Azure 키 자격 증명 모음(SQL Server)을 사용한 확장 가능 키 관리
적용 대상:
SQL Server
이 Microsoft Azure 주요 자격 증명 모음용 SQL Server 커넥터 SQL Server 암호화를 통해 Azure Key Vault 서비스를 EKM(확장 가능한 키 관리) 공급자로 사용하여 SQL Server 암호화 키를 보호할 수 있습니다.
이 항목에서는 SQL Server 커넥터를 설명합니다. 추가 정보는 Azure Key Vault 사용하여 확장 가능한 키 관리를 위한 설치 단계, SQL 암호화 기능에서 SQL Server 커넥터 사용 및 커넥터 유지 관리 & 문제 해결을 SQL Server 있습니다.
EKM(확장 가능 키 관리)의 정의 및 사용하는 이유
SQL Server TDE(투명한 데이터 암호화), CLE(열 수준 암호화) 및 백업 암호화를 포함하여 중요한 데이터를 보호하는 데 도움이 되는 여러 가지 유형의 암호화를 제공합니다. 이러한 모든 암호화에서는 이 기존의 키 계층에서 데이터가 DEK(대칭 데이터 암호화 키)를 사용하여 암호화됩니다. 이 대칭 데이터 암호화 키는 SQL Server에 저장된 키의 계층 구조로 암호화하여 추가적으로 보호하게 됩니다. 이 모델 대신, 다른 모델로 EKM 공급자 모델이 있습니다. EKM 공급자 아키텍처를 사용하면 SQL Server 에서는 외부 암호화 공급자에 있는 SQL Server 의 외부에 저장된 비대칭 키를 사용하여 데이터 암호화 키를 보호합니다. 이 모델은 추가 보안 계층을 추가하고 키와 데이터의 관리를 구분합니다.
다음 이미지는 기존 서비스 관리 키 계층과 Azure 주요 자격 증명 모음 시스템을 비교합니다.
SQL Server 커넥터는 SQL Server와 Azure Key Vault 간 브리지 역할을 하므로 SQL Server는 Azure Key Vault 서비스의 스케일링 성능, 고성능 및 고가용성을 이용할 수 있습니다. 다음 이미지는 키 계층이 Azure 주요 자격 증명 모음 및 SQL Server 커넥터를 사용하여 EKM 공급자 아키텍처에서 작동하는 방법을 보여 줍니다.
Azure 주요 자격 증명 모음은 SQL Server Azure 가상 컴퓨터의 Microsoft 설치와 함께 온-프레미스 서버용으로 사용할 수 있습니다. 키 자격 증명 모음 서비스에서는 더 높은 수준의 비대칭 암호화 키 보호를 위해 세부적인 제어 및 모니터링이 이루어지는 HSM(하드웨어 보안 모듈)을 사용할 수도 있습니다. 주요 자격 증명 모음에 대한 자세한 내용은 Azure 주요 자격 증명 모음을 참조하세요.
다음 이미지에 키 자격 증명 모음을 사용한 EKM의 프로세스 흐름이 요약되어 있습니다. 이미지의 프로세스 단계 번호는 이미지에서 설명하는 설정 단계 번호와 일치하지 않습니다.
참고
1\.0.0.440 및 이전 버전은 대체되었으며 프로덕션 환경에서 더 이상 지원되지 않습니다. Microsoft 다운로드 센터를 방문하여 "SQL Server 커넥터 업그레이드" 아래의 SQL Server 커넥터 유지 관리 & 문제 해결 페이지의 지침을 사용하여 버전 1.0.1.0 이상으로 업그레이드합니다.
다음 단계에 대해서는 Azure 주요 자격 증명 모음을 사용한 확장 가능 키 관리 설정 단계를 참조하세요.
사용 시나리오에 대해서는 SQL 암호화 기능을 통해 SQL Server 커넥터 사용을 참조하세요.