고객 관리: 테넌트 키 수명 주기 작업
참고 항목
이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?
Azure Information Protection 추가 기능은 사용 중지되고 Microsoft 365 앱 및 서비스에 기본 제공되는 레이블 로 대체됩니다. 다른 Azure Information Protection 구성 요소의 지원 상태 대해 자세히 알아봅니다.
Microsoft Purview Information Protection 클라이언트(추가 기능 제외)는 일반적으로 사용할 수 있습니다.
Azure Information Protection(Bring Your Own Key 또는 BYOK 시나리오)에 대한 테넌트 키를 관리하는 경우 이 토폴로지와 관련된 수명 주기 작업에 대한 자세한 내용은 다음 섹션을 사용합니다.
테넌트 키 해지
키를 다시 입력하는 대신 키를 해지해야 하는 시나리오는 거의 없습니다. 키를 해지하면 복원할 수 있는 키의 백업이 없는 한, 해당 키를 사용하여 테넌트에 의해 보호된 모든 콘텐츠에 액세스할 수 없게 됩니다(Microsoft, 전역 관리자 및 슈퍼 사용자 포함). 키를 해지한 후에는 Azure Information Protection에 대한 새 테넌트 키를 만들고 구성할 때까지 새 콘텐츠를 보호할 수 없습니다.
고객 관리 테넌트 키를 해지하려면 Azure Key Vault에서 Azure Rights Management 서비스가 더 이상 키에 액세스할 수 없도록 Azure Information Protection 테넌트 키가 포함된 키 자격 증명 모음에 대한 권한을 변경합니다. 이 작업은 Azure Information Protection의 테넌트 키를 효과적으로 해지합니다.
Azure Information Protection에 대한 구독을 취소하면 Azure Information Protection이 테넌트 키 사용을 중지하고 사용자에게서 아무런 조치도 필요하지 않습니다.
테넌트 키 키 다시 입력
키 다시 입력을 키 롤링이라고도 합니다. 이 작업을 수행하면 Azure Information Protection에서 기존 테넌트 키를 사용하여 문서 및 전자 메일을 보호하는 작업을 중지하고 다른 키를 사용하기 시작합니다. 정책 및 템플릿은 즉시 사임하지만 Azure Information Protection을 사용하는 기존 클라이언트 및 서비스에 대해서는 이 변경이 점진적으로 수행됩니다. 따라서 일부 새 콘텐츠는 이전 테넌트 키로 계속 보호됩니다.
키를 다시 입력하려면 테넌트 키 개체를 구성하고 사용할 대체 키를 지정해야 합니다. 그런 다음, 이전에 사용한 키는 Azure Information Protection에 대해 보관된 것으로 자동으로 표시됩니다. 이 구성을 사용하면 이 키를 사용하여 보호된 콘텐츠에 액세스할 수 기본.
Azure Information Protection의 키를 다시 입력해야 하는 경우의 예:
회사에서 두 개 이상의 회사로 나뉘어 있습니다. 테넌트 키를 다시 입력하면 새 회사는 직원이 게시하는 새 콘텐츠에 액세스할 수 없습니다. 이전 테넌트 키의 복사본이 있는 경우 이전 콘텐츠에 액세스할 수 있습니다.
한 키 관리 토폴로지에서 다른 키 관리 토폴로지로 이동하려고 합니다.
테넌트 키의 마스터 복사본(소유의 복사본)이 손상되었습니다.
관리하는 다른 키로 키를 다시 지정하려면 Azure Key Vault에서 새 키를 만들거나 Azure Key Vault에 이미 있는 다른 키를 사용할 수 있습니다. 그런 다음 Azure Information Protection에 대한 BYOK를 구현하기 위해 수행한 것과 동일한 절차를 따릅니다.
새 키가 Azure Information Protection에서 이미 사용 중인 키 자격 증명 모음과 다른 키 자격 증명 모음에 있는 경우에만: Set-AzKeyVaultAccessPolicy cmdlet을 사용하여 Azure Information Protection이 키 자격 증명 모음을 사용하도록 승인합니다.
Azure Information Protection에서 사용하려는 키를 아직 모르는 경우 Use-AipServiceKeyVaultKey cmdlet을 실행합니다.
Set-AipServiceKeyProperties cmdlet 실행을 사용하여 테넌트 키 개체를 구성합니다.
이러한 각 단계에 대한 자세한 내용은 다음을 수행합니다.
관리하는 다른 키로 키를 다시 지정하려면 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.
온-프레미스를 만들고 Key Vault로 전송하는 HSM 보호 키의 키를 다시 만드는 경우 현재 키에 사용한 것과 동일한 보안 세계를 사용하고 카드 액세스할 수 있습니다.
키를 다시 입력하려면 Microsoft에서 관리하는 키로 변경하려면 Microsoft 관리 작업에 대한 테넌트 키 키 다시 만들기 섹션을 참조하세요.
테넌트 키 백업 및 복구
테넌트 키를 관리하므로 Azure Information Protection에서 사용하는 키를 백업해야 합니다.
nCipher HSM의 온프레미스에서 테넌트 키를 생성한 경우: 키를 백업하려면 토큰화된 키 파일, 세계 파일 및 관리자 카드를 백업합니다. Azure Key Vault로 키를 전송할 때 서비스는 모든 서비스 노드의 오류로부터 보호하기 위해 토큰화된 키 파일을 저장합니다. 이 파일은 특정 Azure 지역 또는 인스턴스의 보안 세계에 바인딩됩니다. 그러나 이 토큰화된 키 파일은 전체 백업으로 간주하지 마세요. 예를 들어 nCipher HSM 외부에서 사용하기 위해 키의 일반 텍스트 복사본이 필요한 경우 Azure Key Vault에는 복구할 수 없는 복사본만 있기 때문에 검색할 수 없습니다.
Azure Key Vault에는 키를 다운로드하고 파일에 저장하여 키를 백업하는 데 사용할 수 있는 백업 cmdlet 이 있습니다. 다운로드한 콘텐츠는 암호화되므로 Azure Key Vault 외부에서 사용할 수 없습니다.
테넌트 키 내보내기
BYOK를 사용하는 경우 Azure Key Vault 또는 Azure Information Protection에서 테넌트 키를 내보낼 수 없습니다. Azure Key Vault의 복사본은 복구할 수 없습니다.
위반에 대응
보안 시스템이 아무리 강력하더라도 위반 대응 프로세스 없이는 완전하지 않습니다. 테넌트 키가 손상되거나 도난당할 수 있습니다. 잘 보호되는 경우에도 취약성은 현재 세대 키 기술 또는 현재 키 길이 및 알고리즘에서 찾을 수 있습니다.
Microsoft에는 제품 및 서비스의 보안 인시던트에 대응하는 전담 팀이 있습니다. 인시던트에 대한 신뢰할 수 있는 보고서가 있는 즉시 이 팀은 범위, 근본 원인 및 완화 방법을 조사합니다. 이 인시던트가 자산에 영향을 미치는 경우 Microsoft는 테넌트 전역 관리자에게 이메일로 알립니다.
위반이 있는 경우 사용자 또는 Microsoft가 수행할 수 있는 최선의 조치는 위반 범위에 따라 달라집니다. Microsoft는 이 프로세스를 통해 사용자와 함께 작업합니다. 다음 표에서는 정확한 응답이 조사 중에 표시되는 모든 정보에 따라 달라지지만 몇 가지 일반적인 상황과 가능성이 있는 응답을 보여 줍니다.
| 인시던트 설명 | 응답 가능성이 높습니다. |
|---|---|
| 테넌트 키가 유출되었습니다. | 테넌트 키 키를 다시 입력합니다. 테넌트 키 다시 입력을 참조하세요. |
| 권한이 없는 개인 또는 맬웨어는 테넌트 키를 사용할 수 있는 권한을 얻었지만 키 자체는 누출되지 않았습니다. | 테넌트 키의 키를 다시 지정해도 도움이 되지 않으며 근본 원인 분석이 필요합니다. 프로세스 또는 소프트웨어 버그가 권한이 없는 개인에게 액세스 권한을 부여한 경우 해당 상황을 해결해야 합니다. |
| 현재 세대 HSM 기술에서 발견된 취약성입니다. | Microsoft는 HSM을 업데이트해야 합니다. 취약성이 노출된 키를 믿을 만한 이유가 있는 경우 Microsoft는 모든 고객에게 테넌트 키의 키를 다시 입력하도록 지시합니다. |
| RSA 알고리즘 또는 키 길이 또는 무차별 암호 대입 공격에서 발견된 취약성은 계산적으로 실현 가능해집니다. | Microsoft는 복원력이 있는 새 알고리즘과 긴 키 길이를 지원하도록 Azure Key Vault 또는 Azure Information Protection을 업데이트하고 모든 고객에게 테넌트 키를 다시 입력하도록 지시해야 합니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기