영향 수준 5 워크로드에 대한 격리 지침
Azure Government는 사용 가능한 모든 지역에서 IL5(영향 수준 5) 데이터를 사용하는 애플리케이션을 지원합니다. IL5 요구 사항은 미국 DoD(국방부) 클라우드 컴퓨팅 SRG(보안 요구 사항 가이드)에 정의되어 있습니다. IL5 워크로드는 DoD에 큰 영향을 주며 더 높은 표준으로 보호해야 합니다. 이러한 워크로드를 Azure Government에 배포하면 격리 요구 사항을 다양한 방법으로 충족할 수 있습니다. 이 문서의 지침에서는 IL5 격리 요구 사항을 충족하는 데 필요한 구성 및 설정에 대해 설명합니다. 새 격리 옵션을 사용하도록 설정하고 DISA(국방 정보 시스템 기구)에서 IL5 데이터의 새 서비스에 대한 권한을 부여함에 따라 이 문서를 업데이트할 예정입니다.
배경
2017년 1월 DISA는 IL5 PA(임시 권한 부여)를 Azure Government에 부여하여 하이퍼스케일 클라우드 공급자에 수여된 최초의 IL5 PA가 되었습니다. PA에는 DoD 전용인 두 개의 Azure Government 지역, 즉 US DoD 중부 및 US DoD 동부(US DoD 지역)가 포함되었습니다. DoD 임무 소유자 피드백과 진화하는 보안 기능에 따라 Microsoft는 DISA와 협력하여 2018년 12월에 IL5 PA 경계를 확장하여 나머지 Azure Government 지역인 US Gov 애리조나, US Gov 텍사스 및 US Gov 버지니아(US Gov 지역)가 포함되었습니다. Azure Government의 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요.
- US Gov 지역의 DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요.
- US DoD 지역의 DoD IL5 PA 범위에 속하는 서비스 목록은 Azure Government DoD 지역 IL5 감사 범위를 참조하세요.
Azure Government는 미국 연방, 주, 지방, 부족 정부 및 해당 파트너가 사용할 수 있습니다. Azure Government에 대한 IL5 확장은 DoD에서 요구하는 격리 요구 사항을 준수합니다. Azure Government는 다른 어떤 클라우드 서비스 환경보다 DoD IL5 워크로드에 적합한 더 많은 PaaS 서비스를 계속 제공합니다.
원칙 및 접근 방식
IL5 범위의 Azure 서비스에 대한 두 가지 주요 영역인 컴퓨팅 격리와 스토리지 격리를 처리해야 합니다. 이 문서에서는 Azure 서비스에서 IL5 데이터에 대한 컴퓨팅 및 스토리지 서비스를 격리하는 데 도움이 되는 방법에 중점을 둡니다. SRG는 공유 관리 및 네트워크 인프라를 허용합니다. 이 문서에서는 US Gov 애리조나, US Gov 텍사스 및 US Gov 버지니아 지역(US Gov 지역)에 대한 Azure Government 컴퓨팅 및 스토리지 격리 방법에 중점을 둡니다. Azure Government DoD 지역(US DoD 중부 및 US DoD 동부(US DoD 지역))에서 사용할 수 있고 IL5 수준 권한이 부여된 경우 Azure 서비스는 기본적으로 추가 격리 구성이 필요하지 않은 IL5 워크로드에 적합합니다. Azure Government DoD 지역은 DoD 기관 및 해당 파트너를 위해 예약되어 있으므로 의도적으로 비 DoD 테넌트와 물리적으로 분리할 수 있습니다. 자세한 내용은 Azure Government의 DoD를 참조하세요.
Important
DoD IL5 규정 준수 요구 사항을 충족하도록 애플리케이션을 설계하고 배포할 책임은 사용자에게 있습니다. 이 경우 Azure 리소스 이름 지정에 대한 고려 사항에서 설명한 대로 Azure 리소스 이름에는 중요하거나 제한된 정보를 포함하면 안 됩니다.
컴퓨팅 격리
IL5 분리 요구 사항은 클라우드 컴퓨팅 SRG의 5.2.2.3 섹션(51페이지)에 명시되어 있습니다. SRG는 IL5 데이터를 "처리"하는 동안 컴퓨팅 분리에 중점을 둡니다. 이렇게 분리하면 물리적 호스트를 잠재적으로 손상시킬 수 있는 가상 머신이 DoD 워크로드에 영향을 줄 수 없습니다. 런타임 공격의 위험을 제거하고 장기 실행 워크로드가 동일한 호스트의 다른 워크로드로 인해 손상되지 않도록 하려면 DoD 임무 소유자가 Azure Dedicated Host 또는 격리된 가상 머신을 통해 모든 IL5 가상 머신 및 가상 머신 확장 집합을 격리해야 합니다. 이렇게 하면 Windows 및 Linux용 Azure VMs(Virtual Machines)를 호스트하는 전용 물리적 서버가 제공됩니다.
컴퓨팅 프로세스가 소유자의 액세스로부터 난독 처리되고 데이터 처리 시 상태 비저장인 서비스의 경우 처리되는 데이터와 해당 데이터가 저장되고 유지되는 방법에 집중하여 격리를 수행해야 합니다. 이 방법을 사용하면 데이터가 보호된 매체에 저장됩니다. 또한 필요에 따라 암호화되는 경우를 제외하고는 데이터가 이러한 서비스에 장기간 존재하지 않도록 합니다.
스토리지 격리
미사용 데이터 암호화에 대한 DoD 요구 사항은 클라우드 컴퓨팅 SRG의 5.11 섹션(122페이지)에 제공되어 있습니다. DoD는 가상 머신 가상 하드 드라이브, 블록 또는 파일 수준의 대용량 스토리지 기능, 임무 소유자가 데이터베이스 서비스를 단독으로 제어할 수 없는 데이터베이스 레코드에 저장된 모든 미사용 데이터를 암호화하는 것을 강조합니다. DoD 키 제어를 통해 미사용 데이터를 암호화할 수 없는 클라우드 애플리케이션의 경우 임무 소유자는 데이터를 클라우드 서비스 제품으로 전송하기 전에 관련 데이터 소유자와 함께 위험 분석을 수행해야 합니다.
최근 Azure Government PA에서 DISA는 암호화 수단을 통해 IL5를 다른 데이터와 논리적으로 분리하는 것을 승인했습니다. Azure에서 이 방법에는 Azure Key Vault에서 유지 관리되고 FIPS 140 유효성이 검사된 HSM(하드웨어 보안 모듈)에 저장되는 키를 통한 데이터 암호화가 포함됩니다. 키는 IL5 시스템 소유자(함)가 소유하고 관리하며, CMK(고객 관리형 키)라고도 합니다.
이 방법이 서비스에 적용되는 방법은 다음과 같습니다.
- 서비스에서 IL5 데이터만 호스트하는 경우 서비스는 최종 사용자에 대한 키를 제어할 수 있습니다. 그러나 전용 키를 사용하여 클라우드의 다른 모든 데이터로부터 IL5 데이터를 보호해야 합니다.
- 서비스에서 IL5 및 비 DoD 데이터를 호스트하는 경우 서비스는 최종 사용자가 Azure Key Vault에서 유지 관리되는 자체 암호화 키를 사용할 수 있는 옵션을 공개해야 합니다. 이 구현은 서비스 소비자에게 필요에 따라 암호화 분리를 구현할 수 있는 기능을 제공합니다.
이 방법을 사용하면 하드웨어 기반 키 관리 솔루션을 사용하여 데이터 암호 해독을 위한 모든 키 자료가 데이터 자체와 별도로 저장됩니다.
이 지침 적용
IL5 지침에서는 높은 수준의 보안, 격리 및 제어를 사용하여 워크로드를 배포해야 합니다. IL5 요구 사항을 충족하는 데 필요한 다른 구성 또는 제어 외에도 다음 구성이 추가로 필요합니다. 네트워크 격리, 액세스 제어 및 기타 필요한 보안 조치는 반드시 이 문서에서 다루지는 않습니다.
참고 항목
이 문서에서는 DoD IL5 PA를 받았으며 IL5 격리 요구 사항을 충족하기 위해 추가 구성 옵션이 필요한 Azure 서비스를 추적합니다. 추가 구성 옵션이 필요하지 않은 IL5 PA를 사용하는 서비스는 이 문서에서 설명하지 않습니다. US Gov 지역의 DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요.
사용하는 각 서비스에 대한 항목을 검토하고 모든 격리 요구 사항이 구현되었는지 확인해야 합니다.
AI + 기계 학습
Azure Government의 AI 및 기계 학습 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Azure AI 검색
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure AI 검색의 미사용 콘텐츠 암호화를 구성합니다.
Azure Machine Learning
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure Machine Learning의 미사용 콘텐츠 암호화를 구성합니다. Azure Machine Learning은 Azure Machine Learning 작업 영역 및 고객 구독과 연결된 Azure Blob Storage 계정에 스냅샷, 출력 및 로그를 저장합니다. Azure Blob Storage에 저장된 모든 데이터는 미사용 시 Microsoft 관리형 키를 사용하여 암호화됩니다. 고객은 자신의 고유한 키를 Azure Blob Storage에 저장된 데이터에 사용할 수 있습니다. Azure Key Vault에 저장된 고객 관리형 키를 사용하여 암호화 구성을 참조하세요.
Azure AI 서비스: Content Moderator
- Azure Key Vault에서 고객 관리형 키를 사용하여 Content Moderator 서비스의 미사용 콘텐츠 암호화를 구성합니다.
Azure AI 서비스: Custom Vision
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure AI Custom Vision의 미사용 콘텐츠 암호화를 구성합니다.
Azure AI 서비스: 얼굴
- Azure Key Vault에서 고객 관리형 키를 사용하여 Face 서비스의 미사용 콘텐츠 암호화를 구성합니다.
Azure AI Language Understanding(LUIS)
- Azure Key Vault에서 고객 관리형 키를 사용하여 Language Understanding 서비스의 미사용 콘텐츠 암호화를 구성합니다.
Azure AI Language Understanding(LUIS)은 Azure AI 언어의 일부입니다.
Azure AI 서비스: Personalizer
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure AI Personalizer의 미사용 콘텐츠 암호화를 구성합니다.
Azure AI 서비스: QnA Maker
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure AI QnA Maker의 미사용 콘텐츠 암호화를 구성합니다.
Azure AI QnA Maker는 Azure AI 언어의 일부입니다.
Azure AI Speech
- Azure Key Vault에서 고객 관리형 키를 사용하여 Speech Services의 미사용 콘텐츠 암호화를 구성합니다.
Azure AI 서비스: Translator
- Azure Key Vault에서 고객 관리형 키를 사용하여 Translator 서비스의 미사용 콘텐츠 암호화를 구성합니다.
분석
Azure Government의 Analytics 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Azure Databricks
- Azure Databricks는 적절한 Key Vault 관리형 키를 사용하여 적절한 Storage 암호화를 사용하도록 설정한 기존 스토리지 계정에 배포할 수 있습니다.
- Azure Databricks 작업 영역 및 DBFS(Databricks 파일 시스템)에 대한 CMK(고객 관리형 키)를 구성합니다.
Azure Data Explorer
- Azure의 Azure Data Explorer 클러스터에 있는 데이터는 기본적으로 Microsoft 관리형 키를 사용하여 보호되고 암호화됩니다. 암호화 키를 추가로 제어하기 위해 데이터 암호화에 사용할 고객 관리형 키를 제공하고 사용자 고유의 키를 사용하여 스토리지 수준에서 데이터 암호화를 관리할 수 있습니다.
Azure HDInsight
- Azure HDInsight는 Azure Storage에 대한 지침에서 설명한 대로 적절한 Storage 서비스 암호화를 사용하도록 설정한 기존 스토리지 계정에 배포할 수 있습니다.
- Azure HDInsight는 데이터베이스 옵션을 특정 구성에 사용하도록 설정합니다. 선택한 옵션에서 TDE(투명한 데이터 암호화)에 대한 적절한 데이터베이스 구성이 사용하도록 설정되어 있는지 확인합니다. 이 프로세스는 Azure SQL Database 지침에서 설명하고 있습니다.
Azure Stream Analytics
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure Stream Analytics의 미사용 콘텐츠 암호화를 구성합니다.
Azure Synapse Analytics
- Azure Key Vault를 통해 고객 관리형 키를 사용하여 투명한 데이터 암호화를 추가합니다. 자세한 내용은 Azure SQL 투명한 데이터 암호화를 참조하세요. 이 구성을 Azure Synapse Analytics에 사용하도록 설정하는 지침은 Azure SQL Database에 대한 지침과 동일합니다.
Data Factory
- 암호화된 자격 증명을 Data Factory 관리 저장소에 저장하여 데이터 저장소 자격 증명을 보호합니다. Data Factory는 Microsoft에서 관리하는 인증서로 암호화하여 데이터 저장소 자격 증명을 보호합니다. Azure Storage 보안에 대한 자세한 내용은 Azure Storage 보안 개요를 참조하세요. 또한 데이터 저장소의 자격 증명을 Azure Key Vault에 저장할 수 있습니다. Data Factory는 작업을 실행하는 동안 자격 증명을 검색합니다. 자세한 내용은 Azure Key Vault에 자격 증명 저장을 참조하세요.
Event Hubs
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure Event Hubs의 미사용 콘텐츠 암호화를 구성합니다.
Power BI
- Azure Key Vault에서 고객 관리형 키를 사용하여 Power BI의 미사용 콘텐츠 암호화를 구성합니다.
컴퓨팅
Azure Government의 컴퓨팅 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Batch
- 적절한 암호화 및 키 스토리지를 위해 Key Vault 인스턴스가 필요한 사용자 구독 모드를 사용하도록 설정합니다. 자세한 내용은 Batch 계정 구성 설명서를 참조하세요.
가상 머신 및 가상 머신 확장 집합
Azure 가상 머신은 여러 배포 매체에서 사용할 수 있습니다. 단일 가상 머신 및 Azure 가상 머신 확장 집합 기능을 통해 배포된 가상 머신에 대해 이 작업을 수행할 수 있습니다.
모든 가상 머신은 Disk Encryption을 가상 머신 또는 가상 머신 확장 집합에 사용하거나 Azure Storage 섹션에서 설명한 대로 영향 수준 5 데이터를 보관할 수 있는 스토리지 계정에 가상 머신 디스크를 배치해야 합니다.
Important
VM을 Azure Government 지역(US Gov 애리조나, US Gov 텍사스 및 US Gov 버지니아)에 배포하는 경우 다음 섹션에서 설명한 대로 Azure Dedicated Host를 사용해야 합니다.
Azure Dedicated Host
Azure Dedicated Host는 하나 이상의 가상 머신을 호스트할 수 있고 하나의 Azure 구독 전용인 물리적 서버를 제공합니다. 전용 호스트는 데이터 센터에서 사용되는 것과 동일한 물리적 서버이며 리소스로 제공됩니다. 지역, 가용성 영역 및 장애 도메인 내에서 전용 호스트를 프로비저닝할 수 있습니다. 그런 다음, VM을 사용자의 요구 사항에 맞는 구성으로 프로비전된 호스트에 직접 배치할 수 있습니다.
이러한 VM은 전용 DoD 지역 외부에 배포될 때 IL5 워크로드를 지원하는 데 필요한 격리 수준을 제공합니다. Dedicated Host를 사용하는 경우 Azure VM은 규정 준수 지침 및 표준을 충족하기 위해 조직의 워크로드만 실행하는 격리된 전용 물리적 서버에 배치됩니다.
필요한 컴퓨팅 격리를 제공하는 현재 Dedicated Host SKU(VM 시리즈 및 호스트 유형)에는 Dedicated Host 가격 페이지에 나와 있는 VM 제품군의 SKU가 포함됩니다.
격리된 가상 머신
가상 머신 확장 집합은 현재 Azure Dedicated Host에서 지원되지 않습니다. 그러나 특정 VM 유형은 배포 시 VM에 대한 전체 물리적 호스트를 사용합니다. 격리된 VM 유형은 가상 머신 확장 집합을 통해 배포되어 가상 머신 확장 집합의 모든 이점을 활용하여 적절한 컴퓨팅 격리를 제공할 수 있습니다. 확장 집합을 구성할 때 적절한 SKU를 선택합니다. 미사용 데이터를 암호화하려면 지원 가능한 암호화 옵션에 대한 다음 섹션을 참조하세요.
Important
새 하드웨어 세대를 사용할 수 있게 되면 일부 VM 유형이 적절한 전용 하드웨어에서 유지되도록 재구성(새 VM SKU로 스케일 업 또는 마이그레이션)이 필요할 수 있습니다. 자세한 내용은 Azure의 가상 머신 격리를 참조하세요.
가상 머신에 대한 디스크 암호화
필요한 암호화 표준을 지원하는 두 가지 방법 중 하나로 이러한 가상 머신을 지원하는 스토리지를 암호화할 수 있습니다.
- Azure Disk Encryption에서 dm-crypt(Linux) 또는 BitLocker(Windows)를 사용하여 드라이브를 암호화합니다.
- 사용자 고유의 키를 사용하는 Azure Storage 서비스 암호화를 스토리지 계정에 사용하여 디스크를 보유하는 스토리지 계정을 암호화합니다.
가상 머신 확장 집합에 대한 디스크 암호화
Azure Disk Encryption을 사용하여 가상 머신 확장 집합을 지원하는 디스크를 암호화할 수 있습니다.
컨테이너
Azure Government의 컨테이너 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Azure Kubernetes Service
- Azure Key Vault에서 고객 관리형 키를 사용하여 AKS의 미사용 콘텐츠 암호화를 구성합니다.
Container Instances
- Azure Container Instance는 컨테이너가 클라우드에 유지될 때 컨테이너와 관련된 데이터를 자동으로 암호화합니다. Container Instances의 데이터는 256비트 AES 암호화를 사용하여 암호화 및 암호 해독되며 모든 Container Instances 배포에 사용할 수 있습니다. Microsoft 관리형 키를 컨테이너 데이터 암호화에 사용하거나 사용자 고유의 키를 사용하여 암호화를 관리할 수 있습니다. 자세한 내용은 배포 데이터 암호화를 참조하세요.
Container Registry
- 이미지와 기타 아티팩트를 Container Registry에 저장하면 Azure에서 서비스 관리형 키를 사용하여 미사용 레지스트리 콘텐츠를 자동으로 암호화합니다. Azure Key Vault에서 만들고 관리하는 키를 사용하여 추가 암호화 계층을 통해 기본 암호화를 보완할 수 있습니다.
데이터베이스
Azure Government의 데이터베이스 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Azure Cosmos DB
- Azure Cosmos DB 계정에 저장된 데이터는 Microsoft에서 관리하는 키(서비스 관리형 키)로 자동으로 원활하게 암호화됩니다. 선택적으로 사용자가 관리하는 키(고객 관리형 키)를 사용하여 두 번째 암호화 계층을 추가하도록 선택할 수 있습니다. 자세한 내용은 Azure Key Vault를 사용하여 Azure Cosmos DB 계정에 대한 고객 관리형 키 구성을 참조하세요.
Azure Database for MySQL
- Azure Database for MySQL에 대한 고객 관리 키를 사용한 데이터 암호화를 통해 미사용 데이터 보호에 대한 BYOK(Bring Your Own Key)를 적용할 수 있습니다. 이 암호화는 서버 수준에서 설정됩니다. 특정 서버에 대해 KEK(키 암호화 키)라고 하는 고객 관리형 키를 사용하여 서비스에 사용되는 DEK(데이터 암호화 키)를 암호화합니다. 자세한 내용은 고객 관리형 키를 사용하여 Azure Database for MySQL 데이터 암호화를 참조하세요.
Azure Database for PostgreSQL
- 고객 관리형 키를 Azure Database for PostgreSQL 단일 서버에 사용하는 데이터 암호화는 서버 수준에서 설정됩니다. 특정 서버에 대해 KEK(키 암호화 키)라고 하는 고객 관리형 키를 사용하여 서비스에 사용되는 DEK(데이터 암호화 키)를 암호화합니다. 자세한 내용은 고객 관리형 키를 사용하여 Azure Database for PostgreSQL 데이터 암호화를 참조하세요.
Azure Healthcare API(이전의 Azure API for FHIR)
Azure Healthcare API는 다음 구성을 사용하여 Azure Government에서 영향 수준 5 워크로드를 지원합니다.
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure Healthcare API의 미사용 콘텐츠 암호화를 구성합니다.
Azure SQL Database
- Azure Key Vault를 통해 고객 관리형 키를 사용하여 투명한 데이터 암호화를 추가합니다. 자세한 내용은 고객 관리형 키를 사용하여 Azure SQL 투명한 데이터 암호화를 참조하세요.
SQL Server Stretch Database
- Azure Key Vault를 통해 고객 관리형 키를 사용하여 투명한 데이터 암호화를 추가합니다. 자세한 내용은 고객 관리형 키를 사용하여 Azure SQL 투명한 데이터 암호화를 참조하세요.
하이브리드
Azure Stack Edge
- 디바이스가 Azure에서 데이터의 대상으로 사용되는 스토리지 계정과 연결되어 있으므로 스토리지 계정을 통해 미사용 데이터를 보호할 수 있습니다. Azure Key Vault에 저장된 고객 관리형 키를 통해 데이터 암호화를 사용하도록 스토리지 계정을 구성할 수 있습니다. 자세한 내용은 스토리지 계정에서 데이터 보호를 참조하세요.
통합
Azure Government의 통합 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Service Bus
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure Service Bus의 미사용 데이터 암호화를 구성합니다.
사물 인터넷
Azure Government의 사물 인터넷 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Azure IoT Hub
- IoT Hub는 BYOK(Bring Your Own Key)라고도 하는 고객 관리형 키를 사용하여 미사용 데이터 암호화를 지원합니다. Azure IoT Hub는 미사용 데이터 및 전송 중 데이터 암호화를 제공합니다. 기본적으로 Azure IoT Hub는 Microsoft 관리형 키를 사용하여 데이터를 암호화합니다. 고객 관리형 키 지원을 사용하면 Azure Key Vault를 통해 관리하는 암호화 키를 사용하여 미사용 데이터를 암호화할 수 있습니다.
관리 및 거버넌스
Azure Government의 관리 및 거버넌스 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요.
자동화
- 기본적으로 Azure Automation 계정은 Microsoft 관리형 키를 사용합니다. 사용자 고유의 키를 사용하여 Automation 계정에 대한 보안 자산의 암호화를 관리할 수 있습니다. Automation 계정 수준에서 고객 관리형 키를 지정하는 경우 이 키는 Automation 계정의 계정 암호화 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 자세한 내용은 Azure Automation의 보안 자산 암호화를 참조하세요.
Azure Managed Applications
- 관리되는 애플리케이션 정의는 애플리케이션을 만들 때 제공하는 스토리지 계정에 저장할 수 있습니다. 이렇게 하면 고객 관리형 키를 사용하는 스토리지 암호화를 포함하여 규제 요구 사항에 맞게 위치와 액세스를 관리할 수 있습니다. 자세한 내용은 Bring Your Own Storage참조하세요.
Azure Monitor
- 기본적으로 모든 데이터와 저장된 쿼리는 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다. Azure Key Vault에서 고객 관리형 키를 사용하여 Azure Monitor의 미사용 데이터 암호화를 구성합니다.
Log Analytics
Azure Monitor의 기능인 Log Analytics는 서비스 및 인프라의 상태를 모니터링하는 데 사용됩니다. 모니터링 데이터 및 로그는 주로 서비스에서 생성된 로그 및 메트릭을 저장합니다. 이 기본 용량에서 사용되는 경우 Log Analytics는 추가 구성 없이 Azure Government에서 영향 수준 5 워크로드를 지원합니다.
Log Analytics를 사용하여 고객이 제공한 추가 로그를 수집할 수도 있습니다. 이러한 로그에는 클라우드용 Microsoft Defender 또는 Microsoft Sentinel 운영의 일환으로 수집된 데이터가 포함될 수 있습니다. 수집된 로그 또는 이러한 로그에 대해 작성된 쿼리가 IL5 데이터로 분류되는 경우 Log Analytics 작업 영역 및 Application Insights 구성 요소에 대해 CMK(고객 관리형 키)를 구성해야 합니다. 구성되면 작업 영역 또는 구성 요소로 보내는 모든 데이터는 Azure Key Vault 키를 사용하여 암호화됩니다. 자세한 내용은 Azure Monitor 고객 관리형 키를 참조하세요.
Azure Site Recovery
- 고객 관리형 키에 사용하도록 설정된 관리 디스크를 사용하여 Azure VM을 한 Azure 지역에서 다른 지역으로 복제할 수 있습니다. 자세한 내용은 고객 관리형 키가 사용하도록 설정된 디스크가 있는 컴퓨터 복제를 참조하세요.
Microsoft Intune
- Intune은 추가 구성 없이 Azure Government에서 영향 수준 5 워크로드를 지원합니다. LOB(기간 업무) 앱은 Intune 스토리지에 업로드하기 전에 IL5 제한 사항에 대해 평가받아야 합니다. Intune은 배포를 위해 서비스에 업로드되는 애플리케이션을 암호화하지만, 고객 관리형 키는 지원하지 않습니다.
미디어
Azure Government의 미디어 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Media Services
- Azure Key Vault에서 고객 관리형 키를 사용하여 Media Services의 미사용 콘텐츠 암호화를 구성합니다.
마이그레이션
Azure Government의 마이그레이션 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Azure Data Box
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure Data Box의 미사용 콘텐츠 암호화를 구성합니다.
Azure Migrate
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure Migrate의 미사용 콘텐츠 암호화를 구성합니다.
보안
Azure Government의 보안 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Azure Information Protection
- Azure Key Vault의 고객 관리형 키를 사용하여 Azure Information Protection의 미사용 콘텐츠 암호화를 구성합니다.
Microsoft Sentinel(이전의 Azure Sentinel)
- Azure Key Vault에서 고객 관리형 키를 사용하여 Microsoft Sentinel의 미사용 콘텐츠 암호화를 구성합니다.
클라우드용 Microsoft Defender 앱(이전 Microsoft Cloud App Security)
- Azure Key Vault의 고객 관리형 키를 사용하여 클라우드용 Microsoft Defender 앱의 미사용 콘텐츠 암호화를 구성합니다.
스토리지
Azure Government의 스토리지 서비스 가용성은 지역별 사용 가능한 제품을 참조하세요. DoD IL5 PA 범위에 속하는 서비스 목록은 감사 범위별 Azure Government 서비스를 참조하세요. 아래 지침은 IL5 워크로드를 지원하기 위한 추가 구성이 필요한 IL5 PA 서비스에만 제공됩니다.
Azure Archive Storage
- Azure Archive Storage는 Azure Storage의 한 계층입니다. 256비트 AES 암호화를 사용하여 미사용 데이터를 자동으로 보호합니다. 핫 및 쿨 계층과 마찬가지로 Archive Storage는 Blob 수준에서 설정할 수 있습니다. 콘텐츠에 대한 액세스를 사용하도록 설정하려면 보관된 Blob을 리하이드레이션하거나 온라인 계층에 복사해야 합니다. 이 시점에서 온라인 스토리지 계층에 대해 존재하는 고객 관리형 키를 적용할 수 있습니다. Archive Storage에서 IL5 데이터에 대한 대상 스토리지 계정을 만들 때 고객 관리형 키를 통해 스토리지 암호화를 추가합니다. 자세한 내용은 Key Vault 관리형 키를 사용하여 스토리지 암호화를 참조하세요.
- Archive Storage에 대한 대상 스토리지 계정은 모든 Azure Government 지역에 있을 수 있습니다.
Azure 파일 동기화
- Azure Key Vault에서 고객 관리형 키를 사용하여 Azure 파일 동기화의 미사용 콘텐츠 암호화를 구성합니다.
Azure HPC Cache
- Azure Key Vault의 고객 관리형 키를 사용하여 Azure HPC Cache의 미사용 콘텐츠 암호화를 구성합니다.
Azure Import/Export
- 기본적으로 Import/Export 서비스는 전송을 위해 하드 드라이브에 기록된 데이터를 암호화합니다. IL5 데이터 가져오기 및 내보내기에 대한 대상 스토리지 계정을 만들 때 고객 관리형 키를 통해 스토리지 암호화를 추가합니다. 자세한 내용은 이 문서의 Key Vault 관리형 키를 사용하여 스토리지 암호화를 참조하세요.
- 가져오기에 대한 대상 스토리지 계정과 내보내기에 대한 원본 스토리지 계정은 모든 Azure Government 지역에 있을 수 있습니다.
Azure NetApp Files
- 고객 관리형 키를 사용하여 Azure NetApp Files의 미사용 콘텐츠 암호화를 구성합니다.
Azure Storage
Azure Storage는 Blob Storage, File Storage, Table Storage 및 Queue Storage와 같은 여러 데이터 기능으로 구성됩니다. Blob Storage는 표준 및 프리미엄 스토리지를 모두 지원합니다. 프리미엄 스토리지는 가능한 가장 빠른 성능을 제공하기 위해 SSD만 사용합니다. 스토리지에는 데이터 시나리오에 적절한 가용성 속도를 제공하기 위해 핫 및 쿨과 같은 스토리지 유형을 수정하는 구성도 포함됩니다.
Blob Storage 및 File Storage는 항상 계정 암호화 키를 사용하여 데이터를 암호화합니다. Queue Storage 및 Table Storage는 필요에 따라 스토리지 계정이 만들어질 때 계정 암호화 키를 사용하여 데이터를 암호화하도록 구성할 수 있습니다. Blob, File, Table 및 Queue Storage를 포함하여 모든 Azure Storage 기능에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화하도록 선택할 수 있습니다. Azure Storage 계정을 사용하는 경우 고객 관리형 키를 사용하여 데이터를 보호하려면 아래 단계를 수행해야 합니다.
Key Vault 관리형 키를 사용하여 스토리지 암호화
영향 수준 5 규격 제어를 전용 DoD 지역 외부의 Azure Government에서 실행되는 Azure Storage 계정에 구현하려면 고객 관리형 키 옵션이 사용하도록 설정된 미사용 데이터 암호화를 사용해야 합니다. 고객 관리형 키 옵션은 Bring Your Own Key라고도 합니다.
이 Azure Storage 암호화 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 Azure Key Vault에 저장된 고객 관리형 키를 사용하여 암호화 구성을 참조하세요.
참고 항목
이 암호화 방법을 사용하는 경우 콘텐츠를 스토리지 계정에 추가하기 전에 이를 사용하도록 설정해야 합니다. 고객 관리형 키가 구성되기 전에 추가한 모든 콘텐츠는 Microsoft 관리형 키를 사용하여 보호됩니다.
StorSimple
- 클라우드로 이동된 데이터의 보안과 무결성을 보장하기 위해 StorSimple을 사용하면 클라우드 스토리지 암호화 키를 정의할 수 있습니다. 볼륨 컨테이너를 만들 때 클라우드 스토리지 암호화 키를 지정합니다.
다음 단계
Azure Government에 대한 자세한 정보:
- Azure Government 구입 및 액세스
- Azure Government 개요
- Azure Government 규정 준수
- DoD 영향 수준 5
- Azure Government의 DoD
- 감사 범위별 Azure Government 서비스
- Azure Government 보안
- Azure 보안 격리 지침
Azure Government 사용 시작: