Azure Storage 보안 기능 살펴보기
Azure Storage는 여러 개발자가 보안 애플리케이션을 빌드하도록 지원하는 포괄적인 보안 기능을 제공합니다.
- Azure Storage에 기록된 메타데이터를 포함한 모든 데이터는 SSE(스토리지 서비스 암호화)를 통해 자동으로 암호화됩니다.
- Azure Storage에서는 다음과 같이 리소스 관리 작업 및 데이터 작업 모두에 대해 Microsoft Entra ID 및 RBAC(역할 기반 액세스 제어)가 지원됩니다.
- 스토리지 계정으로 범위가 지정된 RBAC 역할을 보안 주체에 할당하고 Microsoft Entra ID를 사용하여 키 관리와 같은 리소스 관리 작업에 권한을 부여할 수 있습니다.
- Microsoft Entra 통합은 Blob 및 큐 데이터 작업에 대해 지원됩니다. 구독, 리소스 그룹, 스토리지 계정 또는 개별 컨테이너 또는 큐로 범위가 지정된 RBAC 역할을 보안 주체 또는 Azure 리소스의 관리 ID에 할당할 수 있습니다.
- 클라이언트 쪽 암호화, HTTP 또는 SMB 3.0을 사용하여 애플리케이션과 Azure 간에 전송 중인 데이터의 보안을 유지할 수 있습니다.
- 가상 머신에서 사용되는 OS 및 데이터 디스크는 Azure Disk Encryption을 사용하여 암호화될 수 있습니다.
- 공유 액세스 서명을 사용하여 Azure Storage의 데이터 개체에 위임된 액세스 권한을 부여할 수 있습니다.
미사용 데이터에 대한 Azure Storage 암호화
Azure Storage는 데이터를 클라우드에 유지할 때 자동으로 암호화합니다. 암호화는 데이터를 보호하고 조직의 보안 및 규정 준수 노력에 부합하는 데 도움이 됩니다. Azure Storage의 데이터는 사용 가능한 가장 강력한 블록 암호 중 하나인 256비트 AES 암호화를 사용하여 투명하게 암호화 및 암호 해독되며 FIPS 140-2를 준수합니다. Azure Storage 암호화는 Windows의 BitLocker 암호화와 비슷합니다.
Azure Storage 암호화는 모든 신규 및 기존 스토리지 계정에 대해 사용하도록 설정되며, 사용하지 않도록 설정할 수 없습니다. 데이터가 기본적으로 보호되므로 Azure Storage 암호화를 활용하기 위해 코드 또는 애플리케이션을 수정할 필요가 없습니다.
스토리지 계정은 성능 계층(표준 또는 프리미엄) 또는 배포 모델(Azure Resource Manager 또는 클래식)에 관계없이 암호화됩니다. 모든 Azure Storage 중복 옵션은 암호화를 지원하며 스토리지 계정의 모든 복사본은 암호화됩니다. BLOB, 디스크, 파일, 큐 및 테이블 등 모든 Azure Storage 리소스가 암호화됩니다. 모든 개체 메타데이터도 암호화됩니다.
암호화는 Azure Storage 성능에 영향을 주지 않습니다. Azure Storage 암호화에 대한 추가 비용은 없습니다.
암호화 키 관리
Microsoft에서 관리하는 키를 사용하여 스토리지 계정을 암호화하거나 자체 키로 암호화를 관리할 수 있습니다. 자체 키를 사용하여 암호화를 관리하도록 선택한 경우 다음 두 가지 옵션을 사용할 수 있습니다.
- 스토리지 계정의 모든 데이터를 암호화하고 암호를 해독하는 데 사용할 고객 관리형 키를 지정할 수 있습니다. 고객 관리형 키를 사용하여 스토리지 계정에 있는 모든 서비스의 모든 데이터를 암호화합니다.
- Blob 스토리지 작업에서 고객이 제공한 키를 지정할 수 있습니다. BLOB 스토리지에 대해 읽기 또는 쓰기 요청을 전송하는 클라이언트는 BLOB 데이터를 암호화하고 암호 해독하는 방법을 세부적으로 제어할 수 있는 요청에 암호화 키를 포함할 수 있습니다.
다음 표에서는 Azure Storage 암호화의 키 관리 옵션을 비교합니다.
| -- | Microsoft 관리형 키 | 고객 관리형 키 | 고객 제공 키 |
|---|---|---|---|
| 암호화/암호 해독 작업 | Azure | Azure | Azure |
| 지원되는 Azure Storage 서비스 | 모두 | Blob Storage, Azure Files | Blob Storage |
| 키 스토리지 | Microsoft 키 저장소 | Azure Key Vault | Azure Key Vault 또는 기타 키 저장소 |
| 키 회전 책임 | Microsoft | 고객 | 고객 |
| 키 사용 | Microsoft | Azure Portal, 스토리지 리소스 공급자 REST API, Azure Storage 관리 라이브러리, PowerShell, CLI | Azure Storage REST API(Blob Storage), Azure Storage 클라이언트 라이브러리 |
| 키 액세스 | Microsoft 전용 | Microsoft, 고객 | 고객 전용 |