암호화 및 키 관리 개요

암호화는 고객 콘텐츠를 보호하는 데 어떤 역할을 합니까?

대부분의 Microsoft 비즈니스 클라우드 서비스는 다중 테넌트이므로 고객 콘텐츠가 다른 고객과 동일한 물리적 하드웨어에 저장될 수 있습니다. 고객 콘텐츠의 기밀성을 보호하기 위해 Microsoft는 사용 가능한 가장 강력하고 가장 안전한 암호화 프로토콜을 사용하여 미사용 및 전송 중인 모든 데이터를 암호화할 온라인 서비스 있습니다.

암호화는 강력한 액세스 제어를 대체하는 것이 아닙니다. Microsoft의 ZSA(제로 스탠딩 액세스) 액세스 제어 정책은 Microsoft 직원의 무단 액세스로부터 고객 콘텐츠를 보호합니다. 암호화는 저장된 모든 곳에서 고객 콘텐츠의 기밀성을 보호하고 Microsoft 온라인 서비스 시스템 간 또는 Microsoft 온라인 서비스 및 고객 간에 전송하는 동안 콘텐츠를 읽지 못하게 하여 액세스 제어를 보완합니다.

Microsoft 온라인 서비스 미사용 데이터를 암호화하려면 어떻게 해야 할까요?

Microsoft 온라인 서비스 모든 고객 콘텐츠는 하나 이상의 암호화 형식으로 보호됩니다. Microsoft 서버는 BitLocker를 사용하여 볼륨 수준에서 고객 콘텐츠를 포함하는 디스크 드라이브를 암호화합니다. BitLocker에서 제공하는 암호화는 고객 콘텐츠를 포함하는 디스크에 대한 무단 물리적 액세스로 이어질 수 있는 다른 프로세스 또는 컨트롤(예: 하드웨어의 액세스 제어 또는 재활용)에 경과된 경우 고객 콘텐츠를 보호합니다.

볼륨 수준 암호화 외에도 Microsoft는 애플리케이션 계층에서 서비스 암호화를 사용하여 고객 콘텐츠를 암호화할 온라인 서비스 있습니다. 서비스 암호화는 강력한 암호화 보호를 기반으로 권한 보호 및 관리 기능을 제공합니다. 또한 Windows 운영 체제와 해당 운영 체제에서 저장하거나 처리한 고객 데이터 간에 분리할 수 있습니다.

Microsoft 온라인 서비스 전송 중인 데이터를 암호화하려면 어떻게 해야 할까요?

Microsoft 온라인 서비스 TLS와 같은 강력한 전송 프로토콜을 사용하여 무단 당사자가 네트워크를 통해 이동하는 동안 고객 데이터를 도청하지 못하도록 방지합니다. 전송 중인 데이터의 예로는 배달 중인 메일 메시지, 온라인 모임에서 발생하는 대화 또는 데이터 센터 간에 복제되는 파일이 있습니다.

Microsoft 온라인 서비스 경우 사용자의 디바이스가 Microsoft 서버와 통신하거나 Microsoft 서버가 다른 서버와 통신할 때마다 데이터가 '전송 중'으로 간주됩니다.

Microsoft 온라인 서비스 암호화에 사용되는 키를 어떻게 관리합니까?

강력한 암호화는 데이터를 암호화하는 데 사용되는 키만큼만 안전합니다. Microsoft는 자체 보안 인증서를 사용하여 전송 중인 데이터에 대한 TLS 연결을 암호화합니다. 미사용 데이터의 경우 BitLocker로 보호되는 볼륨은 볼륨 master 키로 암호화되는 전체 볼륨 암호화 키로 암호화되며, 이 키는 서버의 TPM(신뢰할 수 있는 플랫폼 모듈)에 바인딩됩니다. BitLocker는 FIPS 규격 알고리즘을 사용하여 암호화 키가 유선으로 저장되거나 전송되지 않도록 합니다.

서비스 암호화는 고객 미사용 데이터에 대한 또 다른 암호화 계층을 제공하여 고객에게 암호화 키 관리에 대한 두 가지 옵션인 Microsoft 관리형 키 또는 고객 키를 제공합니다. Microsoft 관리형 키를 사용하는 경우 Microsoft 온라인 서비스 서비스 암호화에 사용되는 루트 키를 자동으로 생성하고 안전하게 저장합니다.

자체 루트 암호화 키를 제어해야 하는 요구 사항이 있는 고객은 Microsoft Purview 고객 키와 함께 서비스 암호화를 사용할 수 있습니다. 고객은 고객 키를 사용하여 온-프레미스 HSM(하드웨어 서비스 모듈) 또는 AKV(Azure Key Vault)를 사용하여 자체 암호화 키를 생성할 수 있습니다. 고객 루트 키는 AKV에 저장되며, 여기서 고객 사서함 데이터 또는 파일을 암호화하는 키 집합 중 하나의 루트로 사용할 수 있습니다. 고객 루트 키는 데이터 암호화를 위해 Microsoft 온라인 서비스 코드에서 간접적으로만 액세스할 수 있으며 Microsoft 직원이 직접 액세스할 수 없습니다.

Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. 암호화 및 키 관리와 관련된 컨트롤의 유효성 검사는 다음 표를 참조하세요.

Azure 및 Dynamics 365

외부 감사 섹션 최신 보고서 날짜
ISO 27001/27002

적용 가능성 설명
인증서
A.10.1: 암호화 컨트롤
A.18.1.5: 암호화 컨트롤
2023년 11월 6일
ISO 27017

적용 가능성 설명
인증서
A.10.1: 암호화 컨트롤
A.18.1.5: 암호화 컨트롤
2023년 11월 6일
ISO 27018

적용 가능성 설명
인증서
A.11.6: 공용 데이터 전송 네트워크를 통해 전송되는 PII 암호화 2023년 11월 6일
SOC 1
SOC 2
SOC 3
DS-1: 암호화 인증서 및 키의 보안 스토리지
DS-2: 고객 데이터가 전송 중 암호화됨
DS-3: 전송 중 암호화된 Azure 구성 요소의 내부 통신
DS-4: 암호화 컨트롤 및 프로시저
2023년 11월 17일

Microsoft 365

외부 감사 섹션 최신 보고서 날짜
FedRAMP(Office 365) SC-8: 전송 기밀성 및 무결성
SC-13: 암호화 사용
SC-28: 미사용 정보 보호
2023년 7월 31일
ISO 27001/27002/27017

적용 가능성 설명
인증(27001/27002)
인증(27017)
A.10.1: 암호화 컨트롤
A.18.1.5: 암호화 컨트롤
2022년 3월
ISO 27018

적용 가능성 설명
인증서
A.11.6: 공용 데이터 전송 네트워크를 통해 전송되는 PII 암호화 2022년 3월
SOC 2 CA-44: 전송 중 데이터 암호화
CA-54: 미사용 데이터 암호화
CA-62: 고객 키 사서함 암호화
CA-63: 고객 키 데이터 삭제
CA-64: 고객 키
2024년 1월 23일
SOC 3 CUEC-16: 고객 암호화 키
CUEC-17: 고객 키 자격 증명 모음
CUEC-18: 고객 키 회전
2024년 1월 23일

리소스