이 문서에서는 데이터 보안 및 암호화의 모범 사례를 설명합니다.
모범 사례는 의견의 일치를 기반으로 하며 현재 Azure 플랫폼 기능 및 기능 집합과 함께 작동합니다. 이 문서는 시간이 지남에 따라 변화하는 의견 및 기술을 반영하여 주기적으로 업데이트됩니다.
데이터 보호
클라우드에서 데이터를 보호하려면 데이터에서 발생 가능한 상태 및 해당 상태에 사용 가능한 컨트롤을 고려해야 합니다. Azure 데이터 보안 및 암호화의 모범 사례는 다음과 같은 데이터 상태와 관련이 있습니다.
- 미사용: 물리적 미디어(자기 또는 광 디스크)에 정적으로 존재하는 모든 정보 스토리지 개체, 컨테이너 및 형식이 포함됩니다.
- 전송 중: 구성 요소, 위치 또는 프로그램 간에 데이터를 전송하는 경우 전송 중입니다. 네트워크를 통하거나, 서비스 버스 간에(ExpressRoute와 같은 하이브리드 연결을 비롯한 온-프레미스와 클라우드 간) 또는 입출력 프로세스 중에 전송을 예로 들 수 있습니다.
- 사용 중: 데이터를 처리할 때 특수 AMD 및 Intel 칩셋 기반 기밀 컴퓨팅 VM은 하드웨어 관리 키를 사용하여 메모리에 암호화된 데이터를 유지합니다.
키 관리 솔루션 선택
키를 보호하는 것은 클라우드에서 데이터를 보호하는 데 필수적입니다.
Azure는 HSM을 사용하여 암호화 키를 보호하기 위해 여러 가지 서비스를 제공합니다. 이러한 제품은 클라우드 확장성과 가용성을 제공하면서 키를 완벽하게 제어할 수 있습니다. 이러한 주요 관리 제품 중에서 선택하는 방법에 대한 자세한 내용 및 지침은 올바른 Azure 키 관리 솔루션을 선택하는 방법을 참조하세요. Azure Key Vault Premium 또는 Azure Key Vault 관리형 HSM 은 미사용 키에서 암호화를 관리하는 데 권장됩니다.
보안 워크스테이션을 사용하여 관리
참고 항목
구독 관리자 또는 소유자는 보안 액세스 워크스테이션 또는 권한 있는 액세스 워크스테이션을 사용해야 합니다.
대부분의 공격이 최종 사용자를 대상으로 하기 때문에 엔드포인트는 주요 공격 지점 중 하나입니다. 엔드포인트를 손상시킨 공격자는 사용자의 자격 증명을 활용하여 조직의 데이터에 액세스할 수 있게 됩니다. 대부분의 엔드포인트 공격은 사용자가 로컬 워크스테이션의 관리자라는 사실을 활용합니다.
모범 사례: 보안 관리 워크스테이션을 사용하여 중요한 계정, 작업 및 데이터 보호 세부 정보: 권한 있는 액세스 워크스테이션을 사용하여 워크스테이션의 공격 노출 영역을 감소시킵니다. 보안 관리 워크스테이션은 이러한 공격 위험 중 일부를 완화하고 데이터를 안전하게 보호하는 데 도움이 될 수 있습니다.
모범 사례: 엔드포인트 보호 확인 세부 정보: 데이터 위치(클라우드 또는 온-프레미스)에 관계없이 데이터를 사용하는 모든 디바이스에 보안 정책을 적용합니다.
미사용 데이터 보호
미사용 데이터 암호화는 데이터 프라이버시, 규정 준수 및 데이터 주권을 위한 필수 단계입니다.
모범 사례: 호스트에서 암호화를 적용하여 데이터를 보호합니다. 세부 정보: 호스트에서 암호화 사용 - VM에 대한 엔드투엔드 암호화. 호스트의 암호화는 Azure Disk Storage Server-Side 암호화를 향상시켜 모든 임시 디스크 및 디스크 캐시가 미사용 시 암호화되고 스토리지 클러스터로 암호화되도록 하는 Virtual Machine 옵션입니다.
Azure Storage 및 Azure SQL Database와 같은 대부분의 Azure 서비스는 기본적으로 미사용 데이터를 암호화합니다. Azure Key Vault를 사용하여 데이터에 액세스하고 암호화하는 키의 제어를 유지 관리할 수 있습니다. 자세히 알아보려면 Azure 리소스 공급자 암호화 모델 지원을 참조하세요.
모범 사례: 암호화를 사용하여 권한 없는 데이터 액세스와 관련된 위험 완화 세부 정보: 중요한 데이터를 쓰기 전에 서비스에 대한 암호화를 암호화합니다.
데이터 암호화를 적용하지 않는 조직은 데이터 기밀성 문제에 더 많이 노출됩니다. 또한 회사는 산업 규정을 준수하기 위해 해당 데이터 보안을 강화하도록 성실하게 올바른 보안 컨트롤을 사용하고 있음을 증명해야 합니다.
전송 중인 데이터 보호
전송 중인 데이터 보호는 데이터 보호 전략의 핵심입니다. 데이터는 여러 위치 간에 앞뒤로 이동하므로 일반적으로는 항상 SSL/TLS 프로토콜을 사용하여 서로 다른 위치에서 데이터를 교환하는 것이 좋습니다. 경우에 따라 VPN을 사용하여 온-프레미스와 클라우드 인프라 간에 전체 통신 채널을 격리하는 것이 좋습니다.
온-프레미스 인프라와 Azure 간에 이동하는 데이터의 경우 HTTPS 또는 VPN과 같은 적절한 안전 장치를 고려합니다. 공용 인터넷을 통해 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 전송하는 경우 Azure VPN Gateway를 사용합니다.
Azure VPN Gateway, SSL/TLS 및 HTTPS를 사용하는 데 관련된 모범 사례는 다음과 같습니다.
모범 사례: 온-프레미스에 있는 여러 워크스테이션에서 Azure Virtual Network로의 액세스 보호 세부 정보: 사이트 간 VPN을 사용합니다.
모범 사례: 온-프레미스에 있는 사설 워크스테이션에서 Azure Virtual Network로의 액세스 보호 세부 정보: 지점 및 사이트 간 VPN을 사용합니다.
모범 사례: 전용 고속 WAN 링크를 통해 대량 데이터 집합 이동 세부 정보: ExpressRoute를 사용합니다. ExpressRoute를 사용하도록 선택한 경우 SSL/TLS 또는 기타 프로토콜을 사용하여 애플리케이션 수준에서 데이터를 암호화하면 보안 수준을 더욱 높일 수 있습니다.
모범 사례: Azure Portal을 통해 Azure Storage와 상호 작용 세부 정보: 모든 트랜잭션은 HTTPS를 통해 발생합니다. 또한 HTTPS를 통한 Storage REST API를 사용하여 Azure Storage와 상호 작용할 수 있습니다.
전송 중인 데이터 보호에 실패하는 조직은 가로채기(man-in-the-middle) 공격, 도청 및 세션 하이재킹에 대해 더 취약합니다. 이러한 공격은 기밀 데이터에 액세스하기 위한 첫 번째 단계일 수 있습니다.
사용 중 데이터 보호
신뢰의 필요성 완화 클라우드에서 워크로드를 실행하려면 트러스트가 필요합니다. 애플리케이션의 다양한 구성 요소를 사용하는 다양한 공급자에게 이 트러스트를 제공합니다.
- 앱 소프트웨어 공급업체: 오픈 소스를 사용하거나 사내 애플리케이션 소프트웨어를 빌드하여 온-프레미스를 배포함으로써 소프트웨어를 신뢰합니다.
- 하드웨어 공급업체: 온-프레미스 하드웨어 또는 사내 하드웨어를 사용하여 하드웨어를 신뢰합니다.
- 인프라 공급자: 클라우드 공급자를 신뢰하거나 자체 온-프레미스 데이터 센터를 관리합니다.
공격 노출 영역 축소 TCB(신뢰할 수 있는 컴퓨팅 기반)는 보안 환경을 제공하는 시스템의 모든 하드웨어, 펌웨어 및 소프트웨어 구성 요소를 나타냅니다. TCB 내의 구성 요소는 "위험"으로 간주됩니다. TCB 내의 한 구성 요소가 손상되면 전체 시스템 보안이 위태로워질 수 있습니다. 낮은 TCB는 더 높은 수준의 보안을 의미합니다. 다양한 취약점, 맬웨어, 공격 및 악의적인 사용자에게 노출될 위험이 줄어듭니다.
Azure 기밀 컴퓨팅은 다음을 도울 수 있습니다.
- 무단 액세스 방지: 클라우드에서 중요한 데이터를 실행합니다. Azure는 가능한 한 최적의 데이터 보호 기능을 제공하며, 지금은 어떤 것을 변경하지 않아도 됩니다.
- 규정 준수: 클라우드로 마이그레이션하고 개인 정보를 보호하기 위해 정부 규정을 충족하고 조직 IP를 보호하도록 모든 데이터를 완벽하게 제어합니다.
- 안전하고 신뢰할 수 없는 협업: 다양한 데이터 분석 및 더욱 심층적인 인사이트를 활용하기 위해 여러 조직에서(경쟁업체에서도) 데이터를 결합함으로써 업계 전체의 작업 규모 문제를 해결합니다.
- 격리된 처리: 블라인드 처리를 사용하여 개인 데이터에 대한 책임을 없애는 새로운 제품을 제공합니다. 서비스 공급자는 사용자 데이터를 검색할 수도 없습니다.
기밀 컴퓨팅에 대해 자세히 알아봅니다.
이메일, 문서 및 중요한 데이터 보호
회사 외부에서 공유한 이메일, 문서 및 중요한 데이터를 제어하고 보호하려고 합니다. Azure Information Protection은 조직이 문서와 이메일을 분류하고, 레이블을 지정하고, 보호할 수 있게 해주는 클라우드 기반 솔루션입니다. 이러한 작업은 규칙 및 조건을 정의하는 관리자에 의해 자동으로, 사용자에 의해 수동으로 또는 사용자가 권장 사항을 가져오는 조합에 의해 수행될 수 있습니다.
데이터가 저장되는 위치 또는 공유 대상에 관계없이 항상 분류를 식별할 수 있습니다. 레이블에는 헤더, 바닥글 또는 워터마크와 같은 시각적 표시가 포함됩니다. 메타데이터는 일반 텍스트로 파일 및 메일 머리글에 추가됩니다. 일반 텍스트를 사용하면 데이터 손실을 방지하는 솔루션 등 다른 서비스가 분류를 식별하고 적절한 조치를 취할 수 있습니다.
보호 기술은 Azure RMS(Azure Rights Management)를 사용합니다. 이 기술은 Microsoft 365 및 Microsoft Entra ID와 같은 다른 Microsoft 클라우드 서비스 및 애플리케이션과 통합됩니다. 이 보호 기술은 암호화, ID 및 권한 부여 정책을 사용합니다. Azure RMS를 통해 적용되는 보호는 조직, 네트워크, 파일 서버 및 애플리케이션의 내부 또는 외부에 있든 그 위치와 상관없이 문서 및 이메일과 함께 유지됩니다.
이 정보 보호 솔루션을 통해 데이터를 다른 사용자와 공유하는 경우에도 제어를 유지합니다. 이러한 애플리케이션 및 솔루션이 온-프레미스 또는 클라우드에 위치하는지와 상관 없이 고유한 기간 업무 애플리케이션 및 소프트웨어 공급 업체의 정보 보호 솔루션에서 Azure RMS를 사용할 수도 있습니다.
다음을 수행하는 것이 좋습니다.
- 조직에 대해 Azure Information Protection 배포
- 비즈니스 요구 사항을 반영하는 레이블 적용 예를 들어 이 데이터를 분류하고 보호하기 위해 일급 비밀 데이터가 포함된 모든 문서 및 이메일에 이름이 "극비"로 지정된 레이블을 적용합니다. 그런 다음, 지정한 제한 사항으로 인해 권한이 있는 사용자만 이 데이터를 액세스할 수 있습니다.
- 조직이 보호 서비스를 사용하는 방법을 모니터링할 수 있도록 Azure RMS에 대한 사용 현황 로깅을 구성합니다.
데이터 분류 및 파일 보호에 약한 조직은 데이터 유출 및 데이터 남용에 더 취약할 수 있습니다. 적절한 파일 보호를 사용하여 비즈니스에 대한 인사이트를 얻고, 위험한 동작을 검색하고, 수정 조치를 수행하고, 문서에 대한 액세스를 추적하는 등 데이터 흐름을 분석할 수 있습니다.
다음 단계
Azure 보안 모범 사례 및 패턴에서 Azure를 사용하여 클라우드 솔루션을 디자인하고, 배포하고, 관리할 때 사용할 수 있는 더 많은 보안 모범 사례를 참조하세요.
Azure 보안 및 관련 Microsoft 서비스에 대한 보다 일반적인 정보를 제공하는 다음 리소스도 확인할 수 있습니다.
- Azure 보안 팀 블로그 – Azure Security 관련 최신 정보를 확인할 수 있습니다.
- Microsoft 보안 응답 센터 - Azure와 관련된 문제를 비롯한 Microsoft 보안 취약점을 보고하거나 secure@microsoft.com으로 이메일을 보낼 수 있습니다.