고객 키에 대한 가용성 키 알아보기
가용성 키는 데이터 암호화 정책을 만들 때 자동으로 생성되고 프로비전되는 루트 키입니다. Microsoft 365는 가용성 키를 저장하고 보호합니다. 가용성 키는 고객 키에 제공하는 두 개의 루트 키와 기능적으로 비슷합니다. 가용성 키는 키 계층 구조에서 한 계층의 키를 줄 바꿈합니다. Azure Key Vault 제공하고 관리하는 키와 달리 가용성 키에 직접 액세스할 수 없습니다. Microsoft 365 자동화된 서비스는 가용성 키를 프로그래밍 방식으로 관리합니다. 이러한 서비스는 가용성 키에 대한 직접 액세스를 포함하지 않는 자동화된 작업을 시작합니다.
가용성 키의 주요 목적은 관리하는 예기치 않은 루트 키 손실로부터 복구 기능을 제공하는 것입니다. 손실은 잘못된 관리 또는 악의적인 작업의 결과일 수 있습니다. 루트 키를 제어하지 못하면 Microsoft 지원 문의하여 가용성 키를 사용하여 복구 프로세스에 대한 지원을 받으세요. 가용성 키를 사용하여 프로비전하는 새 루트 키를 사용하여 새 데이터 암호화 정책으로 마이그레이션합니다.
가용성 키의 스토리지 및 제어는 세 가지 이유로 Azure Key Vault 키와 의도적으로 다릅니다.
- 가용성 키는 두 Azure Key Vault 키에 대한 제어가 손실된 경우 복구 "중단" 기능을 제공합니다.
- 논리 컨트롤과 보안 스토리지 위치를 분리하면 심층 방어가 제공되고 단일 공격 또는 실패 지점에서 모든 키와 데이터가 손실되는 것을 방지할 수 있습니다.
- Microsoft 365 서비스가 일시적인 오류로 인해 Azure Key Vault 호스트되는 키에 연결할 수 없는 경우 가용성 키는 고가용성 기능을 제공합니다. 이 규칙은 Exchange 서비스 암호화에만 적용됩니다. Microsoft SharePoint 및 OneDrive는 Microsoft에 복구 프로세스를 시작하도록 명시적으로 지시하지 않는 한 가용성 키를 사용하지 않습니다.
키 관리를 위한 다양한 보호 및 프로세스를 사용하여 데이터를 보호하는 책임을 공유하면 궁극적으로 모든 키(따라서 데이터)가 영구적으로 손실되거나 소멸될 위험이 줄어듭니다. Microsoft는 서비스를 종료할 때 가용성 키의 비활성화 또는 소멸에 대한 단독 권한을 제공합니다. 기본적으로 Microsoft의 아무도 가용성 키에 액세스할 수 없습니다. Microsoft 365 서비스 코드에서만 액세스할 수 있습니다.
키를 보호하는 방법에 대한 자세한 내용은 Microsoft 보안 센터를 방문하세요.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
Microsoft Purview 고객 키에 대한 Windows 365 지원은 공개 미리 보기 상태이며 변경될 수 있습니다.
가용성 키 사용
가용성 키는 외부 남성 관리자 또는 악의적인 내부자가 키 자격 증명 모음의 제어를 도용하거나 실수로 잘못된 관리로 인해 루트 키가 손실되는 시나리오에 대한 복구 기능을 제공합니다. 이 복구 기능은 고객 키와 호환되는 모든 Microsoft 365 서비스에 적용됩니다. 개별 서비스는 가용성 키를 다르게 사용합니다. Microsoft 365는 다음 섹션에서 설명하는 방식으로만 가용성 키를 사용합니다.
Exchange
복구 기능 외에도 Exchange는 가용성 키를 사용하여 루트 키에 액세스하는 서비스와 관련된 일시적 또는 일시적인 운영 문제 중에 데이터 가용성을 보장합니다. 일시적인 오류로 인해 서비스가 Azure Key Vault 고객 키 중 하나에 연결할 수 없는 경우 서비스는 자동으로 가용성 키를 사용합니다. 서비스는 가용성 키로 직접 연결되지 않습니다.
Exchange의 자동화된 시스템은 일시적인 오류 중에 가용성 키를 사용할 수 있습니다. 가용성 키를 사용하면 바이러스 백신, 전자 검색, Microsoft Purview 데이터 손실 방지, 사서함 이동 및 데이터 인덱싱과 같은 자동화된 백 엔드 서비스를 지원합니다.
SharePoint 및 OneDrive
SharePoint amd OneDrive의 경우 가용성 키는 복구 기능 외부에서 사용되지 않습니다. 복구 시나리오 중에 가용성 키를 사용하도록 Microsoft에 명시적으로 지시해야 합니다. 자동화된 서비스 작업은 Azure Key Vault의 고객 키에만 의존합니다. 이러한 서비스에 대한 키 계층 구조의 작동 방식에 대한 자세한 내용은 SharePoint 및 OneDrive에서 가용성 키를 사용하는 방법을 참조하세요.
가용성 키 보안
Microsoft는 가용성 키를 인스턴스화하고 이를 보호하기 위한 광범위한 조치를 취하여 데이터 보호의 책임을 공유합니다. Microsoft는 고객에게 가용성 키에 대한 직접 제어를 노출하지 않습니다. 예를 들어 Azure Key Vault 소유한 키만 롤(회전)할 수 있습니다. 자세한 내용은 고객 키 또는 가용성 키 롤 또는 회전을 참조하세요.
가용성 키 비밀 저장소
Microsoft는 고객용 Azure Key Vault 같은 액세스 제어 내부 비밀 저장소에서 가용성 키를 보호합니다. Microsoft는 Microsoft 관리자가 포함된 비밀에 직접 액세스하지 못하도록 액세스 제어를 구현합니다. 키 회전 및 삭제를 포함한 비밀 저장소 작업은 가용성 키에 대한 직접 액세스를 포함하지 않는 자동화된 명령을 통해 수행됩니다. 비밀 저장소 관리 작업은 특정 엔지니어로 제한되며 내부 도구인 Lockbox를 통해 권한 에스컬레이션이 필요합니다. 권한 상승에는 관리자 승인 및 근거를 부여하기 전에 필요합니다. Lockbox는 시간이 만료되거나 엔지니어가 로그아웃할 때 액세스가 자동 액세스 해지와 함께 시간이 바인딩되도록 합니다.
Exchange 가용성 키는 Exchange Active Directory 비밀 저장소에 저장됩니다. 가용성 키는 Active Directory 도메인 컨트롤러 내의 테넌트별 컨테이너 내에 안전하게 저장됩니다. 이 보안 스토리지 위치는 SharePoint 및 OneDrive 비밀 저장소와 분리되어 있습니다.
SharePoint 및 OneDrive 가용성 키는 서비스 팀에서 관리하는 내부 비밀 저장소에 저장됩니다. 이 보안 비밀 스토리지 서비스에는 애플리케이션 엔드포인트가 있는 프런트 엔드 서버와 백 엔드로 SQL Database 있습니다. 가용성 키는 SQL Database 저장됩니다. 비밀 저장소 암호화 키는 가용성 키를 래핑(암호화)합니다. 비밀 저장소 키는 AES-256 및 HMAC의 조합을 사용하여 미사용 가용성 키를 암호화합니다. 비밀 저장소 암호화 키는 동일한 SQL Database 논리적으로 격리된 구성 요소에 저장되며 Microsoft CA(인증 기관)에서 관리하는 인증서에 포함된 RSA-2048 키로 추가로 암호화됩니다. 이러한 인증서는 데이터베이스에 대한 작업을 수행하는 비밀 저장소 프런트 엔드 서버에 저장됩니다.
심층 방어
Microsoft는 악의적인 행위자가 Microsoft 클라우드에 저장된 고객 데이터의 기밀성, 무결성 또는 가용성에 영향을 주지 않도록 심층 방어 전략을 사용합니다. 중요한 보안 전략의 일환으로 비밀 저장소 및 가용성 키를 보호하기 위해 특정 예방 및 검색 컨트롤이 구현됩니다.
Microsoft 365는 가용성 키의 오용을 방지하기 위해 빌드되었습니다. 애플리케이션 계층은 가용성 키를 포함한 키를 사용하여 데이터를 암호화하고 해독할 수 있는 유일한 방법입니다. Microsoft 365 서비스 코드만 암호화 및 암호 해독 작업에 대한 키 계층 구조를 해석하고 트래버스할 수 있습니다. 논리적 격리는 고객 키의 스토리지 위치, 가용성 키, 기타 계층 키 및 고객 데이터 간에 존재합니다. 이 격리는 하나 이상의 위치가 손상된 경우 데이터 노출 위험을 완화합니다. 계층의 각 계층에는 저장된 데이터 및 비밀을 보호하기 위한 기본 제공 24x7 침입 검색 기능이 있습니다.
액세스 제어는 가용성 키 비밀 저장소를 포함하여 내부 시스템에 대한 무단 액세스를 방지하기 위해 구현됩니다. Microsoft 엔지니어는 가용성 키 비밀 저장소에 직접 액세스할 수 없습니다. 액세스 제어에 대한 자세한 내용은 Microsoft 365의 관리 액세스 제어를 검토하세요.
기술 제어는 Microsoft 직원이 권한이 높은 서비스 계정에 로그인하지 못하도록 방지하며, 그렇지 않으면 공격자가 Microsoft 서비스를 가장하는 데 사용할 수 있습니다. 예를 들어 이러한 컨트롤은 대화형 로그인을 방지합니다.
보안 로깅 및 모니터링 제어는 Microsoft 서비스 및 데이터에 대한 위험을 완화하는 또 다른 심층 방어 보호 조치입니다. Microsoft 서비스 팀은 경고 및 감사 로그를 생성하는 활성 모니터링 솔루션을 배포합니다. 모든 서비스 팀은 로그를 집계하고 처리하는 중앙 리포지토리에 로그를 업로드합니다. 내부 도구는 레코드를 자동으로 검사하여 서비스가 최적, 복원력 및 보안 상태에서 작동하는지 확인합니다. 추가 검토를 위해 비정상적인 활동에 플래그가 지정됩니다.
Microsoft 보안 정책의 잠재적 위반을 나타내는 모든 로그 이벤트는 Microsoft 보안 팀의 관심을 즉시 가져옵니다. Microsoft 365 보안은 가용성 키 비밀 저장소에 대한 액세스 시도를 감지하도록 경고를 구성했습니다. Microsoft 직원이 액세스 제어로 금지되고 보호되는 서비스 계정에 대화형 로그인을 시도하는 경우에도 경고가 생성됩니다. 또한 Microsoft 365 보안은 일반적인 기준 작업에서 Microsoft 365 서비스의 편차를 감지하고 경고합니다. Microsoft 365 서비스를 오용하려는 남성은 경고를 트리거하여 위반자가 Microsoft 클라우드 환경에서 제거됩니다.
가용성 키를 사용하여 키 손실에서 복구
고객 키를 제어하지 못하면 가용성 키를 통해 데이터를 복구하고 다시 암호화할 수 있습니다.
Exchange 복구 절차
고객 키를 제어하지 못하면 가용성 키를 통해 데이터를 복구하고 영향을 받는 Microsoft 365 리소스를 다시 온라인 상태로 되돌릴 수 있습니다. 복구하는 동안 가용성 키는 계속해서 데이터를 보호합니다. 높은 수준에서 키 손실에서 완전히 복구하려면 새 DEP를 만들고 영향을 받은 리소스를 새 정책으로 이동합니다.
새 고객 키로 데이터를 암호화하려면 Azure Key Vault 새 키를 만들고, 새 고객 키를 사용하여 새 DEP를 만든 다음, 키가 손실되거나 손상된 이전 DEP로 현재 암호화된 사서함에 새 DEP를 할당합니다.
이 다시 암호화 프로세스는 최대 72시간이 걸릴 수 있으며 DEP를 변경할 때 표준 기간입니다.
SharePoint 및 OneDrive에 대한 복구 절차
SharePoint 및 OneDrive의 경우 가용성 키는 복구 기능 외부에서 사용되지 않습니다. 복구 시나리오 중에 가용성 키 사용을 시작하도록 Microsoft에 명시적으로 지시해야 합니다. 복구 프로세스를 시작하려면 Microsoft에 문의하여 가용성 키를 활성화합니다. 활성화되면 가용성 키가 자동으로 사용되어 데이터를 해독하여 새 고객 키에 연결된 새로 만든 DEP로 데이터를 암호화할 수 있습니다.
이 작업은 organization 사이트 수에 비례합니다. 가용성 키를 사용하기 위해 Microsoft에 전화하면 약 4시간 이내에 완전히 온라인 상태가 되어야 합니다.
Exchange에서 가용성 키를 사용하는 방법
고객 키를 사용하여 DEP를 만들 때 Microsoft 365는 해당 DEP와 연결된 DEP 키(데이터 암호화 정책 키)를 생성합니다. 이 서비스는 DEP 키를 세 번 암호화합니다. 즉, 각 고객 키와 한 번, 가용성 키를 사용하여 한 번 암호화합니다. 암호화된 버전의 DEP 키만 저장되며 DEP 키는 고객 키 또는 가용성 키로만 암호 해독할 수 있습니다. 그런 다음 DEP 키를 사용하여 사서함 키를 암호화하여 개별 사서함을 암호화합니다.
Microsoft 365는 고객이 서비스를 사용할 때 데이터를 해독하고 제공하기 위해 이 프로세스를 따릅니다.
고객 키를 사용하여 DEP 키의 암호를 해독합니다.
암호 해독된 DEP 키를 사용하여 사서함 키의 암호를 해독합니다.
암호 해독된 사서함 키를 사용하여 사서함 자체의 암호를 해독하여 사서함 내의 데이터에 액세스할 수 있습니다.
SharePoint 및 OneDrive에서 가용성 키를 사용하는 방법
고객 키 및 가용성 키에 대한 SharePoint 및 OneDrive 아키텍처 및 구현은 Exchange와 다릅니다.
organization 고객 관리형 키로 이동하면 Microsoft 365는 organization TIK(특정 중간 키)를 만듭니다. Microsoft 365는 각 고객 키와 함께 TIK를 두 번 암호화하고 두 가지 암호화된 버전의 TIK를 저장합니다. 암호화된 버전의 TIK만 저장되며 TIK는 고객 키로만 암호 해독할 수 있습니다. 그런 다음 TIK를 사용하여 사이트 키를 암호화한 다음, Blob 키(파일 청크 키라고도 함)를 암호화하는 데 사용됩니다. 파일 크기에 따라 서비스는 각각 고유한 키를 사용하여 여러 파일 청크로 파일을 분할할 수 있습니다. Blob(파일 청크) 자체는 Blob 키로 암호화되고 Microsoft Azure Blob Storage 서비스에 저장됩니다.
Microsoft 365는 고객이 서비스를 사용할 때 고객 파일의 암호를 해독하고 제공하기 위해 이 프로세스를 따릅니다.
고객 키를 사용하여 TIK의 암호를 해독합니다.
암호 해독된 TIK를 사용하여 사이트 키의 암호를 해독합니다.
암호 해독된 사이트 키를 사용하여 Blob 키의 암호를 해독합니다.
암호 해독된 Blob 키를 사용하여 Blob의 암호를 해독합니다.
Microsoft 365는 약간의 오프셋으로 Azure Key Vault 두 개의 암호 해독 요청을 실행하여 TIK의 암호를 해독합니다. 완료할 첫 번째 항목은 결과를 제공하며 다른 요청을 취소합니다.
키에 대한 액세스 권한이 손실되는 경우 Microsoft 365는 가용성 키로 TIK를 암호화하고 각 고객 키로 암호화된 TIK와 함께 이 정보를 저장합니다. 가용성 키로 암호화된 TIK는 악의적으로 또는 실수로 키에 대한 액세스 권한이 손실될 때 Microsoft를 호출하여 복구 경로를 등록하는 경우에만 사용됩니다.
가용성 및 크기 조정을 위해 암호 해독된 TIK는 시간이 제한된 메모리 캐시에 캐시됩니다. TIK 캐시가 만료되도록 설정되기 2시간 전에 Microsoft 365는 각 TIK의 암호를 해독하려고 시도합니다. TIK의 암호를 해독하면 캐시의 수명이 연장됩니다. TIK 암호 해독이 상당한 시간 동안 실패하면 Microsoft 365는 캐시 만료 전에 엔지니어링에 알리는 경고를 생성합니다. Microsoft 365는 사용자가 호출하는 경우에만 복구 작업을 시작합니다. 여기에는 Microsoft의 비밀 저장소에 저장된 가용성 키로 TIK의 암호를 해독하고 암호 해독된 TIK 및 고객이 제공한 새 Azure Key Vault 키 집합을 사용하여 테넌트 온보딩이 포함됩니다.
현재 고객 키는 Azure Blob 저장소에 저장된 SharePoint 파일 데이터의 암호화 및 암호 해독 체인에 포함되지만 SQL Database 저장된 SharePoint 목록 항목 또는 메타데이터는 포함되지 않습니다. Microsoft 365는 고객이 시작한 경우를 제외한 Exchange 및 SharePoint 및 OneDrive의 가용성 키를 사용하지 않습니다. 고객 데이터에 대한 사용자 액세스는 고객 Lockbox에 의해 보호됩니다.
가용성 키 트리거
Microsoft 365는 특정 상황에서만 가용성 키를 트리거합니다. 이러한 상황은 서비스에 따라 다릅니다.
Exchange에 대한 트리거
Microsoft 365는 Azure Key Vault 두 고객 키의 위치를 확인하기 위해 사서함이 할당된 DEP를 읽습니다.
Microsoft 365는 DEP에서 두 고객 키 중 하나를 임의로 선택하고 Azure Key Vault 요청을 보내 고객 키를 사용하여 DEP 키를 래프 해제합니다.
고객 키를 사용하여 DEP 키를 래핑 해제하는 요청이 실패하면 Microsoft 365는 Azure Key Vault 두 번째 요청을 보내며, 이번에는 대체(두 번째) 고객 키를 사용하도록 지시합니다.
고객 키를 사용하여 DEP 키를 래프 해제하는 두 번째 요청이 실패하면 Microsoft 365는 두 요청의 결과를 검사합니다.
검사에서 요청이 시스템 오류를 반환하지 못했다고 판단하는 경우:
Microsoft 365는 가용성 키를 트리거하여 DEP 키의 암호를 해독합니다.
그런 다음 Microsoft 365는 DEP 키를 사용하여 사서함 키의 암호를 해독하고 사용자 요청을 완료합니다.
이 경우 Azure Key Vault 일시적인 오류로 인해 응답할 수 없거나 연결할 수 없습니다.
검사에서 요청이 ACCESS DENIED를 반환하지 못했다고 판단하는 경우:
이 반환은 고객 키를 사용할 수 없게 만들기 위해 의도치 않게 또는 악의적인 작업을 수행했음을 의미합니다(예: 서비스 탈퇴의 일부로 데이터 제거 프로세스 중).
이 경우 가용성 키는 시스템 작업에만 해당하며 사용자 작업에 대한 것이 아니라 사용자 요청이 실패하고 사용자가 오류 메시지를 받습니다.
중요
Microsoft 365 서비스 코드에는 항상 가치 추가 클라우드 서비스를 제공하기 위해 고객 데이터를 추론하기 위한 유효한 로그인 토큰이 있습니다. 따라서 가용성 키가 삭제될 때까지 검색 인덱스 만들기 또는 사서함 이동과 같이 Exchange에서 시작하거나 내부적으로 시작한 작업에 대한 대체로 사용할 수 있습니다. 이는 Azure Key Vault 대한 일시적인 오류 및 액세스 거부 요청 모두에 적용됩니다.
SharePoint 및 OneDrive에 대한 트리거
SharePoint amd OneDrive의 경우 가용성 키는 복구 기능 외부에서 사용되지 않으며 고객은 복구 시나리오 중에 가용성 키 사용을 시작하도록 Microsoft에 명시적으로 지시해야 합니다.
감사 로그 및 가용성 키
Microsoft 365의 자동화된 시스템은 시스템을 통해 흐르는 모든 데이터를 처리하여 바이러스 백신, 전자 검색, 데이터 손실 방지 및 데이터 인덱싱과 같은 클라우드 서비스를 제공합니다. Microsoft 365는 이 활동에 대해 고객이 볼 수 있는 로그를 생성하지 않습니다. 또한 Microsoft 직원은 이러한 정상적인 시스템 작업의 일부로 데이터에 액세스하지 않습니다.
Exchange 가용성 키 로깅
Exchange가 서비스를 제공하기 위해 가용성 키에 액세스하면 Microsoft 365는 보안 및 규정 준수 포털에서 액세스할 수 있는 고객 표시 로그를 게시합니다. 가용성 키 작업에 대한 감사 로그 레코드는 서비스에서 가용성 키를 사용할 때마다 생성됩니다. 활동 유형이 "가용성 키로 대체"인 "고객 키 서비스 암호화"라는 새 레코드 유형을 사용하면 관리자가 통합 감사 로그 검색 결과를 필터링하여 가용성 키 레코드를 볼 수 있습니다.
로그 레코드에는 날짜, 시간, 활동, organization ID 및 데이터 암호화 정책 ID와 같은 특성이 포함됩니다. 레코드는 통합 감사 로그의 일부로 사용할 수 있으며 Microsoft Purview 규정 준수 포털 감사 로그 검색 탭에서 액세스할 수 있습니다.
Exchange 가용성 키 레코드는 정책 ID, 범위 키 버전 ID 및 요청 ID와 같은 사용자 지정 매개 변수가 추가된 Microsoft 365 관리 작업 공통 스키마 를 사용합니다.
SharePoint 및 OneDrive 가용성 키 로깅
이러한 서비스에는 가용성 키 로깅을 아직 사용할 수 없습니다. SharePoint 및 OneDrive의 경우 Microsoft는 사용자가 지시한 경우에만 복구를 위해 가용성 키를 활성화합니다. 따라서 이러한 서비스에 가용성 키가 사용되는 모든 이벤트를 이미 알고 있습니다.
고객 키 계층 구조의 가용성 키
Microsoft 365는 가용성 키를 사용하여 고객 키 서비스 암호화를 위해 설정된 키 계층에서 키 계층을 낮게 래핑합니다. 서비스 간에는 서로 다른 키 계층이 있습니다. 또한 키 알고리즘은 가용성 키와 해당 서비스의 계층 구조에 있는 다른 키 간에도 다릅니다. 다양한 서비스에서 사용하는 가용성 키 알고리즘은 다음과 같습니다.
Exchange 가용성 키는 AES-256을 사용합니다.
SharePoint 및 OneDrive 가용성 키는 RSA-2048을 사용합니다.