이 문서에서는 Microsoft Azure에서 암호화가 사용되는 방식에 대한 개요를 제공합니다. 저장 데이터 암호화, 전송 중 암호화, Azure Key Vault를 사용한 키 관리 등 암호화의 주요 영역을 다룹니다.
미사용 데이터 암호화
미사용 데이터에는 모든 디지털 형식으로 된, 실제 미디어의 영구 스토리지에 상주하는 정보가 포함됩니다. Microsoft Azure는 파일, 디스크, Blob 및 Table Storage 등 서로 다른 요구 사항을 충족하는 다양한 데이터 스토리지 솔루션을 제공합니다. Microsoft는 또한 Azure SQL Database, Azure Cosmos DB 및 Azure Data Lake를 보호하기 위한 암호화도 제공합니다.
AES 256 암호화를 사용하는 미사용 데이터 암호화는 SaaS(Software as a Service), PaaS(Platform as a Service) 및 IaaS(Infrastructure as a Service) 클라우드 모델의 서비스에 사용할 수 있습니다.
미사용 데이터가 Azure에서 암호화되는 방법에 대한 자세한 내용은 Azure 미사용 데이터 암호화를 참조하세요.
Azure 암호화 모델
Azure는 서비스 관리 키를 사용하는 서버 쪽 암호화, Key Vault의 고객 관리 키 또는 고객 제어 하드웨어의 고객 관리 키를 포함한 다양한 암호화 모델을 지원합니다. 클라이언트 쪽 암호화를 통해 온-프레미스 또는 다른 안전한 위치에서 키를 관리하고 저장할 수 있습니다.
클라이언트 쪽 암호화
클라이언트 쪽 암호화는 Azure 외부에서 수행됩니다. 다음을 포함합니다.
- 고객의 데이터 센터 또는 서비스 애플리케이션에서 실행되는 애플리케이션에 의해 암호화된 데이터
- Azure에서 수신할 때 이미 암호화된 데이터
클라이언트 쪽 암호화를 사용하면 클라우드 서비스 공급자는 암호화 키에 액세스할 수 없으며 이 데이터의 암호를 해독할 수 없습니다. 키에 대한 완벽한 제어를 유지합니다.
서버 쪽 암호화
세 가지 서버 쪽 암호화 모델은 서로 다른 키 관리 특성을 제공합니다.
- 서비스 관리형 키: 낮은 오버헤드로 제어 및 편의성의 조합을 제공합니다.
- 고객 관리형 키: BYOK(Bring Your Own Keys) 지원을 비롯한 키를 제어하거나 새 키를 생성할 수 있습니다.
- 고객 제어 하드웨어의 서비스 관리형 키: Microsoft 제어(호스트 사용자 고유 키 또는 HYOK라고도 함) 외부의 소유 리포지토리에서 키를 관리할 수 있습니다.
Azure 디스크 암호화
중요합니다
Azure Disk Encryption은 2028년 9월 15일에 사용 중지될 예정입니다. 해당 날짜까지 중단 없이 Azure Disk Encryption을 계속 사용할 수 있습니다. 2028년 9월 15일에 ADE 사용 워크로드가 계속 실행되지만 VM을 다시 부팅한 후 암호화된 디스크의 잠금이 해제되지 않아 서비스가 중단됩니다.
호스트 에서 암호화 를 사용하여 새 VM을 사용할 수 있습니다. 서비스 중단을 방지하려면 모든 ADE 지원 VM(백업 포함)은 사용 중지 날짜 이전에 호스트에서 암호화로 마이그레이션해야 합니다. 자세한 내용은 Azure Disk Encryption에서 호스트의 암호화로 마이그레이션 을 참조하세요.
모든 관리 디스크, 스냅샷 및 이미지는 서비스 관리 키를 사용하여 스토리지 서비스 암호화를 통해 암호화됩니다. 또한 Azure는 Azure Key Vault에서 임시 디스크, 캐시 및 키를 관리하는 옵션을 제공합니다. 자세한 정보는 관리 디스크 암호화 옵션 개요를 참조하세요.
Azure Storage 서비스 암호화
Azure Blob Storage와 Azure 파일 공유의 미사용 데이터는 서버 쪽 시나리오와 클라이언트 쪽 시나리오 모두에서 암호화할 수 있습니다.
Azure SSE(Storage 서비스 암호화)는 데이터를 저장하기 전에 자동으로 암호화하고, 데이터를 검색할 때 자동으로 암호 해독할 수 있습니다. 스토리지 서비스 암호화는 사용 가능한 가장 강력한 블록 암호화 중 하나인 256비트 AES 암호화를 사용합니다.
Azure SQL Database 암호화
Azure SQL Database 는 관계형 데이터, JSON, 공간 및 XML과 같은 구조를 지원하는 범용 관계형 데이터베이스 서비스입니다. SQL Database는 TDE(투명한 데이터 암호화) 기능을 통한 서버 쪽 암호화와 Always Encrypted 기능을 통한 클라이언트 쪽 암호화를 모두 지원합니다.
투명한 데이터 암호화
TDE 는 DEK(데이터베이스 암호화 키)를 사용하여 SQL Server, Azure SQL Database 및 Azure Synapse Analytics 데이터 파일을 실시간으로 암호화합니다. TDE는 기본적으로 새로 만든 Azure SQL 데이터베이스에서 사용하도록 설정됩니다.
항상 암호화됨
Azure SQL의 Always Encrypted 기능을 사용하면 Azure SQL Database에 저장하기 전에 클라이언트 애플리케이션 내에서 데이터를 암호화할 수 있습니다. 온-프레미스 데이터베이스 관리를 제3자에게 위임하고 데이터를 소유하고 볼 수 있는 사용자와 데이터를 관리하는 사용자 간에 분리를 유지할 수 있습니다.
셀 수준 또는 열 수준 암호화
Azure SQL Database를 사용하면 Transact-SQL을 사용하여 데이터 열에 대칭형 암호화를 적용할 수 있습니다. 이 방법을 셀 수준 암호화 또는 CLE(열 수준 암호화)라고 합니다. 이 방법을 사용하여 서로 다른 암호화 키를 사용하여 특정 열 또는 셀을 암호화하여 TDE보다 더 세분화된 암호화 기능을 제공할 수 있기 때문입니다.
Azure Cosmos DB 데이터베이스 암호화
Azure Cosmos DB는 전 세계에 배포된 Microsoft의 멀티모델 데이터베이스입니다. 비휘발성 스토리지(반도체 드라이브)의 Azure Cosmos DB에 저장된 사용자 데이터는 기본적으로 서비스 관리형 키를 사용하여 암호화됩니다. CMK(고객 관리형 키) 기능을 사용하여 사용자 고유의 키로 두 번째 암호화 계층을 추가할 수 있습니다.
Azure Data Lake 암호화
Azure Data Lake 는 엔터프라이즈 수준의 데이터 리포지토리입니다. Data Lake Store는 계정 생성 시 설정되는 미사용 데이터의 투명한 기본 암호화를 지원합니다. 기본적으로 Azure Data Lake Store가 자동으로 키를 관리하지만, 사용자가 직접 관리할 수 있는 옵션이 제공됩니다.
전송 중 데이터 암호화
Azure에서는 데이터가 한 위치에서 다른 위치로 이동함에 따라 데이터를 비공개로 유지하기 위한 다양한 메커니즘을 제공합니다.
데이터 링크 계층 암호화
Azure 고객 트래픽이 Microsoft에서 제어하지 않는 물리적 경계 외부의 데이터 센터 간에 이동할 때마다 IEEE 802.1AE MAC 보안 표준 (MACsec이라고도 함)을 사용하는 데이터 링크 계층 암호화 방법이 기본 네트워크 하드웨어의 지점 간에서 적용됩니다. 패킷은 전송되기 전에 디바이스에서 암호화되어 물리적인 "man-in-the-middle" 또는 스누핑/도청 공격을 방지합니다. 이 MACsec 암호화는 지역 내에서 또는 지역 간에 이동하는 모든 Azure 트래픽에 대해 기본적으로 설정됩니다.
TLS 암호화
Microsoft는 고객에게 TLS(전송 계층 보안) 프로토콜을 사용하여 클라우드 서비스와 고객 간에 이동할 때 데이터를 보호할 수 있는 기능을 제공합니다. Microsoft 데이터 센터는 Azure 서비스에 연결되는 클라이언트 시스템과 TLS 연결을 협상합니다. TLS는 강력한 인증, 메시지 개인 정보 및 무결성을 제공합니다.
중요합니다
Azure는 Azure 서비스에 대한 모든 연결에 대해 TLS 1.2 이상을 요구하도록 전환하고 있습니다. 대부분의 Azure 서비스는 2025년 8월 31일까지 이 전환을 완료했습니다. 애플리케이션이 TLS 1.2 이상을 사용하는지 확인합니다.
PFS(Perfect Forward Secrecy) 는 고유한 키로 고객의 클라이언트 시스템과 Microsoft 클라우드 서비스 간의 연결을 보호합니다. 연결은 RSA 기반 2,048비트 키 길이, ECC 256비트 키 길이, SHA-384 메시지 인증 및 AES-256 데이터 암호화를 지원합니다.
Azure Storage 트랜잭션
Azure Portal을 통해 Azure Storage와 상호 작용하는 경우 모든 트랜잭션이 HTTPS를 통해 발생합니다. 또한 HTTPS를 통한 Storage REST API를 사용하여 Azure Storage와 상호 작용할 수 있습니다. 스토리지 계정에 대한 보안 전송 요구 사항을 사용하도록 설정하여 REST API를 호출할 때 HTTPS 사용을 적용할 수 있습니다.
Azure Storage 개체에 대한 액세스를 위임하는 데 사용할 수 있는 SAS(공유 액세스 서명)에는 HTTPS 프로토콜만 사용할 수 있도록 지정하는 옵션이 포함되어 있습니다.
SMB 암호화
Azure Files 공유에 액세스하는 데 사용되는 SMB 3.0은 암호화를 지원하며 Windows Server 2012 R2, Windows 8, Windows 8.1 및 Windows 10에서 사용할 수 있습니다. 데스크톱에서 지역 간 액세스를 허용합니다.
VPN 암호화
네트워크를 통해 전송되는 데이터의 개인 정보를 보호하기 위해 보안 터널을 만드는 가상 사설망을 통해 Azure에 연결할 수 있습니다.
Azure VPN Gateway
Azure VPN Gateway 는 공용 연결을 통해 또는 가상 네트워크 간에 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 보낼 수 있습니다. 사이트 간 VPN은 전송 암호화에 IPsec을 사용합니다.
지점 및 사이트 간 VPN
지점 및 사이트 간 VPN을 통해 개별 클라이언트 컴퓨터에서 Azure Virtual Network에 액세스가 가능합니다. SSTP(Secure Socket Tunneling Protocol)는 VPN 터널을 만드는 데 사용됩니다. 자세한 내용은 가상 네트워크에 대한 지점 및 사이트 간의 연결 구성을 참조하세요.
사이트 간 VPN
사이트간 VPN 게이트웨이 연결은 IPsec/IKE VPN 터널을 통해 온-프레미스 네트워크를 Azure 가상 네트워크에 연결합니다. 자세한 내용은 사이트-사이트 연결 만들기를 참조하세요.
Key Vault으로 키 관리
적절한 키 보호 및 관리가 없으면 암호화가 무의미해집니다. Azure Key Vault는 클라우드 서비스에서 사용하는 암호화 키에 대한 액세스를 관리하고 제어하기 위한 Microsoft 권장 솔루션입니다.
Key Vault는 조직이 HSM(하드웨어 보안 모듈) 및 키 관리 소프트웨어를 구성, 패치, 유지 관리해야 하는 부담을 덜어줍니다. Key Vault를 사용하면 제어권을 유지 관리합니다. Microsoft는 키를 볼 수 없으며 애플리케이션은 키에 직접 액세스할 수 없습니다. 또한 HSM에서 키를 가져오거나 생성할 수도 있습니다.
Azure의 키 관리에 대한 자세한 내용은 Azure 의 키 관리를 참조하세요.