Azure Key Vault(SQL Server)를 사용한 확장 가능 키 관리
적용 대상: 
SQL Server
Microsoft Azure 주요 자격 증명 모음용 SQL Server 커넥터를 사용하면 SQL Server 암호화에서 Microsoft Azure Key Vault를 EKM(확장 가능 키 관리) 공급자로 활용하여 암호화 키를 보호할 수 있습니다.
이 항목에서는 SQL Server 커넥터를 설명합니다. 추가 정보는 Azure 주요 자격 증명 모음을 사용한 확장 가능 키 관리 설정 단계, SQL 암호화 기능을 통해 SQL Server 커넥터 사용및 SQL Server 커넥터 유지 관리 및 문제 해결에서 확인할 수 있습니다.
EKM(확장 가능 키 관리)의 정의 및 사용하는 이유는 무엇일까요?
투명한 데이터 암호화 (TDE), 열 수준 암호화 (CLE), 및 백업 암호화를 포함하여 중요한 데이터를 보호하는 데 도움이 되는 여러 가지 유형의 암호화를 제공합니다. 이러한 모든 경우에서 이 기존 키 계층 구조에서 데이터는 DEK(대칭 데이터 암호화 키)를 사용하여 암호화됩니다. 이 대칭 데이터 암호화 키는 SQL Server에 저장된 키의 계층 구조로 암호화하여 추가적으로 보호하게 됩니다. 이 모델 대신 EKM 공급자 모델이 대안입니다. EKM 공급자 아키텍처를 사용하면 SQL Server가 외부 암호화 공급자의 SQL Server 외부에 저장된 비대칭 키를 사용하여 데이터 암호화 키를 보호할 수 있습니다. 이 모델은 추가 보안 계층을 추가하고 키와 데이터의 관리를 구분합니다.
다음 이미지는 기존 서비스 관리 키 계층 구조와 Azure Key Vault 시스템을 비교합니다.
SQL Server 커넥터는 SQL Server와 Azure Key Vault 간의 가교 역할을 하므로 SQL Server는 Azure Key Vault 서비스의 확장성, 고성능 및 고가용성을 활용할 수 있습니다. 다음 이미지는 Azure Key Vault 및 SQL Server 커넥터를 사용하여 EKM 공급자 아키텍처에서 키 계층이 작동하는 방식을 나타냅니다.
Azure Key Vault는 Microsoft Azure Virtual Machines의 SQL Server 설치 및 온-프레미스 서버에 사용할 수 있습니다. 또한 키 자격 증명 모음 서비스는 비대칭 암호화 키에 대해 더 높은 수준의 보호를 위해 엄격하게 제어되고 모니터링되는 HSM(하드웨어 보안 모듈)을 사용하는 옵션을 제공합니다. 더 자세한 내용은 Azure Key Vault를 참조하세요.
다음 이미지에 키 자격 증명 모음을 사용한 EKM의 프로세스 흐름이 요약되어 있습니다. (이미지의 프로세스 단계 번호는 이미지 뒤에 있는 설정 단계 번호와 일치하지 않습니다.)
참고 항목
1.0.0.440 이전 버전은 교체되었으며 프로덕션 환경에서는 더 이상 지원되지 않습니다. Microsoft 다운로드 센터를 방문하고 "SQL Server 커넥터 업그레이드" 아래의 SQL Server 커넥터 유지 관리 및 문제 해결 페이지에 있는 지침을 사용하여 1.0.1.0 이상 버전으로 업그레이드하세요.
다음 단계는 Azure Key Vault를 사용하여 확장 가능한 키 관리를 위한 설정 단계를 참조하세요.
사용 시나리오는 SQL 암호화 기능을 통해 SQL Server 커넥터 사용을 참조하세요.