Azure Storage 인프라 수준에서 이중 암호화 사용

  • 7분

Azure Storage는 사용 가능한 가장 강력한 블록 암호화 중 하나이며 FIPS 140-2 규격인 256비트 AES 암호화를 사용하여 서비스 수준에서 스토리지 계정의 모든 데이터를 자동으로 암호화합니다. 데이터가 안전하다는 높은 수준의 보증이 필요한 고객은 이중 암호화를 위해 Azure Storage 인프라 수준에서 256비트 AES 암호화를 사용하도록 설정할 수도 있습니다.

Azure Storage 데이터의 이중 암호화는 암호화 알고리즘 또는 키 중 하나가 손상될 수 있는 시나리오에 대해 심층적인 보호를 제공합니다. 이 이중 계층 접근 방식은 단일 보호 계층이 잠재적으로 실패할 수 있다고 가정하여 제로 트러스트 보안 원칙에 부합합니다. 이러한 시나리오에서는 추가 암호화 계층이 계속해서 데이터를 보호합니다.

전체 스토리지 계정 또는 계정 내의 암호화 범위에 대해 인프라 암호화를 사용하도록 설정할 수 있습니다. 스토리지 계정 또는 암호화 범위에 대해 인프라 암호화를 사용하도록 설정하면 두 개의 서로 다른 암호화 알고리즘과 두 개의 서로 다른 키를 사용하여 두 번(서비스 수준에서 한 번, 인프라 수준에서 한 번) 데이터가 암호화됩니다.

서비스 수준 암호화는 Azure Key Vault 또는 Key Vault HSM(Managed Hardware Security Model)에서 Microsoft 관리형 키 또는 고객 관리형 키의 사용을 지원합니다. 인프라 수준 암호화는 Microsoft 관리형 키를 사용하며 항상 별도의 키를 사용합니다.

데이터를 이중으로 암호화하려면 먼저 인프라 암호화를 위해 구성된 스토리지 계정 또는 암호화 범위를 만들어야 합니다.

중요합니다

인프라 암호화는 규정 준수 요구 사항에 이중 암호화 데이터가 필요한 시나리오에 권장됩니다. 대부분의 다른 시나리오에서 Azure Storage 암호화는 충분히 강력한 암호화 알고리즘을 제공하며 인프라 암호화를 사용하는 데 중요한 성능 또는 보안 이점이 있을 가능성은 거의 없습니다. 이 기능을 사용하도록 설정하기 전에 특정 규정 준수 및 규정 요구 사항을 평가합니다.

인프라 암호화를 사용하도록 설정된 계정 만들기

스토리지 계정에 대한 인프라 암호화를 사용하도록 설정하려면 계정을 만들 때 구성해야 합니다. 계정을 만든 후에는 인프라 암호화를 사용하거나 사용하지 않도록 설정할 수 없으므로 배포 전에 규정 준수 요구 사항을 신중하게 평가합니다. 스토리지 계정은 범용 v2 또는 프리미엄 블록 Blob 유형이어야 합니다.

Azure Portal을 사용하여 인프라 암호화를 사용하도록 설정된 스토리지 계정을 만들려면 다음 단계를 수행합니다.

  1. Azure 포털에서 저장소 계정 페이지로 이동합니다.

  2. 추가 버튼을 선택하여 새 범용 v2 또는 프리미엄 블록 Blob 저장소 계정을 추가합니다.

  3. 암호화 탭에서 인프라 암호화 사용을 찾은 다음, 사용을 선택합니다.

  4. 검토 + 만들기를 선택하여 스토리지 계정 만들기를 완료합니다.

    인프라 암호화를 사용하도록 설정된 계정을 만드는 방법을 보여 주는 스크린샷

Azure Portal을 사용하여 스토리지 계정에 인프라 암호화가 사용하도록 설정되어 있는지 확인하려면 다음 단계를 수행합니다.

  1. Azure Portal의 스토리지 계정으로 이동합니다.

  2. 설정아래에서 암호화선택합니다.

    스토리지 계정에 대해 인프라 암호화가 사용하도록 설정되어 있는지 확인하는 방법을 보여 주는 스크린샷

비고

Azure Policy는 스토리지 계정에 대해 인프라 암호화를 사용하도록 요구하는 기본 제공 정책 정의를 제공합니다. 이 정책을 사용하여 규정 준수를 위해 조직 전체에서 인프라 암호화를 적용할 수 있습니다.

인프라 암호화를 사용하도록 설정된 암호화 범위 만들기

계정에 대해 인프라 암호화를 사용하는 경우 해당 계정에서 만든 암호화 범위는 자동으로 인프라 암호화를 사용합니다. 계정 수준에서 인프라 암호화를 사용하도록 설정하지 않은 경우 범위를 만들 때 암호화 범위에 대해 인프라 암호화를 사용하도록 설정하는 옵션이 있습니다. 범위를 만든 후에는 암호화 범위에 대한 인프라 암호화 설정을 변경할 수 없습니다.

인프라 암호화 구현 모범 사례

Azure Storage에 대한 인프라 암호화를 구현할지 여부를 결정할 때 다음 권장 사항을 고려합니다.

  • 규정 준수 요구 사항 먼저 평가 - 인프라 암호화는 주로 여러 계층의 암호화를 의무화하는 엄격한 규정 준수 요구 사항을 가진 조직을 위해 설계되었습니다. 이 기능을 사용하도록 설정하기 전에 규정 의무(예: HIPAA, PCI-DSS, FedRAMP)를 검토합니다.

  • 결정의 영속성 이해 - 인프라 암호화는 계정 생성 시 사용하도록 설정해야 하며 나중에 사용하지 않도록 설정할 수 없습니다. 이 설정을 변경해야 하는 경우 새 스토리지 계정을 만들고 데이터를 마이그레이션해야 하므로 배포 전에 신중하게 계획합니다.

  • 성능에 미치는 영향 고려 - 성능 영향은 일반적으로 최소화되지만 이중 암호화는 계산 오버헤드를 추가합니다. 처리량이 높은 요구 사항이 있는 경우 프로덕션에 배포하기 전에 워크로드 성능을 테스트합니다.

  • 최대 제어를 위해 고객 관리형 키와 함께 사용 - 최고 수준의 암호화 제어를 위해 서비스 수준에서 CMK(고객 관리형 키)와 인프라 암호화를 결합합니다. 이렇게 하면 각 계층에서 서로 다른 키를 사용하여 심층 방어를 제공합니다.

  • 거버넌스를 위한 Azure Policy 구현 - 기본 제공 Azure Policy를 사용하여 조직의 모든 새 스토리지 계정에 인프라 암호화를 적용합니다. 이렇게 하면 일관된 보안 상태가 보장되고 비준수 스토리지 계정이 실수로 생성되는 것을 방지할 수 있습니다.

  • 암호화 아키텍처 문서화 - 인프라 암호화를 사용하는 스토리지 계정, 암호화를 사용하도록 설정한 이유 및 관련 규정 준수 요구 사항에 대한 명확한 설명서를 유지 관리합니다. 이는 감사 및 보안 검토에 필수적입니다.

  • 세분화된 제어를 위해 암호화 범위 사용 - 특정 데이터에만 이중 암호화가 필요한 경우 전체 계정에 인프라 암호화를 사용하도록 설정하는 대신 암호화 범위를 사용하는 것이 좋습니다. 이렇게 하면 특정 규정 준수 요구 사항을 충족하는 동안 유연성을 제공합니다.

  • 재해 복구 계획 - 인프라 암호화 설정에 대한 재해 복구 및 백업 전략 계정을 확인합니다. 복원되거나 복제된 스토리지 계정은 생성 시 인프라 암호화를 사용하여 구성해야 합니다.

  • 암호화 상태 모니터링 - 스토리지 계정을 정기적으로 감사하여 필요한 경우 인프라 암호화가 사용하도록 설정되어 있는지 확인합니다. 지속적인 유효성 검사를 위해 Azure Monitor, Azure Security Center 또는 Azure Policy 규정 준수 보고서를 사용합니다.

  • 보안 및 비용 균형 - 인프라 암호화는 작은 계산 오버헤드를 추가하지만 추가 스토리지 비용은 추가하지 않습니다. 그러나 나중에 사용하지 않도록 설정할 수 없다는 것은 기능이 장기 보안 전략과 일치하는지 확인해야 함을 의미합니다.

  • 마이그레이션 절차 테스트 - 생성 후 인프라 암호화를 변경할 수 없으므로 암호화 요구 사항이 변경될 경우 스토리지 계정 간에 데이터를 마이그레이션하기 위한 절차를 설정하고 테스트합니다.

  • 다른 보안 기능과 결합 - 네트워크 보안(프라이빗 엔드포인트, 방화벽), 액세스 제어(Azure RBAC, SAS 토큰) 및 모니터링(Azure Monitor, 스토리지용 Microsoft Defender)을 포함하는 포괄적인 보안 전략의 일부로 인프라 암호화를 사용합니다.