다음을 통해 공유


Azure Key Vault(SQL Server)를 사용한 확장 가능 키 관리

적용 대상: SQL Server

Microsoft Azure 주요 자격 증명 모음용 SQL Server 커넥터를 사용하면 SQL Server 암호화에서 Microsoft Azure Key Vault를 EKM(확장 가능 키 관리) 공급자로 활용하여 암호화 키를 보호할 수 있습니다.

이 항목에서는 SQL Server 커넥터를 설명합니다. 추가 정보는 Azure 주요 자격 증명 모음을 사용한 확장 가능 키 관리 설정 단계, SQL 암호화 기능을 통해 SQL Server 커넥터 사용SQL Server 커넥터 유지 관리 및 문제 해결에서 확인할 수 있습니다.

EKM(확장 가능 키 관리)의 정의 및 사용하는 이유는 무엇일까요?

투명한 데이터 암호화 (TDE), 열 수준 암호화 (CLE), 및 백업 암호화를 포함하여 중요한 데이터를 보호하는 데 도움이 되는 여러 가지 유형의 암호화를 제공합니다. 이러한 모든 경우에서 이 기존 키 계층 구조에서 데이터는 DEK(대칭 데이터 암호화 키)를 사용하여 암호화됩니다. 이 대칭 데이터 암호화 키는 SQL Server에 저장된 키의 계층 구조로 암호화하여 추가적으로 보호하게 됩니다. 이 모델 대신 EKM 공급자 모델이 대안입니다. EKM 공급자 아키텍처를 사용하면 SQL Server가 외부 암호화 공급자의 SQL Server 외부에 저장된 비대칭 키를 사용하여 데이터 암호화 키를 보호할 수 있습니다. 이 모델은 추가 보안 계층을 추가하고 키와 데이터의 관리를 구분합니다.

다음 이미지는 기존 서비스 관리 키 계층 구조와 Azure Key Vault 시스템을 비교합니다.

기존 서비스 관리 키 계층 구조와 Azure Key Vault 시스템을 비교하는 다이어그램입니다.

SQL Server 커넥터는 SQL Server와 Azure Key Vault 간의 가교 역할을 하므로 SQL Server는 Azure Key Vault 서비스의 확장성, 고성능 및 고가용성을 활용할 수 있습니다. 다음 이미지는 Azure Key Vault 및 SQL Server 커넥터를 사용하여 EKM 공급자 아키텍처에서 키 계층이 작동하는 방식을 나타냅니다.

Azure Key Vault는 Microsoft Azure Virtual Machines의 SQL Server 설치 및 온-프레미스 서버에 사용할 수 있습니다. 또한 키 자격 증명 모음 서비스는 비대칭 암호화 키에 대해 더 높은 수준의 보호를 위해 엄격하게 제어되고 모니터링되는 HSM(하드웨어 보안 모듈)을 사용하는 옵션을 제공합니다. 더 자세한 내용은 Azure Key Vault를 참조하세요.

다음 이미지에 키 자격 증명 모음을 사용한 EKM의 프로세스 흐름이 요약되어 있습니다. (이미지의 프로세스 단계 번호는 이미지 뒤에 있는 설정 단계 번호와 일치하지 않습니다.)

Azure Key Vault를 사용하는 SQL Server EKM

참고 항목

1.0.0.440 이전 버전은 교체되었으며 프로덕션 환경에서는 더 이상 지원되지 않습니다. Microsoft 다운로드 센터를 방문하고 "SQL Server 커넥터 업그레이드" 아래의 SQL Server 커넥터 유지 관리 및 문제 해결 페이지에 있는 지침을 사용하여 1.0.1.0 이상 버전으로 업그레이드하세요.

다음 단계는 Azure Key Vault를 사용하여 확장 가능한 키 관리를 위한 설정 단계를 참조하세요.

사용 시나리오는 SQL 암호화 기능을 통해 SQL Server 커넥터 사용을 참조하세요.

참고 항목

SQL Server 커넥터 유지 관리 및 문제 해결