비즈니스용 OneDrive 및 SharePoint Online의 데이터 암호화

  • 아티클

비즈니스용 OneDrive 및 SharePoint Online에서 데이터 보안을 위한 암호화의 기본 요소를 이해합니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

Microsoft 365의 보안 및 데이터 암호화

Microsoft 365는 물리적 데이터 센터 보안, 네트워크 보안, 액세스 보안, 애플리케이션 보안 및 데이터 보안과 같은 여러 계층에서 광범위한 보호를 제공하는 매우 안전한 환경입니다. 이 문서에서는 특히 비즈니스용 OneDrive 및 SharePoint Online에 대한 전송 중 및 보관된 데이터 보안의 암호화 측면을 중점적으로 설명합니다.

다음 비디오에서 데이터 암호화 방법을 알아보세요.

전송 중인 데이터 암호화

비즈니스용 OneDrive 및 SharePoint Online에는 데이터가 데이터 센터를 입력하고 종료하는 두 가지 시나리오가 있습니다.

  • 서버와 통신하는 클라이언트 SSL/TLS 연결을 사용하는 인터넷을 통해 비즈니스용 OneDrive와 통신합니다. 모든 SSL 연결이 2048비트 키를 사용하여 설정됩니다.

  • 데이터 센터 간 데이터 이동 데이터 센터 간에 데이터를 이동하는 주된 이유는 지역 복제를 통해 재해 복구를 사용하도록 설정하기 위해서입니다. 예를 들어 SQL Server 트랜잭션 로그 및 Blob Storage 델타가 이 파이프를 따라 이동합니다. 이 데이터는 개인 네트워크를 사용하여 이미 전송되었지만 최고급 암호화로 추가 보호됩니다.

보관된 데이터 암호화

보관된 암호화에는 두 가지 구성 요소가 포함되어 있습니다. 고객 콘텐츠의 BitLocker 디스크 수준 암호화 및 파일 단위 암호화입니다.

BitLocker는 서비스 전반에서 비즈니스용 OneDrive 및 SharePoint Online에 배포되고 있습니다. 파일별 암호화는 Microsoft 365 다중 테넌트 및 다중 테넌트 기술을 기반으로 하는 새로운 전용 환경의 비즈니스용 OneDrive SharePoint Online에도 있습니다.

BitLocker는 디스크에서 모든 데이터를 암호화하는 동안 각 파일에 대해 고유한 암호화 키를 포함하여 파일 단위 암호화를 추가로 수행합니다. 또한 모든 파일에 대한 모든 업데이트는 자체 암호화 키를 사용하여 암호화됩니다. 암호화된 콘텐츠의 키는 콘텐츠와 물리적으로 분리된 위치에 저장됩니다. 이 암호화의 모든 단계는 AES(Advanced Encryption Standard) 256비트 키를 사용하며 FIPS(Federal Information Processing Standard) 140-2 규정을 준수합니다. 암호화된 콘텐츠는 데이터 센터 전체의 여러 컨테이너에 분산되며 각 컨테이너에는 고유한 자격 증명이 있습니다. 이러한 자격 증명은 콘텐츠 또는 콘텐츠 키에서 물리적으로 분리된 위치에 저장됩니다.

FIPS 140-2 규정 준수에 대한 자세한 내용은 FIPS 140-2 규정 준수를 참조하세요.

보관된 파일 수준 암호화는 Blob Storage를 활용하여 거의 무제한의 저장 용량을 제공하며 비교할 수 없는 보호 기능을 사용합니다. 비즈니스용 OneDrive 및 SharePoint Online의 모든 고객 콘텐츠는 Blob Storage로 마이그레이션됩니다. 이러한 데이터를 보호하는 방법은 다음과 같습니다.

  1. 모든 콘텐츠는 여러 키로 암호화되고 데이터 센터에 분산됩니다. 저장할 각 파일은 크기에 따라 하나 이상의 청크로 분할됩니다. 그런 다음, 각 청크는 자체 고유 키를 사용하여 암호화됩니다. 업데이트를 유사하게 처리: 사용자가 제출한 변경 내용 집합 또는 델타가 청크로 분할되고 각 청크는 자체 고유 키를 사용하여 암호화됩니다.

  2. 이러한 모든 청크(파일, 파일 부분 및 델타 업데이트)는 Blob 저장소에서 Blob으로 저장됩니다. 또한 여러 개의 Blob 컨테이너에 임의로 분산됩니다.

  3. 해당 구성 요소에서 파일을 구성하는 데 사용되는 "맵"은 콘텐츠 데이터베이스에 저장됩니다.

  4. 각 Blob 컨테이너에는 액세스 유형(읽기, 쓰기, 열거 및 삭제)별로 각각의 고유한 자격 증명이 있습니다. 각 자격 증명 집합이 보안 키 저장소에 보관되고 정기적으로 새로 고쳐집니다.

즉, 보관된 파일별 암호화에 관련된 세 가지 유형의 저장소가 있으며 각 저장소에는 고유한 기능이 있습니다.

  • 콘텐츠는 Blob 저장소에 암호화된 Blob으로 저장됩니다. 콘텐츠의 각 청크에 대한 키는 암호화되어 콘텐츠 데이터베이스에 별도로 저장됩니다. 콘텐츠 자체는 암호를 해독하는 방법에 대한 단서를 가지고 있지 않습니다.

  • 콘텐츠 데이터베이스는 SQL Server 데이터베이스입니다. Blob 저장소에 보관된 모든 콘텐츠 Blob을 찾고 다시 구성하는 데 필요한 맵뿐만 아니라 해당 Blob을 암호 해독하는 데 필요한 키도 가지고 있습니다.

이러한 3개의 저장소 구성 요소는 Blob 저장소, 콘텐츠 데이터베이스 및 키 저장소이며 각 저장소는 물리적으로 분리되어 있습니다. 구성 요소 중 하나에 보관된 정보를 자체적으로 사용할 수는 없습니다. 전례 없는 수준의 보안을 제공합니다. 3개의 모든 저장소에 대한 액세스 권한이 없으면 청크에 대한 키 검색, 키를 사용할 수 있도록 암호 해독, 키를 해당 청크와 연결, 모든 청크 암호 해독 또는 해당 구성 청크에서 문서 다시 생성을 수행할 수 없습니다.