Azure의 키 관리
참고 항목
제로 트러스트는 "명시적으로 확인", "최소 권한 액세스 사용" 및 '위반 가정'의 세 가지 원칙으로 구성된 보안 전략입니다. 키 관리를 포함한 데이터 보호는 "최소 권한 액세스 사용" 원칙을 지원합니다. 자세한 내용은 제로 트러스트란?을 참조하세요.
Azure에서 암호화 키는 플랫폼 관리형 또는 고객 관리형이 될 수 있습니다.
PMK(플랫폼 관리형 키)는 Azure에서 완전히 생성, 저장 및 관리되는 암호화 키입니다. 고객은 PMK와 상호 작용하지 않습니다. 예를 들어 Azure 미사용 데이터 암호화에 사용되는 키는 기본적으로 PMK입니다.
반면에 CMK(고객 관리형 키)는 한 명 이상의 고객이 읽고, 만들고, 삭제하고, 업데이트 및/또는 관리하는 키입니다. 고객 소유 키 자격 증명 모음 또는 HSM(하드웨어 보안 모듈)에 저장된 키는 CMK입니다. BYOK(Bring Your Own Key)는 고객이 외부 스토리지 위치에서 Azure 키 관리 서비스로 키를 가져오는 CMK 시나리오입니다(Azure Key Vault: Bring Your Own Key 사양 참조).
특정 종류의 고객 관리형 키가 KEK("키 암호화 키")입니다. KEK는 자체적으로 암호화된 하나 이상의 암호화 키에 대한 액세스를 제어하는 기본 키입니다.
고객 관리형 키는 온-프레미스 또는 더 일반적으로 클라우드 키 관리 서비스에 저장할 수 있습니다.
Azure 키 관리 서비스
Azure는 Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM 및 Azure Payment HSM을 포함하여 클라우드에서 키를 저장하고 관리하기 위한 여러 옵션을 제공합니다. 이러한 옵션은 FIPS 준수 수준, 관리 오버헤드 및 의도된 애플리케이션 측면에서 다릅니다.
각 키 관리 서비스에 대한 개요와 적합한 키 관리 솔루션을 선택하는 포괄적인 가이드는 올바른 키 관리 솔루션 선택 방법을 참조하세요.
가격 책정
Azure Key Vault 표준 및 프리미엄 계층은 트랜잭션 기반으로 청구되며 프리미엄 하드웨어 지원 키에 대해 키당 월별 추가 요금이 청구됩니다. 관리 HSM, Dedicated HSM 및 Payments HSM은 트랜잭션 기준으로 요금을 청구하지 않습니다. 대신 고정된 시간당 요금이 청구되는 상시 사용 디바이스입니다. 자세한 가격 책정 정보는 Key Vault 가격 책정, Dedicated HSM 가격 책정 및 Payment HSM 가격 책정을 참조하세요.
서비스 제한
관리 HSM, Dedicated HSM 및 Payments HSM은 전용 용량을 제공합니다. Key Vault Standard 및 Premium은 다중 테넌트 제품이며 제한이 있습니다. 서비스 한도는 Key Vault 서비스 한도를 참조하세요.
미사용 암호화
Azure Key Vault 및 Azure Key Vault Managed HSM은 Azure Services 및 Microsoft 365 for Customer Managed Keys와 통합됩니다. 즉, 고객은 이러한 서비스에 저장된 미사용 데이터 암호화를 위해 Azure Key Vault 및 Azure Key Managed HSM에서 자체 키를 사용할 수 있습니다. Dedicated HSM 및 Payments HSM은 IaaS(Infrastructure-as-Service) 제품이며 Azure 서비스와의 통합을 제공하지 않습니다. Azure Key Vault 및 관리 HSM을 사용한 저장 데이터 암호화에 대한 개요는 Azure 미사용 데이터 암호화를 참조하세요.
API
Dedicated HSM 및 Payments HSM은 PKCS#11, JCE/JCA 및 KSP/CNG API를 지원하지만 Azure Key Vault 및 관리 HSM은 지원하지 않습니다. Azure Key Vault 및 Managed HSM은 Azure Key Vault REST API를 사용하고 SDK 지원을 제공합니다. Azure Key Vault API에 대한 자세한 내용은 Azure Key Vault REST API 참조를 참조하세요.