Azure Key Vault(SQL Server)를 사용한 확장 가능 키 관리

적용 대상:SQL Server

이 Microsoft Azure 주요 자격 증명 모음용 SQL Server 커넥터 SQL Server 암호화를 통해 Azure Key Vault 서비스를 EKM(확장 가능 키 관리) 공급자로 사용하여 SQL Server 암호화 키를 보호할 수 있습니다.

이 항목에서는 SQL Server 커넥터에 대해 설명합니다. 추가 정보는 Azure 주요 자격 증명 모음을 사용한 확장 가능 키 관리 설정 단계, SQL 암호화 기능을 통해 SQL Server 커넥터 사용및 SQL Server 커넥터 유지 관리 및 문제 해결에서 확인할 수 있습니다.

EKM(확장 가능 키 관리)이란 무엇이며 왜 사용합니까?

SQL Server는 TDE(투명한 데이터 암호화), CLE(열 수준 암호화) 및 백업 암호화를 포함하여 중요한 데이터를 보호하는 데 도움이 되는 여러 가지 유형의 암호화를 제공합니다. 이러한 모든 경우에서 이 기존 키 계층 구조에서 데이터는 DEK(대칭 데이터 암호화 키)를 사용하여 암호화됩니다. 대칭 데이터 암호화 키는 SQL Server에 저장된 키 계층 구조로 암호화하여 추가로 보호됩니다. 이 모델 대신 EKM 공급자 모델이 대안입니다. EKM 공급자 아키텍처를 사용하면 SQL Server가 외부 암호화 공급자의 SQL Server 외부에 저장된 비대칭 키를 사용하여 데이터 암호화 키를 보호할 수 있습니다. 이 모델은 추가 보안 계층을 추가하고 키와 데이터의 관리를 구분합니다.

다음 이미지는 기존 서비스 관리 키 계층 구조와 Azure Key Vault 시스템을 비교합니다.

SQL Server 커넥트or는 SQL Server와 Azure Key Vault 간의 브리지 역할을 하므로 SQL Server는 Azure Key Vault 서비스의 확장성, 고성능 및 고가용성을 활용할 수 있습니다. 다음 이미지는 Azure Key Vault 및 SQL Server 커넥트or를 사용하여 EKM 공급자 아키텍처에서 키 계층이 작동하는 방식을 나타냅니다.

Azure Key Vault는 Microsoft Azure Virtual Machines의 SQL Server 설치 및 온-프레미스 서버에 사용할 수 있습니다. 또한 키 자격 증명 모음 서비스는 비대칭 암호화 키에 대해 더 높은 수준의 보호를 위해 엄격하게 제어되고 모니터링되는 HSM(하드웨어 보안 모듈)을 사용하는 옵션을 제공합니다. 키 자격 증명 모음에 대한 자세한 내용은 Azure Key Vault를 참조하세요.

다음 이미지에 키 자격 증명 모음을 사용한 EKM의 프로세스 흐름이 요약되어 있습니다. (이미지의 프로세스 단계 번호는 이미지 뒤에 있는 설정 단계 번호와 일치하지 않습니다.)

참고 항목

버전 1.0.0.440 이상이 대체되었으며 프로덕션 환경에서 더 이상 지원되지 않습니다. Microsoft 다운로드 센터를 방문하고 "SQL Server 커넥터 업그레이드" 아래의 SQL Server 커넥터 유지 관리 및 문제 해결 페이지에 있는 지침을 사용하여 1.0.1.0 이상 버전으로 업그레이드하세요.

다음 단계는 Azure Key Vault를 사용하여 확장 가능한 키 관리에 대한 설정 단계를 참조 하세요.

사용 시나리오는 SQL Server 커넥트or 및 SQL Encryption 기능 사용을 참조하세요.

참고 항목

SQL Server 커넥터 유지 관리 및 문제 해결