참고
제로 트러스트는 "명시적으로 확인", "최소 권한 액세스 사용" 및 '위반 가정'의 세 가지 원칙으로 구성된 보안 전략입니다. 키 관리를 포함한 데이터 보호는 "최소 권한 액세스 사용" 원칙을 지원합니다. 자세한 내용은 제로 트러스트란?을 참조하세요.
Azure에서 암호화 키는 플랫폼 관리형 또는 고객 관리형이 될 수 있습니다.
PMK(플랫폼 관리형 키)는 Azure에서 완전히 생성, 저장 및 관리되는 암호화 키입니다. 고객은 PMK와 상호 작용하지 않습니다. 예를 들어 Azure 미사용 데이터 암호화에 사용되는 키는 기본적으로 PMK입니다.
반면에 CMK(고객 관리형 키)는 한 명 이상의 고객이 읽고, 만들고, 삭제하고, 업데이트 및/또는 관리하는 키입니다. 고객 소유의 키 보관소 또는 하드웨어 보안 모듈(HSM)에 저장된 키는 고객 관리 키(CMK)입니다. BYOK(Bring Your Own Key)는 고객이 외부 스토리지 위치에서 Azure 키 관리 서비스로 키를 가져오는 CMK 시나리오입니다(Azure Key Vault: Bring Your Own Key 사양 참조).
특정 종류의 고객 관리형 키가 KEK("키 암호화 키")입니다. KEK는 자체적으로 암호화된 하나 이상의 암호화 키에 대한 액세스를 제어하는 기본 키입니다.
고객 관리형 키는 온-프레미스 또는 더 일반적으로 클라우드 키 관리 서비스에 저장할 수 있습니다.
Azure 키 관리 서비스
Azure는 Azure Key Vault, Azure Key Vault 관리형 HSM, Azure Cloud HSM 및 Azure Payment HSM을 포함하여 클라우드에 키를 저장하고 관리하기 위한 몇 가지 옵션을 제공합니다. 이러한 옵션은 FIPS 준수 수준, 관리 오버헤드 및 의도된 애플리케이션 측면에서 다릅니다.
특정 요구 사항에 맞는 올바른 키 관리 솔루션을 선택하는 포괄적인 가이드는 올바른 키 관리 솔루션을 선택하는 방법을 참조하세요.
Azure Key Vault(표준 계층)
FIPS 140-2 수준 1은 비대칭 키, 비밀 및 인증서를 저장하는 데 사용할 수 있는 다중 테넌트 클라우드 키 관리 서비스의 유효성을 검사했습니다. Azure Key Vault에 저장된 키는 소프트웨어로 보호되며 미사용 암호화 및 사용자 지정 애플리케이션에 사용할 수 있습니다. Azure Key Vault 표준은 최신 API와 다양한 지역 배포 및 Azure 서비스와의 통합을 제공합니다. 자세한 내용은 Azure Key Vault 정보를 참조하세요.
Azure Key Vault(프리미엄 계층)
비대칭 키, 비밀 및 인증서를 저장하는 데 사용할 수 있는 FIPS 140-3 수준 3의 유효성이 검사된 PCI 규격 다중 테넌트 HSM 제품입니다. 키는 Marvell LiquidSecurity HSMs*를 사용하여 보안 하드웨어 경계에 저장됩니다. Microsoft는 기본 HSM을 관리하고 운영하며, Azure Key Vault Premium에 저장된 키는 미사용 암호화 및 사용자 지정 애플리케이션에 사용할 수 있습니다. 또한 Azure Key Vault Premium은 최신 API와 다양한 지역 배포 및 Azure 서비스와의 통합을 제공합니다.
중요합니다
Azure 통합 HSM: 새 Azure 서버 하드웨어(AMD D 및 E 시리즈 v7 미리 보기)부터 Microsoft에서 디자인한 HSM 칩이 서버에 직접 포함되어 FIPS 140-3 수준 3 표준을 충족합니다. 이러한 변조 방지 칩은 보안 하드웨어 경계 내에서 암호화 키를 유지하여 대기 시간 및 노출 위험을 제거합니다. 통합 HSM은 Azure Key Vault 및 Azure Storage 암호화와 같은 지원되는 서비스에 대해 기본적으로 투명하게 작동하여 추가 구성 없이 하드웨어 적용 트러스트를 제공합니다. 이러한 통합을 통해 암호화 작업은 클라우드 서비스의 성능과 확장성을 유지하면서 하드웨어 수준 보안 격리의 이점을 얻을 수 있습니다.
키 주권, 단일 테넌트 및/이상의 암호화 작업을 초당 찾고 있는 Azure Key Vault 프리미엄 고객인 경우 대신 Azure Key Vault 관리형 HSM을 고려할 수 있습니다. 자세한 내용은 Azure Key Vault 정보를 참조하세요.
Azure Key Vault 관리되는 HSM
FIPS 140-2 레벨 3 인증을 받은 단일 테넌트 HSM 제품으로, 고객에게 데이터 비활성 상태 암호화, 키리스 SSL/TLS 오프로딩, 사용자 지정 애플리케이션을 위한 HSM의 완전한 제어 권한을 제공합니다. Azure Key Vault 관리형 HSM은 기밀 키를 제공하는 유일한 키 관리 솔루션입니다. 고객은 Key Vault API를 통해 암호화 기능을 노출하는 서비스를 통해 하나의 논리적, 고가용성 HSM 어플라이언스 역할을 하는 세 개의 HSM 파티션 풀을 받습니다. Microsoft는 HSM의 프로비전, 패치, 유지 관리 및 하드웨어 장애 조치(failover)를 처리하지만, 서비스가 Azure의 기밀 컴퓨팅 인프라 내에서 실행되므로 키 자체에 액세스할 수 없습니다. Azure Key Vault 관리형 HSM은 Azure SQL, Azure Storage 및 Azure Information Protection PaaS 서비스와 통합되며 F5 및 Nginx를 사용하는 Keyless TLS에 대한 지원을 제공합니다. 자세한 내용은 Azure Key Vault 관리형 HSM이란?을 참조하세요.
Azure 전용 HSM
FIPS 140-2 수준 3은 고객에게 PKCS#11용 HSM, 오프로드 SSL/TLS 처리, 인증 기관 프라이빗 키 보호, 문서 및 코드 서명을 비롯한 투명한 데이터 암호화 및 사용자 지정 애플리케이션에 대한 모든 권한을 고객에게 제공하는 단일 테넌트 HSM 제품의 유효성을 검사했습니다. 고객은 HSM 클러스터를 완전히 관리합니다. 고객이 HSM의 배포 및 초기화를 소유하는 동안 Microsoft는 HSM의 서비스 프로비전 및 호스팅을 처리합니다. Azure Dedicated HSM은 리프트 앤 시프트 워크로드, PKI, SSL 오프로드 및 키 없는 TLS, OpenSSL 애플리케이션, Oracle TDE 및 Azure SQL TDE IaaS 사용을 비롯한 기존 사용 사례를 지원합니다. Azure Dedicated HSM은 Azure PaaS 제품과 통합되지 않습니다. 자세한 내용은 Azure Dedicated HSM이란?을 참조하세요.
Azure Payment HSM
Microsoft 데이터 센터에서 결제 운영을 위해 고객이 임대할 수 있는 단일 테넌트 전용의 FIPS 140-2 수준 3, PCI HSM v3 인증을 받은 베어 메탈 HSM 제품을 제공합니다. 이 제품은 결제 PIN 처리, 결제 자격 증명 발급, 보안 키와 인증 데이터 보호, 민감한 데이터 보호를 포함합니다. 서비스는 PCI DSS, PCI 3DS 및 PCI PIN 규격입니다. Azure Payment HSM은 고객이 HSM에 대한 완전한 관리 제어 및 단독 액세스를 가질 수 있도록 단일 테넌트 HSM을 제공합니다. HSM이 고객에게 할당되면 Microsoft는 고객 데이터에 액세스할 수 없습니다. 마찬가지로 HSM이 더 이상 필요하지 않으면 HSM이 릴리스되는 즉시 고객 데이터가 제로화되고 지워지고 완전한 개인 정보 보호 및 보안이 유지됩니다. 자세한 내용은 Azure Payment HSM이란?을 참조하세요.
참고
* Azure Key Vault Premium을 사용하면 소프트웨어 보호 키와 HSM 보호 키를 모두 만들 수 있습니다. Azure Key Vault Premium을 사용하는 경우 생성된 키가 HSM으로 보호되는지 확인합니다.
가격 책정
Azure Key Vault 표준 및 프리미엄 계층은 트랜잭션 기준으로 청구되며 프리미엄 하드웨어 지원 키에 대한 추가 월별 키당 요금이 청구됩니다. Azure Key Vault 관리형 HSM, Azure Dedicated HSM 및 Azure Payment HSM은 트랜잭션 단위로 청구되지 않습니다. 대신 고정 시간당 요금으로 청구되는 항상 사용 중인 디바이스입니다. 자세한 가격 책정 정보는 Key Vault 가격 책정 및 결제 HSM 가격 책정을 참조하세요.
서비스 제한
Azure Key Vault 관리형 HSM, Azure Dedicated HSM 및 Azure Payment HSM은 전용 용량을 제공합니다. Azure Key Vault 표준 및 프리미엄은 다중 테넌트 제품이며 제한 제한이 있습니다. 서비스 한도는 Key Vault 서비스 한도를 참조하세요.
미사용 암호화
Azure Key Vault 및 Azure Key Vault 관리형 HSM은 Azure 서비스 및 고객 관리형 키용 Microsoft 365와 통합되어 있으므로 고객은 이러한 서비스에 저장된 데이터의 나머지 부분에 암호화를 위해 Azure Key Vault 및 Azure Key Vault 관리형 HSM에서 자체 키를 사용할 수 있습니다. Azure Dedicated HSM 및 Azure Payment HSM은 서비스 제공 인프라이며 Azure 서비스와의 통합을 제공하지 않습니다. Azure Key Vault 및 Azure Key Vault Managed HSM을 사용한 데이터 암호화에 대한 개요는 Azure Data Encryption-at-Rest를 참조하세요.
API들
Azure Dedicated HSM 및 Azure Payment HSM은 PKCS#11, JCE/JCA 및 KSP/CNG API를 지원하지만 Azure Key Vault 및 Azure Key Vault 관리형 HSM은 지원하지 않습니다. Azure Key Vault 및 Azure Key Vault 관리형 HSM은 Azure Key Vault REST API를 사용하고 SDK 지원을 제공합니다. Azure Key Vault API에 대한 자세한 내용은 Azure Key Vault REST API 참조를 참조하세요.