키 정보
Azure Key Vault는 암호화 키를 저장하고 관리하는 두 가지 유형의 리소스를 제공합니다. 자격 증명 모음은 소프트웨어 보호 및 HSM 보호(하드웨어 보안 모듈) 키를 지원합니다. 관리되는 HSM은 HSM 보호 키만 지원합니다.
| 리소스 종류 | 키 보호 방법 | 데이터 평면 엔드포인트 기준 URL |
|---|---|---|
| 자격 증명 모음 | 소프트웨어 보호 및 HSM 보호(프리미엄 SKU 포함) |
https://{vault-name}.vault.azure.net |
| 관리형 HSM | HSM 보호 | https://{hsm-name}.managedhsm.azure.net |
- 자격 증명 모음 - 가장 일반적인 클라우드 애플리케이션 시나리오에 적합한 저렴하고 배포하기 쉬운 다중 테넌트, 영역 복원 가능(사용 가능한 경우), 고가용성 키 관리 솔루션을 제공합니다.
- 관리형 HSM - 관리형 HSM은 암호화 키를 저장하고 관리하는 단일 테넌트, 영역 복원 가능(사용 가능한 경우), 고가용성 HSM을 제공합니다. 높은 값 키를 처리하는 애플리케이션 및 사용 시나리오에 가장 적합합니다. 가장 엄격한 보안, 규정 준수 및 규정 요구 사항을 충족하는 데도 도움이 됩니다.
참고 항목
자격 증명 모음을 사용하여 암호화 키 외에도 비밀, 인증서 및 스토리지 계정 키와 같은 여러 유형의 개체를 저장하고 관리할 수 있습니다.
Key Vault의 암호화 키는 JWK[JSON 웹 키] 개체로 표현됩니다. JSON(JavaScript Object Notation) 및 JOSE(JavaScript Object Signing and Encryption) 사양은 다음과 같습니다.
또한 기본 JWK/JWA 사양을 확장하여 Azure Key Vault 및 관리형 HSM 구현에 고유한 키 유형을 지원할 수 있습니다.
자격 증명 모음의 HSM 키는 보호됩니다. 소프트웨어 키는 HSM으로 보호되지 않습니다.
- 자격 증명 모음에 저장된 키는 FIPS 140 유효성이 검사된 HSM을 사용하여 강력한 보호 기능을 활용합니다. 사용할 수 있는 두 가지 고유한 HSM 플랫폼은 FIPS 140-2 수준 2로 키 버전을 보호하는 1과 키가 만들어진 시기에 따라 FIPS 140-2 수준 3 HSM으로 키를 보호하는 2입니다. 이제 모든 새 키와 키 버전은 플랫폼 2를 사용하여 만들어집니다(영국 지역 제외). 키 버전을 보호하는 HSM 플랫폼을 확인하려면 hsmPlatform을 가져옵니다.
- 관리되는 HSM은 FIPS 140-2 수준 3 유효성이 검사된 HSM 모듈을 사용하여 키를 보호합니다. 각 HSM 풀은 자체 보안 도메인을 포함하는 격리된 단일 테넌트 인스턴스로, 동일한 하드웨어 인프라를 공유하는 다른 모든 HSM에서 완벽한 암호화 격리를 제공합니다.
이러한 키는 단일 테넌트 HSM 풀에서 보호됩니다. RSA, EC 및 대칭 키를 소프트 형식으로 또는 지원되는 HSM 디바이스에서 내보내 가져올 수 있습니다. 또한 HSM 풀에서 키를 생성할 수도 있습니다. BYOK(사용자 고유 키 가져오기) 사양에 설명된 방법을 사용하여 HSM 키를 가져오는 경우 보안 운송 키 자료를 관리형 HSM 풀로 사용할 수 있습니다.
지리적 경계에 대한 자세한 내용은 Microsoft Azure 보안 센터를 참조하세요.
키 유형 및 보호 방법
Key Vault는 RSA 및 EC 키를 지원합니다. 관리형 HSM은 RSA, EC 및 대칭 키를 지원합니다.
HSM 보호 키
| 키 유형 | 자격 증명 모음(프리미엄 SKU에만 해당) | 관리형 HSM |
|---|---|---|
| EC-HSM: 타원 곡선 키 | 지원됨(P-256, P-384, P-521, secp256k1/P-256K) | 지원됨(P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: RSA 키 | 지원됨(2048비트, 3072비트, 4096비트) | 지원됨(2048비트, 3072비트, 4096비트) |
| oct-HSM: Symmetric 키 | 지원되지 않음 | 지원됨(128비트, 192비트, 256비트) |
소프트웨어 보호 키
| 키 유형 | 자격 증명 모음 | 관리형 HSM |
|---|---|---|
| RSA: “소프트웨어 보호” RSA 키 | 지원됨(2048비트, 3072비트, 4096비트) | 지원되지 않음 |
| EC: “소프트웨어 보호” 타원 곡선 키 | 지원됨(P-256, P-384, P-521, secp256k1/P-256K) | 지원되지 않음 |
규정 준수
| 키 유형 및 대상 | 규정 준수 |
|---|---|
| 자격 증명 모음의 소프트웨어 보호 키(hsmPlatform 0) 키 | FIPS 140-2 수준 1 |
| 자격 증명 모음의 hsmPlatform 1 보호 키(프리미엄 SKU) | FIPS 140-2 수준 2 |
| 자격 증명 모음의 hsmPlatform 2 보호 키(프리미엄 SKU) | FIPS 140-2 수준 3 |
| 관리형 HSM의 키는 항상 HSM으로 보호됩니다. | FIPS 140-2 수준 3 |
각 키 형식, 알고리즘, 작업, 특성 및 태그에 대한 자세한 내용은 키 형식, 알고리즘 및 작업을 참조하세요.
사용 시나리오
| 사용하는 경우 | 예제 |
|---|---|
| 고객 관리형 키를 사용하는 통합 리소스 공급자를 위한 Azure 서버 쪽 데이터 암호화 | - Azure Key Vault에서 고객 관리형 키를 사용하여 서버 쪽 암호화 |
| 클라이언트 쪽 데이터 암호화 | - Azure Key Vault를 사용하는 클라이언트 쪽 암호화 |
| 키 없는 TLS | - 주요 클라이언트 라이브러리 사용 |