가용성 키에 액세스할 수 없습니다. Microsoft 365 서비스 코드에서만 액세스할 수 있습니다.

Microsoft가 키를 보호하는 방법에 대한 자세한 내용은 Microsoft 보안 센터를 참조하세요.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

가용성 키 사용

가용성 키는 외부 공격자 또는 악의적인 내부자가 키 자격 증명 모음을 제어하거나 잘못된 관리로 인해 루트 키가 손실되는 경우 복구를 지원합니다. 이 복구 기능은 고객 키를 지원하는 모든 Microsoft 365 서비스에 적용됩니다.

각 서비스는 가용성 키를 다르게 사용합니다. Microsoft 365는 다음 섹션에 설명된 시나리오에서만 가용성 키를 사용합니다.

Exchange

Exchange는 복구를 지원하는 것 외에도 가용성 키를 사용하여 서비스가 Azure Key Vault 루트 키에 도달하지 못하도록 하는 일시적 또는 일시적인 문제 중에 데이터 액세스를 유지합니다. 일시적인 오류로 인해 서비스에서 고객 키 중 하나에 액세스할 수 없는 경우 가용성 키를 자동으로 사용합니다.

서비스는 가용성 키에 직접 액세스하지 않습니다. 대신 Exchange의 자동화된 시스템은 일시적인 오류 발생 시 대체 프로세스의 일부로 사용합니다. 이 사용법은 바이러스 백신 검사, 검색, Microsoft Purview 데이터 손실 방지, 사서함 이동 및 데이터 인덱싱과 같은 백 엔드 작업을 지원합니다.

SharePoint 및 OneDrive

SharePoint 및 OneDrive의 경우 가용성 키는 복구 시나리오에만 사용됩니다. 정상적인 작업 중에는 사용되지 않습니다.

Microsoft가 복구 이벤트에서 가용성 키를 사용하도록 명시적으로 요청해야 합니다. 자동화된 서비스 작업은 Azure Key Vault 고객 키에만 의존합니다.

키 계층 구조 및 이러한 서비스가 암호화를 처리하는 방법에 대한 자세한 내용은 SharePoint 및 OneDrive에서 가용성 키를 사용하는 방법을 참조하세요.

가용성 키 보안

Microsoft는 가용성 키를 생성하고 엄격한 제어를 적용하여 데이터를 보호하는 책임을 공유합니다.

고객은 가용성 키에 직접 액세스할 수 없습니다. 예를 들어 Azure Key Vault 관리하는 키만 롤할 수 있습니다. Microsoft는 사용자에게 노출하지 않고 자동화된 서비스 코드를 통해 가용성 키를 관리합니다.

자세한 내용은 고객 키 또는 가용성 키 롤 또는 회전을 참조하세요.

가용성 키 비밀 저장소

Microsoft는 Azure Key Vault 유사한 액세스 제어 내부 비밀 저장소에서 가용성 키를 보호합니다. 액세스 제어를 사용하면 Microsoft 관리자가 내에 저장된 비밀을 직접 검색할 수 없습니다. 키 회전 및 삭제를 포함한 모든 비밀 저장소 작업은 가용성 키에 대한 직접 액세스를 포함하지 않는 자동화된 명령을 통해 수행됩니다.

이러한 비밀 저장소의 관리 작업은 특정 엔지니어로 제한되며 Lockbox라는 내부 도구를 통해 권한 상승이 필요합니다. 에스컬레이션은 관리자의 승인을 받아야 하며 유효한 근거를 포함해야 합니다. Lockbox는 시간 제한이 만료되거나 엔지니어가 로그아웃할 때 액세스 시간이 제한되고 자동으로 해지되도록 합니다.

Exchange 가용성 키는 Exchange Active Directory 비밀 저장소에 저장됩니다. 키는 Active Directory 도메인 컨트롤러 내의 테넌트별 컨테이너 내에 유지됩니다. 이 스토리지 위치는 SharePoint 및 OneDrive에서 사용하는 비밀 저장소와 분리되어 있습니다.

SharePoint 및 OneDrive 가용성 키는 서비스 팀에서 관리하는 내부 비밀 저장소에 저장됩니다. 이 저장소에는 애플리케이션 엔드포인트를 노출하는 프런트 엔드 서버와 백 엔드로 SQL Database 포함됩니다. 가용성 키는 데이터베이스에 저장되고 비밀 저장소 암호화 키를 사용하여 래핑됩니다.

이러한 암호화 키는 AES-256 및 HMAC를 사용하여 미사용 가용성 키를 보호합니다. 암호화 키는 동일한 데이터베이스의 논리적으로 격리된 부분에 저장되며 Microsoft CA(인증 기관)에서 발급한 RSA-2048 인증서를 사용하여 추가로 암호화됩니다. 이러한 인증서는 데이터베이스에 대한 작업을 처리하는 프런트 엔드 서버에 저장됩니다.

심층 방어

Microsoft는 악의적인 행위자가 Microsoft 클라우드에 저장된 고객 데이터의 기밀성, 무결성 또는 가용성을 손상시키지 않도록 하기 위해 심층 방어 전략을 사용합니다. 이 계층화된 보안 접근 방식의 일부로 비밀 저장소 및 가용성 키를 보호하기 위한 특정 예방 및 검색 컨트롤이 마련되어 있습니다.

Microsoft 365는 가용성 키의 오용을 방지하도록 설계되었습니다. 애플리케이션 계층은 암호화 및 암호 해독을 위해 가용성 키를 포함하여 키를 사용할 수 있는 유일한 인터페이스입니다. Microsoft 365 서비스 코드만 키 계층 구조를 해석하고 트래버스할 수 있습니다. 논리적 격리는 고객 키의 스토리지 위치, 가용성 키, 기타 계층 키 및 고객 데이터 간에 존재합니다. 이 분리는 위치가 손상된 경우 데이터 노출 위험을 줄입니다. 키 계층의 각 계층에는 저장된 데이터와 비밀을 보호하기 위한 지속적인 침입 검색이 포함됩니다.

액세스 제어는 가용성 키 비밀 저장소를 포함하여 내부 시스템에 대한 무단 액세스를 방지합니다. Microsoft 엔지니어는 이러한 매장에 직접 액세스할 수 없습니다. 자세한 내용은 Microsoft 365의 관리 액세스 제어를 참조하세요.

또한 기술 제어를 통해 Microsoft 직원이 권한이 높은 서비스 계정에 로그인할 수 없으므로 공격자가 Microsoft 서비스를 가장하는 데 사용할 수 있습니다. 이러한 컨트롤은 대화형 로그인 시도를 차단합니다.

보안 로깅 및 모니터링은 Microsoft의 심층 방어 접근 방식의 다른 안전 장치입니다. 서비스 팀은 경고 및 감사 로그를 생성하는 모니터링 솔루션을 배포합니다. 모든 로그는 집계 및 분석되는 중앙 리포지토리에 업로드됩니다. 내부 도구는 이러한 레코드를 자동으로 평가하여 서비스가 예상대로 안전하고 복원력이 있으며 작동하도록 합니다. 비정상적인 활동은 검토를 위해 플래그가 지정됩니다.

Microsoft 보안 정책의 잠재적 위반을 알리는 모든 이벤트는 Microsoft 보안 팀으로 에스컬레이션됩니다. Microsoft 365 보안 경고는 가용성 키 비밀 저장소에 대한 액세스 시도 및 서비스 계정에 대한 무단 로그인 시도를 감지하도록 구성됩니다. 또한 시스템은 예상 기준 서비스 동작의 편차를 감지합니다. Microsoft 365 서비스를 오용하려고 하면 경고가 트리거되고 위반자가 Microsoft 클라우드 환경에서 제거될 수 있습니다.

가용성 키를 사용하여 키 손실에서 복구

고객 키를 제어하지 못하면 가용성 키를 사용하여 데이터를 복구하고 다시 암호화할 수 있습니다.

Exchange 복구 절차

고객 키를 제어하지 못하면 가용성 키를 사용하여 데이터를 복구하고 영향을 받는 Microsoft 365 리소스를 다시 온라인 상태로 만들 수 있습니다. 가용성 키는 복구하는 동안 데이터를 계속 보호합니다.

키 손실에서 완전히 복구하려면 다음을 수행합니다.

  1. Azure Key Vault 새 고객 키를 만듭니다.
  2. 새 키를 사용하여 DEP(데이터 암호화 정책)를 만듭니다.
  3. 손상되거나 손실된 키로 암호화된 사서함에 새 DEP를 할당합니다.

이 다시 암호화 프로세스는 DEP를 변경하는 표준 기간인 최대 72시간이 걸릴 수 있습니다.

SharePoint 및 OneDrive에 대한 복구 절차

SharePoint 및 OneDrive의 경우 가용성 키는 복구 시나리오 중에만 사용됩니다. Microsoft에 가용성 키를 활성화하도록 명시적으로 요청해야 합니다.

복구 프로세스를 시작하려면 Microsoft 지원 문의하세요. 활성화되면 가용성 키는 자동으로 데이터의 암호를 해독하므로 새로 만든 DEP(데이터 암호화 정책) 및 새 고객 키를 사용하여 암호화할 수 있습니다.

복구 시간은 organization 사이트 수에 따라 달라집니다. 대부분의 고객은 가용성 키 활성화를 요청한 후 약 4시간 이내에 다시 온라인 상태가 될 수 있습니다.

Exchange에서 가용성 키를 사용하는 방법

고객 키를 사용하여 DEP(데이터 암호화 정책)를 만들 때 Microsoft 365는 해당 정책과 연결된 DEP 키를 생성합니다. 이 서비스는 DEP 키를 세 번 암호화합니다. 즉, 각 고객 키와 한 번, 가용성 키를 사용하여 한 번 암호화합니다. 암호화된 버전의 DEP 키만 저장됩니다. DEP 키는 고객 키 또는 가용성 키 중 하나에서만 암호 해독할 수 있습니다.

DEP 키는 사서함 키를 암호화하는 데 사용되며, 이 키는 개별 사서함을 암호화합니다.

Microsoft 365는 다음 프로세스를 사용하여 사서함 데이터의 암호를 해독하고 액세스를 제공합니다.

  1. 고객 키를 사용하여 DEP 키의 암호를 해독합니다.
  2. 암호 해독된 DEP 키를 사용하여 사서함 키의 암호를 해독합니다.
  3. 암호 해독된 사서함 키를 사용하여 사서함의 암호를 해독하고 데이터에 대한 액세스를 제공합니다.

SharePoint 및 OneDrive에서 가용성 키를 사용하는 방법

고객 키 및 가용성 키에 대한 SharePoint 및 OneDrive 아키텍처는 Exchange와 다릅니다.

organization 고객 관리형 키를 사용하기 시작하면 Microsoft 365는 organization TIK(테넌트 중간 키)를 만듭니다. Microsoft 365는 각 고객 키와 함께 TIK를 두 번 암호화하고 암호화된 버전만 저장합니다. TIK는 고객 키 중 하나를 사용하여 암호 해독할 수 있습니다. 그런 다음 TIK를 사용하여 Blob 키(파일 청크 키라고도 함)를 암호화하는 사이트 키를 암호화합니다. 더 큰 파일의 경우 서비스는 각각 고유한 키를 사용하여 여러 청크로 나눌 수 있습니다. 이러한 파일 청크 또는 Blob은 Blob 키로 암호화되고 Azure Blob Storage 저장됩니다.

Microsoft 365는 다음 단계를 사용하여 고객 파일의 암호를 해독합니다.

  1. 고객 키를 사용하여 TIK의 암호를 해독합니다.
  2. 암호 해독된 TIK를 사용하여 사이트 키의 암호를 해독합니다.
  3. 암호 해독된 사이트 키를 사용하여 Blob 키의 암호를 해독합니다.
  4. 암호 해독된 Blob 키를 사용하여 Blob의 암호를 해독합니다.

성능을 개선하기 위해 Microsoft 365는 Azure에 두 개의 암호 해독 요청을 보내며 시간이 약간 Key Vault 오프셋됩니다. 어떤 요청이 먼저 완료되면 결과가 제공됩니다. 다른 하나는 취소됩니다.

고객 키에 대한 액세스 권한이 끊어지면 Microsoft 365는 가용성 키를 사용하여 TIK의 암호를 해독합니다. Microsoft는 가용성 키로 각 TIK를 암호화하고 고객 키 암호화 버전과 함께 이 버전을 저장합니다. 가용성 키는 복구를 시작하기 위해 Microsoft에 문의하는 경우에만 사용됩니다.

크기 조정 및 안정성을 위해 암호 해독된 TIK는 제한된 시간 동안 메모리에 캐시됩니다. 캐시된 TIK가 만료되기 약 2시간 전에 Microsoft 365는 수명을 연장하기 위해 다시 암호를 해독하려고 시도합니다. 이 프로세스가 반복적으로 실패하면 Microsoft 365는 캐시가 만료되기 전에 엔지니어링에 대한 경고를 발생합니다. 복구가 필요한 경우 Microsoft는 가용성 키를 사용하여 TIK의 암호를 해독한 다음 암호 해독된 TIK 및 새 고객 키 집합을 사용하여 테넌트 다시 온보딩합니다.

현재 고객 키는 Azure Blob Storage SharePoint 파일 데이터를 암호화하고 암호를 해독하지만 SQL Database 저장된 항목이나 메타데이터는 나열하지 않습니다. Microsoft는 명시적으로 복구를 요청하지 않는 한 SharePoint 또는 OneDrive에 가용성 키를 사용하지 않습니다. 고객 데이터에 대한 사용자 액세스는 고객 Lockbox에 의해 보호됩니다.

가용성 키 트리거

Microsoft 365는 특정 상황에서만 가용성 키를 트리거하며 이러한 상황은 서비스에 따라 다릅니다.

Exchange에 대한 트리거

Microsoft 365는 사서함에 대한 고객 키에 액세스할 때 다음 프로세스를 수행합니다.

  1. 사서함에 할당된 DEP(데이터 암호화 정책)를 읽고 Azure Key Vault 저장된 두 고객 키를 식별합니다.

  2. 두 키 중 하나를 임의로 선택하고 DEP 키 래프 해제 요청을 Azure Key Vault 보냅니다.

  3. 해당 요청이 실패하면 대체 키를 사용하여 두 번째 요청을 보냅니다.

  4. 두 요청이 모두 실패하면 Microsoft 365는 결과를 검사하고 다음 두 가지 방법 중 하나로 응답합니다.

    • 두 요청이 모두 시스템 오류로 실패한 경우(예: Azure Key Vault 사용할 수 없거나 응답할 수 없음):

      • Microsoft 365는 가용성 키를 사용하여 DEP 키의 암호를 해독합니다.

      • 그런 다음 DEP 키를 사용하여 사서함 키의 암호를 해독하고 사용자 요청을 처리합니다.

    • 두 요청이 모두 "액세스 거부됨" 오류로 실패한 경우(예: 데이터 제거 프로세스 중을 포함하여 의도적이거나 우발적이거나 악의적인 키 제거에서)

      • Microsoft 365는 사용자 작업에 대한 가용성 키를 트리거하지 않습니다.

      • 사용자 요청이 실패하고 오류 메시지가 반환됩니다.

중요

Microsoft 365 서비스 코드는 항상 핵심 클라우드 서비스를 지원하기 위해 고객 데이터를 처리하고 추론할 수 있는 유효한 로그인 토큰을 유지 관리합니다. 이로 인해 가용성 키가 삭제될 때까지 내부 Exchange 작업(예: 사서함 이동 또는 인덱스 만들기)은 시스템 오류 또는 액세스 거부 응답으로 인해 오류가 발생했는지 여부에 관계없이 두 고객 키에 연결할 수 없는 경우에도 가용성 키를 대체로 사용할 수 있습니다.

SharePoint 및 OneDrive에 대한 트리거

SharePoint 및 OneDrive의 경우 복구 시나리오에 있지 않으면 Microsoft 365에서 가용성 키를 사용하지 않습니다. 복구 프로세스를 시작하려면 Microsoft에 문의하고 가용성 키를 사용하도록 명시적으로 요청해야 합니다.

감사 로그 및 가용성 키

Microsoft 365의 자동화된 시스템은 서비스를 통해 흐르는 데이터를 처리합니다. 이러한 시스템은 바이러스 백신, eDiscovery, 데이터 손실 방지 및 인덱싱과 같은 기능을 지원합니다. Microsoft 365는 이 백그라운드 활동에 대해 고객에게 표시되는 로그를 생성하지 않습니다. 또한 Microsoft 직원은 정상적인 시스템 작업 중에 데이터에 액세스하지 않습니다.

Exchange 가용성 키 로깅

Exchange가 서비스를 제공하기 위해 가용성 키에 액세스하면 Microsoft 365는 고객이 볼 수 있는 로그를 만듭니다. Microsoft Purview 포털에서 이러한 로그에 액세스할 수 있습니다. 서비스에서 가용성 키를 사용할 때마다 감사 로그 항목이 생성됩니다.

이 항목은 고객 키 서비스 암호화 라는 새 레코드 형식을 사용하며 활동 유형이 가용성 키로 대체됩니다. 이러한 레이블은 관리자가 통합 감사 로그 검색 결과를 필터링하여 가용성 키 레코드를 찾는 데 도움이 됩니다.

로그 항목에는 날짜, 시간, 활동, organization ID 및 데이터 암호화 정책 ID가 포함됩니다. 이러한 레코드는 통합 감사 로그의 일부이며 Microsoft Purview 포털의 감사 로그 검색 탭 아래에 표시됩니다.

가용성 키 이벤트에 대한 감사 로그 검색

Exchange 가용성 키 레코드는 Microsoft 365 관리 작업 일반 스키마를 따릅니다. 여기에는 정책 ID, 범위 키 버전 ID 및 요청 ID와 같은 사용자 지정 매개 변수도 포함됩니다.

가용성 키 사용자 지정 매개 변수

SharePoint 및 OneDrive 가용성 키 로깅

SharePoint 또는 OneDrive에는 가용성 키 로깅을 아직 사용할 수 없습니다. Microsoft는 사용자가 요청할 때만 복구 목적으로 가용성 키를 활성화합니다. 따라서 이러한 서비스에 가용성 키가 사용될 때 모든 이벤트를 이미 알고 있습니다.

고객 키 계층 구조의 가용성 키

Microsoft 365는 가용성 키를 사용하여 고객 키 암호화 계층 구조에서 아래 키 계층을 래핑합니다. 각 서비스에는 다른 키 계층 구조가 있습니다. 키 알고리즘은 가용성 키와 계층 구조의 다른 키 간에도 다릅니다.

각 서비스에서 사용하는 가용성 키 알고리즘은 다음과 같습니다.

  • Exchange 가용성 키는 AES-256을 사용합니다.
  • SharePoint 및 OneDrive 가용성 키는 RSA-2048을 사용합니다.

Exchange용 키를 암호화하는 데 사용되는 암호화 암호화

고객 키의 Exchange 암호화 암호화

SharePoint의 키를 암호화하는 데 사용되는 암호화 암호화

고객 키의 SharePoint 암호화 암호화