Azure Key Vault의 자동 갱신 이해

인증서, 키 및 비밀과 같은 암호화 자산의 수명은 제한됩니다. 보안 모범 사례로, 이러한 자산은 손상 위험을 줄이고 보안 정책을 준수하도록 정기적으로 회전해야 합니다. Azure Key Vault는 이러한 자산을 회전하기 위한 자동화 기능을 제공하여 조직이 운영 오버헤드를 최소화하면서 강력한 보안 태세를 유지할 수 있도록 지원합니다.

자동rotation이란?

자동 회전은 암호화 자산을 미리 정의된 간격으로 또는 특정 이벤트에 대해 새로운 자산으로 자동으로 바꾸는 프로세스입니다. Azure Key Vault에서 자동 연결 기능은 자산 유형에 따라 달라집니다.

• 키: 구성된 회전 정책에 따라 새 키 버전의 자동 생성
• 비밀: 비밀을 사용하는 시스템에 통합된 상태에서 이벤트 트리거로 업데이트됩니다.
• 인증서: 만료되기 전에 인증서 자동 갱신

자동 회전의 이점

암호화 자산에 대한 자동 로팅을 구현하면 다음과 같은 몇 가지 이점이 있습니다.

• 보안 강화: 암호화 자료를 정기적으로 회전하면 손상 위험이 줄어듭니다.
• 간소화된 규정 준수: 암호화 자산 수명 주기 관리를 위한 규정 및 조직 요구 사항 충족
• 운영 효율성: 수동 작업 및 회전 프로세스에서 사람의 오류 위험 감소
• 가동 중지 시간 감소: 만료 전 자동 관리 회전으로 서비스 중단 방지
• 확장 가능한 관리: 여러 자산 및 서비스에서 회전 자동화

다양한 자산 유형에 대한 자동 변환

키 자동 조정

Azure Key Vault의 키는 지정된 빈도에서 새 키 버전을 자동으로 생성하는 회전 정책으로 구성할 수 있습니다. 이는 Azure 서비스에서 CMK(고객 관리형 키)로 사용되는 키에 유용합니다.

키 자동 로트는 다음을 지원합니다.

• 구성 가능한 회전 간격(최소 7일)
• Event Grid를 통한 거의 만료 알림
• 예약된 회전 외에 주문형 회전
• CMK를 사용하여 Azure 서비스와 통합

Azure Key Vault에서 키 자동 연결 구성 방법 알아보기

비밀 자동회전

Azure Key Vault의 비밀은 Event Grid 이벤트에 의해 트리거되는 Azure 함수를 사용하여 자동 순환하도록 구성할 수 있습니다. 이는 데이터베이스 자격 증명, API 키 및 일반 업데이트가 필요한 기타 중요한 정보에 유용합니다.

비공개 자동회전 기능은 다음을 지원합니다.

• Event Grid를 통한 이벤트 기반 트리거
• 사용자 지정 회전 논리를 위한 Azure Functions와 통합
• 만료가 가까워진 수동 회전 알림에 대한 통지
• 새 비밀 값을 사용하여 종속 서비스 업데이트

Azure Key Vault는 다음 두 가지 비밀 회전 시나리오를 지원합니다.

• 하나의 인증 자격 증명 집합을 사용하여 리소스에 대한 비밀 자동 연결 구현 방법 알아보기
• 두 개의 인증 자격 증명 집합을 사용하여 리소스에 대한 비밀 자동 연결 구현 방법 알아보기

인증서 자동 회전

Azure Key Vault에 저장된 인증서는 만료되기 전에 자동으로 갱신할 수 있습니다. Key Vault는 CA(통합 인증 기관) 또는 자체 서명된 인증서 다시 생성을 통해 인증서 갱신을 처리합니다.

인증서 자동 회전은 다음을 지원합니다.

• 유효 기간 구성
• 자동 갱신은 만료 전 일정 백분율의 남은 기간 또는 지정된 일수를 기준으로 이뤄집니다.
• 인증서 만료에 대한 이메일 알림
• DigiCert 및 GlobalSign과 같은 인증 기관과 통합

Azure Key Vault에서 인증서 자동 연결 구성 방법 알아보기

자동 조정에 대한 모범 사례

Azure Key Vault에서 자동 연결 구현 시 다음 모범 사례를 고려합니다.

1. 버전 관리 사용: 시스템에서 키, 인증서 또는 비밀의 최신 버전을 자동으로 참조하는지 확인
2. 적절한 액세스 제어 구현: Azure RBAC를 사용하여 회전 정책을 구성할 수 있는 사용자 제어
3. 회전 이벤트 모니터링: 성공 및 실패 회전에 대한 알림 및 경고 설정
4. 회전 절차 테스트: 종속 시스템이 회전된 자산을 올바르게 처리할 수 있는지 확인
5. 적절한 회전 빈도 구성: 운영 고려 사항과 보안 요구 사항의 균형 조정
6. 문서 대체 절차: 긴급 시나리오에 대해 수동 회전 프로세스를 문서화합니다.
7. 보안 모범 사례 준수: Azure Key Vault 보안에 설명된 대로 포괄적인 보안 조치 구현

일반적인 자동 회전 상황

Azure 서비스에 대한 고객 관리형 키

많은 Azure 서비스는 Key Vault에 저장된 고객 관리형 키를 사용하여 암호화를 지원합니다. 이러한 키가 자동 로팅되도록 구성된 경우 서비스는 새 암호화 작업에 최신 키 버전을 자동으로 사용하는 동시에 이전 버전으로 암호화된 데이터에 대한 액세스를 유지 관리합니다.

데이터베이스 자격 증명

Key Vault에 비밀로 저장된 데이터베이스 자격 증명은 Key Vault의 비밀을 업데이트할 뿐만 아니라 데이터베이스에 새 자격 증명을 적용하는 함수 앱으로 자동으로 회전할 수 있습니다.

API 키 및 서비스 자격 증명

API 키 및 서비스 자격 증명의 자동 순환은 이러한 중요한 자산의 수명을 제한하여 보안을 유지하는 데 도움이 됩니다. Azure Functions를 사용하여 회전을 구현하면 Key Vault와 대상 서비스를 모두 업데이트할 수 있습니다.

다음 단계

• Azure Key Vault에서 암호화 키 자동 연결 구성
• Key Vault에서 인증서 자동 연결 구성
• 하나의 인증 자격 증명 집합을 사용하여 리소스에 대한 비밀 순환 자동화
• Azure Key Vault 정보
• Azure의 키 관리