미사용 데이터, 전송 중 데이터 및 사용 중 데이터의 보안 설계
많은 조직에서 전화번호, 주소, 주문 및 신용카드 정보를 저장하는 대규모 고객 데이터베이스에 Azure SQL Database를 사용합니다. 클라우드 호스팅 데이터베이스에 대한 무단 데이터 액세스를 방지하기 위한 보안 솔루션이 필요합니다. 민감도 및 비즈니스 시나리오를 기준으로 저장된 데이터를 분류하면 조직에서 데이터 관련 위험을 확인할 수 있습니다.
우수한 정보 보안의 세 가지 기본 원칙은 데이터 검색, 분류 및 보호입니다. 이 단원에서는 다양한 데이터 상태 및 암호화 방법을 검토하여 강력한 보안 솔루션에 이러한 원칙을 적용합니다.
정형 데이터에 대한 데이터 암호화
데이터는 미사용 데이터, 전송 중 데이터, 처리 중 데이터라는 세 가지 기본 상태 중 하나로 존재합니다.
미사용 데이터는 이동 또는 사용되지 않는 스토리지 디바이스의 데이터입니다. 미사용 데이터에는 Outlook 받은 편지함에 저장된 보관 전자 메일 메시지 또는 사용하지 않는 노트북의 파일이 포함됩니다. 미사용 데이터 암호화는 데이터 프라이버시, 규정 준수 및 데이터 주권을 위한 필수 단계입니다.
전송 중 데이터(이동 중 데이터라고도 함)는 개인 네트워크 또는 인터넷과 같은 공용 네트워크 내에서 한 디바이스에서 다른 디바이스로 이동하는 데이터입니다. 이동 중인 데이터는 읽고 있지만 변경되지 않은 데이터일 수도 있습니다. 전송 중 데이터에는 전송 중인 전자 메일 메시지, 인터넷 웹 사이트 검색 또는 조직도와 같은 회사 애플리케이션 사용이 포함됩니다.
처리 중 데이터는 열려 있고 변경되는 데이터입니다. 처리 중 데이터에는 전자 메일 메시지 작성, 작업 파일 저장 또는 웹 사이트의 주문이 포함됩니다.
각 데이터 상태에 대해 서로 다른 암호화 방법이 있습니다. 다음 표에서는 방법을 요약합니다.
| 데이터 상태 | 암호화 방법 | 암호화 수준 |
|---|---|---|
| 미사용 데이터 | 투명한 데이터 암호화(TDE) | Always Encrypted. |
| 전송 중 데이터 | SSL/TLS(Secure Socket Layers and Transport Layer Security) | Always Encrypted. |
| 처리 중 데이터 | 동적 데이터 마스킹 | 특정 데이터는 암호화되지 않습니다. 나머지 데이터는 암호화됩니다. |
데이터 암호화에 대해 알아야 할 사항
TDE(투명한 데이터 암호화)는 미사용 데이터를 암호화하여 악의적인 오프라인 활동의 위협으로부터 Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics를 보호합니다. TDE는 애플리케이션을 변경하지 않고 미사용 데이터베이스, 연결된 백업 및 트랜잭션 로그 파일을 실시간으로 암호화 및 암호 해독을 수행합니다. 기본적으로 TDE는 새로 배포된 모든 Azure SQL Database에 대해 활성화됩니다.
Azure SQL Database, Azure SQL Managed Instance 및 Azure Synapse Analytics는 항상 모든 연결에 대해 SSL/TLS(Secure Socket Layers and Transport Layer Security) 암호화를 적용합니다. 이러한 암호화 수준으로 모든 데이터가 클라이언트와 서버 간에 “전송 중”에 암호화됩니다. TLS(전송 계층 보안)는 Microsoft가 Azure SQL Database의 데이터베이스 또는 Azure SQL Managed Instance에 대한 연결을 위해 제공하거나 지원하는 모든 드라이버에서 사용됩니다.
사용 중 데이터는 동적 데이터 마스킹이라는 정책 기반 보안 기능을 사용합니다. 이 기능은 데이터베이스의 데이터가 변경되지 않으면서 지정된 데이터베이스 필드에 대한 쿼리의 결과 집합에서 민감한 데이터를 숨깁니다. 동적 데이터 마스킹을 사용하면 고객이 애플리케이션 계층에 미치는 영향을 최소화하고 표시할 중요한 데이터의 양을 지정할 수 있게 하여 중요한 데이터에 대한 무단 액세스를 방지할 수 있습니다.
팁 (조언)
계획을 사용하여 학습을 확장하고 Azure SQL Database 및 Azure SQL Managed Instance 학습 모듈에 대한 보안을 구현 합니다.