다음을 통해 공유


Azure Key Vault 사용 모범 사례

Azure Key Vault는 암호화 키와 비밀(예: 인증서, 연결 문자열 및 암호)을 보호합니다. 이 문서는 키 자격 증명 모음 사용을 최적화하는 데 도움이 됩니다.

별도의 키 자격 증명 모음 사용

애플리케이션, 환경(개발, 사전 프로덕션, 프로덕션), 지역별로 자격 증명 모음을 사용하는 것이 좋습니다. 세분화된 격리를 사용하면 애플리케이션, 환경 및 지역에서 비밀을 공유하지 않고 위반이 있는 경우 위협을 줄일 수 있습니다.

별도의 키 자격 증명 모음을 권장하는 이유

키 자격 증명 모음은 저장된 비밀의 보안 경계를 정의합니다. 비밀을 동일한 자격 증명 모음으로 그룹화하면 공격이 회사의 비밀에 액세스할 수 있게 될 수도 있기 때문에 보안 이벤트의 폭발 반경이 증가합니다. 회사 전체의 액세스 위험을 완화하려면 특정 애플리케이션이 액세스할 수 있어야 하는 비밀을 생각한 다음, 이 설명에 따라 키 자격 증명 모음을 구분하는 것이 좋습니다. 애플리케이션에 따라 키 자격 증명 모음을 구분하는 것이 가장 일반적인 경계입니다. 하지만 보안 경계는 대규모 애플리케이션에 대해 더 세분화할 수 있습니다(예: 관련 서비스 그룹별로 세분화).

자격 증명 모음에 대한 액세스 제어

인증서, 연결 문자열, 암호 등과 같은 암호화 키와 비밀은 매우 민감한 정보이며 비즈니스에 매우 중요합니다. 권한 있는 애플리케이션과 사용자만 허용하여 키 자격 증명 모음에 대한 액세스를 보호해야 합니다. Azure Key Vault 보안 기능은 Key Vault 액세스 모델에 대한 개요를 제공합니다. 인증 및 권한 부여를 설명합니다. 또한 키 자격 증명 모음에 대한 액세스를 보호하는 방법을 설명합니다.

다음은 자격 증명 모음에 대한 액세스를 제어할 때 권장하는 권장 사항입니다.

  • 데이터 평면에 대한 RBAC(역할 기반 액세스 제어) 권한 모델을 사용하여 구독, 리소스 그룹, 키 자격 증명 모음에 대한 액세스를 잠급니다.
    • Key Vault에 대한 영구 액세스가 필요한 애플리케이션, 서비스 및 워크로드에 Key Vault 범위에서 RBAC 역할 할당
    • PIM(Privileged Identity Management)을 사용하여 Key Vault에 대한 권한 있는 액세스가 필요한 운영자, 관리자, 기타 사용자 계정에 Just-In-Time 적격 RBAC 역할 할당
      • 하나 이상의 승인자 필요
      • Multi-Factor Authentication 적용
  • Private Link, 방화벽 및 가상 네트워크를 사용하여 네트워크 액세스 제한

Important

레거시 액세스 정책 권한 모델에는 알려진 보안 취약성과 Priviliged Identity Management 지원이 부족하며 중요한 데이터 및 워크로드에 사용해서는 안 됩니다.

자격 증명 모음에 대한 데이터 보호 켜기

일시 제거가 설정된 후에도 비밀 및 키 자격 증명 모음이 악의적이거나 우발적으로 제거되는 것을 방지하기 위해 제거 보호를 설정합니다.

자세한 내용은 Azure Key Vault 일시 삭제 개요를 참조하세요.

로깅 켜기

자격 증명 모음에 대한 로깅을 켭니다. 또한 경고를 설정합니다.

Backup

제거 보호는 최대 90일 동안 자격 증명 모음 개체의 악의적 및 우발적 제거를 방지합니다. 제거 보호가 가능한 옵션이 아닌 시나리오에서는 자격 증명 모음 내에서 만들어진 암호화 키와 같은 다른 원본에서 다시 만들 수 없는 백업 자격 증명 모음 개체를 사용하는 것이 좋습니다.

백업에 대한 자세한 내용은 Azure Key Vault 백업 및 복원을 참조하세요.

다중 테넌트 솔루션 및 Key Vault

다중 테넌트 솔루션은 구성 요소가 여러 고객 또는 테넌트에 서비스를 제공하는 데 사용되는 아키텍처를 기반으로 합니다. 다중 테넌트 솔루션은 종종 SaaS(Software as a Service) 솔루션을 지원하는 데 사용됩니다. Key Vault를 포함하는 다중 테넌트 솔루션을 빌드하는 경우 고객 데이터 및 워크로드에 대한 격리를 제공하기 위해 고객당 하나의 Key Vault를 사용하고 다중 테넌트 및 Azure Key Vault를 검토하는 것이 좋습니다.

질문과 대답:

Key Vault RBAC(역할 기반 액세스 제어) 권한 모델 개체 범위 할당을 사용하여 Key Vault 내에서 애플리케이션 팀을 격리할 수 있나요?

아니요. RBAC 권한 모델을 사용하면 Key Vault에서 개별 개체에 대한 액세스를 사용자 또는 애플리케이션에 할당할 수 있지만 읽기 전용입니다. 네트워크 액세스 제어, 모니터링 및 개체 관리와 같은 모든 관리 작업에는 자격 증명 모음 수준 권한이 필요합니다. 애플리케이션당 하나의 Key Vault를 사용하면 애플리케이션 팀 전체에서 운영자에게 안전한 격리가 제공됩니다.

다음 단계

주요 관리 모범 사례에 대해 자세히 알아봅니다.