주요 워크로드를 마이그레이션하는 방법

Azure Key Vault 및 Azure Managed HSM은 키 자료를 보호하고 키의 HSM 속성을 변경할 수 없도록 키 내보내기를 허용하지 않습니다.

키가 매우 이식 가능하도록 하려면 지원되는 HSM에서 키를 만들고 Azure Key Vault 또는 Azure Managed HSM으로 가져오는 것이 가장 좋습니다.

비고

내보내기 없음 규칙의 유일한 예외는 특정 키 릴리스 정책을 사용하여 키를 만드는 경우입니다. 이 정책을 사용하면 명시적으로 정의한 신뢰할 수 있는 기밀 컴퓨팅 환경(보안 Enclave)으로만 키를 내보낼 수 있습니다. 이 제한된 내보내기 기능은 특정 보안 컴퓨팅 시나리오를 위해 설계되었으며 범용 키 내보내기와 동일하지 않습니다.

주요 워크로드를 마이그레이션해야 하는 몇 가지 시나리오가 있습니다.

• 구독, 리소스 그룹 또는 소유자 간에 전환할 때와 같이 보안 경계를 전환합니다.
• 지정된 지역의 규정 준수 경계 또는 위험으로 인해 지역을 이동합니다.
• Key Vault 프리미엄보다 더 큰 보안, 격리 및 규정 준수를 제공하는 Azure Key Vault에서 Azure Managed HSM으로 새 제품으로 변경하고 있습니다.

아래에서는 새 키를 새 보관소 또는 새 관리형 HSM으로 사용하기 위해 워크로드를 마이그레이션하는 여러 가지 방법을 논의합니다.

고객 관리형 키를 사용하는 Azure 서비스

Key Vault에서 키를 사용하는 대부분의 워크로드에서 키를 새 위치(다른 구독 또는 지역의 새 관리형 HSM 또는 새 키 자격 증명 모음)로 마이그레이션하는 가장 효과적인 방법은 다음과 같습니다.

1. 새로운 보관소 또는 관리형 HSM에 새로운 키를 만드십시오.
2. Azure Key Vault 또는 Azure Managed HSM의 적절한 RBAC 역할에 워크로드의 관리 ID를 할당하여 새 키에 대한 워크로드 액세스 권한을 부여합니다.
3. 새 키를 고객 관리형 암호화 키로 사용하도록 워크로드를 업데이트합니다.
4. 원래 보호된 워크로드 데이터의 백업을 더 이상 원하지 않을 때까지 이전 키를 유지합니다.

예: Azure Storage를 새 고객 관리형 키로 마이그레이션

Azure Storage에서 고객 관리형 키를 사용하는 경우 다음 단계를 수행하여 새 키로 마이그레이션할 수 있습니다.

1. 대상 키 자격 모음 또는 관리형 HSM에 새 키를 만드세요.
2. 기존 스토리지 계정에 대한 고객 관리형 키 구성의 지침에 따라 새 키를 사용하도록 스토리지 계정을 업데이트합니다.
3. 스토리지 서비스가 새 키로 완전히 전환될 때까지 이전 고객 관리형 키를 계속 사용할 수 있습니다.
4. 모든 작업이 새 키와 제대로 작동하는지 확인한 후에는 이전 키를 안전하게 사용 중지할 수 있습니다(이전 백업에 액세스해야 하는 경우 삭제하지 마세요).

이 패턴은 고객 관리형 키를 지원하는 많은 Azure 서비스에 적용됩니다.

사용자 지정 애플리케이션 및 클라이언트 쪽 암호화

Key Vault의 키를 사용하여 데이터를 직접 암호화하는 클라이언트 쪽 암호화 또는 사용자 지정 애플리케이션의 경우 프로세스는 다릅니다.

1. 새 키 자격 증명 모음 또는 관리형 HSM을 만들고 KEK(새 키 암호화 키)를 만듭니다.
2. 새 키를 사용하여 이전 키로 암호화된 키 또는 데이터를 다시 암호화합니다. (데이터가 키 자격 증명 모음의 키로 직접 암호화되는 경우 모든 데이터를 읽고, 암호 해독하고, 새 키로 암호화해야 하므로 시간이 걸릴 수 있습니다. 가능한 경우 봉투 암호화 를 사용하여 이러한 키 회전을 더 빠르게 만듭니다).

데이터를 다시 암호화할 때 향후 KEK 회전이 더 쉬워지는 3단계 키 계층 구조를 사용하는 것이 좋습니다. 1. Azure Key Vault 또는 관리형 HSM 1의 키 암호화 키입니다. 기본 키 1입니다. 기본 키에서 파생된 데이터 암호화 키

1. 마이그레이션 후(삭제 전) 데이터를 확인합니다.
2. 연결된 데이터의 백업을 더 이상 원하지 않을 때까지 이전 키/키 자격 증명 모음을 삭제하지 마세요.

Azure Information Protection에서 테넌트 키 마이그레이션

Azure Information Protection에서 테넌트 키를 마이그레이션하는 것을 "키 다시 만들기" 또는 "키 롤링"이라고 합니다. 고객 관리 - AIP 테넌트 키 수명 주기 작업에는 이 작업을 수행하는 방법에 대한 자세한 지침이 있습니다.

이전 테넌트 키로 보호된 콘텐츠 또는 문서가 더 이상 필요하지 않을 때까지 이전 테넌트 키를 삭제하는 것은 안전하지 않습니다. 새 키로 보호할 문서를 마이그레이션하려면 다음을 수행해야 합니다.

1. 이전 테넌트 키로 보호된 문서에서 보호를 제거합니다.
2. 새 테넌트 키를 사용하는 보호를 다시 적용합니다.

HSM 플랫폼 2로 전환

Azure Key Vault는 FIPS 140 수준 3 유효성 검사를 통해 향상된 보안을 제공하도록 HSM 플랫폼을 업데이트했습니다. 이제 HSM 플랫폼 2(영국 지역 제외)를 사용하여 모든 새 키 및 키 버전이 만들어집니다. hsmPlatform 특성을 확인하여 키를 보호하는 HSM 플랫폼을 확인할 수 있습니다.

워크로드를 HSM 플랫폼 2로 보호되는 키로 전환하려면 다음을 수행합니다.

1. HSM 플랫폼 2에서 새 키 만들기

   • 키 회전 정책을 구성한 경우 예약된 다음 회전 시 새 키 버전이 자동으로 만들어집니다.
   • 회전 정책이 구성되지 않은 경우 HSM 플랫폼 2를 자동으로 사용하는 새 키 버전을 수동으로 만듭니다.

2. 다양한 서비스에 대한 롤링 키

   • CMK(고객 관리형 키):
     • 서비스에 대해 키 자동 순환 을 사용하도록 설정하면 새 키가 생성될 때 자동으로 적용됩니다.
     • 자동 로테이트가 구성되지 않은 경우 서비스의 키 구성 설정을 사용하여 새 키를 수동으로 사용하도록 서비스를 업데이트합니다.
   • AIP(Azure Information Protection):
     • 자세한 마이그레이션 단계는 AIP 테넌트 키 마이그레이션 섹션 을 참조하세요.
   • 사용자 지정 애플리케이션:
     • 원활한 전환을 보장하려면 사용자 지정 애플리케이션 지침을 따릅니다.

HSM 플랫폼 2로 전환하면 FIPS 140 수준 3 유효성 검사를 통해 향상된 보안 규정 준수를 얻을 수 있습니다. 모든 새 키는 최신 플랫폼에서 자동으로 생성되므로 이 전환은 주로 최신 키 버전을 사용하도록 기존 워크로드를 업데이트하는 데 적용됩니다.

다음 단계

• Azure Key Vault 정보
• Azure Key Vault의 자동 회전 이해
• Azure Key Vault 관리형 HSM 정보
• 키 관리는 Azure입니다.