Azure 권한 관리란?

Azure RMS(Azure Rights Management)는 Azure Information Protection에서 사용하는 보호 기술입니다.

Azure RMS는 암호화, ID 및 권한 부여 정책을 사용하여 휴대폰, 태블릿, PC 등의 여러 장치에서 파일 및 메일을 보호하는 데 도움이 됩니다.

예를 들어 직원이 파트너 회사에 문서를 이메일로 보내거나 클라우드 드라이브에 문서를 저장 하는 경우 Azure RMS의 영구적 보호를 사용하면 데이터를 보호할 수 있습니다.

  • 조직의 경계를 벗어나더라도 보호 설정은 데이터에 남아 있어 조직 내부와 외부 모두에서 콘텐츠를 보호합니다.

  • Azure RMS의 합법적으로 요구를 규정 준수, 법률 검색 요구 사항 또는 정보 관리에 대한 모범 사례에 대해서도 할 수 있습니다.

  • Microsoft 365 구독 또는 Azure Information Protection에 대한 구독과 함께 Azure RMS를 사용합니다. 자세한 내용은 보안 & 규정 준수를 위한 Microsoft 365 라이선스 지침 페이지를 참조하세요.

Azure RMS는 검색 및 인덱싱과 같은 권한 있는 사용자와 서비스가 보호된 데이터를 계속 읽고 검사할 수 있도록 합니다.

"데이터에 대한 추론"이라고도 하는 권한 있는 사용자 및 서비스에 대한 지속적인 액세스를 보장하는 것은 조직의 데이터에 대한 제어를 유지하는 데 중요한 요소입니다. 이 기능은 피어 투 피어 암호화를 사용하는 다른 정보 보호 솔루션으로는 쉽게 구현할 수 없습니다.

보호 기능

기능 Description
여러 파일 형식 보호 이전 Rights Management 구현에서는 기본 제공 Rights Management 보호 기능을 통해 Office 파일만 보호할 수 있었습니다.

자세한 내용은 지원되는 파일 형식을 참조하세요.
어디서나 파일 보호 파일이 보호되면 클라우드 스토리지 서비스와 같이 IT에서 제어하지 않는 스토리지에 파일을 저장하거나 복사해도 보호 기능이 계속 적용됩니다.

협업 기능

기능 Description
안전하게 정보 공유 보호된 파일은 이메일 첨부 파일 또는 SharePoint 사이트에 대한 링크와 같이 다른 사용자와 안전하게 공유할 수 있습니다.

이메일 메시지에 중요한 정보가 포함된 경우 이메일을 보호하거나 Outlook에서 전달 금지 옵션을 사용합니다.
기업 간 협업 지원 Azure Rights Management는 클라우드 서비스이므로 보호된 콘텐츠를 공유하기 전에 다른 조직과의 트러스트를 명시적으로 구성할 필요가 없습니다.

Microsoft 365 또는 Azure AD 디렉터리가 이미 있는 다른 조직과의 협업은 자동으로 지원됩니다.

Microsoft 365 또는 Azure AD 디렉터리가 없는 조직의 경우 사용자는 무료 개인용 RMS 구독에 등록하거나 지원되는 애플리케이션에 Microsoft 계정을 사용할 수 있습니다.

전체 이메일 메시지를 보호하는 대신 보호된 파일을 첨부하면 이메일 텍스트를 암호화되지 않은 상태로 유지할 수 있습니다.

예를 들어 조직 외부로 이메일을 보내는 경우 처음 사용하기 위한 지침을 포함할 수 있습니다. 보호된 파일을 첨부하면 누구든지 지침을 읽을 수 있지만, 이메일이나 문서를 다른 사용자에게 전달하더라도 권한이 있는 사용자만 문서를 열 수 있습니다.

플랫폼 지원 기능

Azure RMS는 다음을 비롯한 다양한 플랫폼과 애플리케이션을 지원합니다.

기능 Description
Windows 컴퓨터뿐만 아니라 일반적으로 사용되는 장치
클라이언트 기기에는 다음이 포함됩니다.

- Windows 컴퓨터 및 전화
- Mac 컴퓨터
- iOS 태블릿 및 전화
- Android 태블릿 및 전화
온-프레미스 서비스 RMS 커넥터를 배포할 때 Office 365로 원활하게 작업하는 것 외에도 Azure Rights Management를 다음 온-프레미스 서비스와 함께 사용합니다.

- Exchange Server
- SharePoint Server
- 파일 분류 인프라를 실행하는 Windows Server
애플리케이션 확장성 Azure Rights Management는 Microsoft Office 애플리케이션 및 서비스와 긴밀하게 통합되며 Azure Information Protection 클라이언트를 사용하여 다른 애플리케이션에 대한 지원을 확장합니다.

Microsoft Information Protection SDK는 내부 개발자와 소프트웨어 공급업체에 Azure Information Protection을 지원하는 사용자 지정 애플리케이션을 작성할 수 있는 API를 제공합니다.

자세한 내용은 Rights Management API를 지원하는 기타 애플리케이션을 참조하세요.

인프라 기능

Azure RMS는 IT 부서 및 인프라 조직을 지원하는 다음과 같은 기능을 제공합니다.

참고

조직에서는 이전에 Azure Rights Management를 통해 보호되었던 콘텐츠에 계속 액세스하면서 언제든지 Azure Rights Management 서비스 사용을 중지할 수 있습니다.

자세한 내용은 Azure Rights Management 서비스 해제 및 비활성화를 참조하세요.

간단하고 유연한 정책 만들기

사용자 지정된 보호 템플릿을 통해 관리자는 정책을 빠르고 쉽게 적용할 수 있으며 사용자는 각 문서에 올바른 수준의 보호를 적용하고 조직 내 사용자만 액세스하도록 제한할 수 있습니다.

예를 들어 회사 전체 전략 문서를 모든 직원과 공유하려면 모든 내부 직원에게 읽기 전용 정책을 적용합니다. 재무 보고서와 같이 보다 중요한 문서는 임원만 액세스하도록 제한합니다.

Microsoft Purview 규정 준수 포털 레이블 지정 정책을 구성합니다. 자세한 내용은 Microsoft 365의 민감도 레이블 설명서를 참조하세요.

쉬운 활성화

새 구독의 경우 활성화는 자동입니다. 기존 구독의 경우 Rights Management 서비스를 활성화하려면 관리 포털에서 몇 번만 클릭하거나 PowerShell 명령을 두 번 클릭하면 됩니다.

감사 및 모니터링 서비스

보호된 파일이 조직의 경계를 벗어나더라도 해당 파일의 사용을 감사하고 모니터링합니다.

예를 들어 Contoso, Ltd 직원이 Fabrikam, Inc의 세 명의 사용자와 공동 프로젝트를 진행하는 경우 해당 Fabrikam 파트너에게 보호되고 읽기 전용으로 제한된 문서를 보낼 수 있습니다.

Azure RMS 감사에서는 다음과 같은 정보를 제공할 수 있습니다.

  • Fabrikam 파트너가 문서를 열었는지 여부 및 시기.

  • 지정되지 않은 다른 사용자가 문서를 열려고 시도했는지 여부와 실패했는지를 나타냅니다. 이는 이메일이 전달되거나 공유 위치에 저장된 경우에 발생할 수 있습니다.

AIP 관리자는 Office 파일에 대한 문서 사용 추적 및 액세스 권한을 취소할 수 있습니다. 사용자는 필요에 따라 보호된 문서에 대한 액세스 권한을 취소할 수 있습니다.

조직 전체에서 스케일링하는 기능

Azure Rights Management는 클라우드 서비스로 실행되며 Azure의 탄력성으로 수직 및 수평 확장할 수 있으므로 추가 온-프레미스 서버를 프로비저닝하거나 배포하지 않아도 됩니다.

데이터에 대한 IT 제어를 유지 관리

조직은 다음과 같은 IT 제어 기능을 활용할 수 있습니다.

기능 설명
테넌트 키 관리 BYOK(Bring Your Own Key), DKE(이중 키 암호화)와 같은 테넌트 키 관리 솔루션을 사용합니다.

자세한 내용은 다음을 참조하세요.
- Planning and implementing your AIP tenant key(AIP 테넌트 키 계획 및 구현)
- DKE in the Microsoft 365 documentation(Microsoft 365의 DKE 문서)
감사 및 사용 현황 로깅 감사 및 사용 현황 로깅 기능을 사용하여 비즈니스 인사이트를 분석하고, 남용을 모니터링하고, 정보 유출 시에는 법정 분석을 수행합니다.
액세스 위임 슈퍼 사용자 기능을 사용하여 액세스 권한을 위임하면 직원이 문서를 보호해 놓은 상태에서 퇴사하더라도 IT 부서는 보호된 콘텐츠에 항상 액세스할 수 있습니다.
이에 비해 P2P 암호화 솔루션은 회사 데이터에 대한 액세스 권한을 잃을 위험이 있습니다.
Active Directory 동기화 Azure AD Connect와 같은 하이브리드 ID 솔루션을 사용하여 Azure RMS가 온-프레미스 Active Directory 계정에 대한 일반 ID를 지원하는 데 필요한 디렉터리 특성만 동기화합니다.
Single Sign-On AD FS를 사용하여 클라우드에 암호를 복제할 필요 없이 Single-Sign On을 사용하도록 설정합니다.
AD RMS에서 마이그레이션 AD RMS(Active Directory Rights Management Services)를 배포한 경우 이전에 AD RMS를 통해 보호되었던 데이터에 계속 액세스하면서 Azure Rights Management 서비스로 마이그레이션합니다.

보안, 준수 및 규정 요구 사항

Azure Rights Management는 다음과 같은 보안, 규정 준수 및 규정 요구 사항을 지원합니다.

  • 업계 표준 암호화를 사용하고 FIPS 140-2를 지원합니다. 자세한 내용은 Azure RMS에서 사용하는 암호화 컨트롤: 알고리즘 및 키 길이 정보를 참조하세요.

  • Microsoft Azure 데이터 센터에 테넌트 키를 저장하는 nCipher nShield HSM(하드웨어 보안 모듈) 이 지원됩니다.

    Azure Rights Management는 북아메리카, EMEA(유럽, 중동 및 아프리카) 및 아시아의 데이터 센터에 별도의 보안 권역을 사용하여 사용자의 지역에서만 해당 키를 사용할 수 있도록 합니다.

  • 다음 표준에 대한 인증:

    • ISO/IEC 27001:2013(ISO/IEC 27018 포함)
    • SOC 2 SSAE 16/ISAE 3402 증명
    • HIPAA BAA
    • EU 모범 조항
    • Office 365 인증에서 Azure Active Directory의 일부로 HHS의 FedRAMP Agency ATO(Authority to Operate)가 발급한 FedRAMP
    • PCI DSS 수준 1

이러한 외부 인증에 대한 자세한 내용은 Azure 보안 센터를 참조하세요.

다음 단계

Azure Rights Management 서비스 작동 방식에 대한 보다 기술적인 정보는 Azure RMS 작동 방식을 참조하세요.

온-프레미스 권한 관리 버전인 AD RMS(Active Directory Rights Management Services)에 대해 잘 알고 있는 경우 Azure 권한 관리와 AD RMS 비교의 비교 표를 확인하면 도움이 됩니다.