Azure Key Vault 키는 암호화, 디지털 서명 및 키 래핑 작업에 사용되는 암호화 키를 보호합니다. 이 문서에서는 암호화 키 관리와 관련된 보안 권장 사항을 제공합니다.
비고
이 문서에서는 Key Vault 키와 관련된 보안 방법에 중점을 둡니다. 포괄적인 Key Vault 보안 가이드, 네트워크 보안, 아이덴티티 및 액세스 관리, 그리고 Vault 아키텍처에 대한 자세한 내용을 보려면 Azure Key Vault 보안을 참조하세요.
키 유형 및 보호 수준
Azure Key Vault 다양한 보호 수준으로 다양한 키 유형을 지원합니다. 보안 요구 사항에 따라 적절한 키 유형을 선택합니다.
소프트웨어 보호 키(RSA, EC): FIPS 140-2 수준 1 유효성이 검사된 소프트웨어로 보호되는 키입니다. 암호화 및 서명 작업이 필요한 대부분의 애플리케이션에 적합합니다.
HSM 보호 키(RSA-HSM, EC-HSM): HSM(하드웨어 보안 모듈)으로 보호되는 키입니다. 모든 새 키 및 키 버전은 FIPS 140-3 수준 3 유효성이 검사된 HSM(HSM 플랫폼 2)에서 만들어집니다. 하드웨어 지원 키 보호가 필요한 높은 보안 시나리오에 권장됩니다.
관리형 HSM 키: FIPS 140-3 수준 3 유효성이 검사된 하드웨어를 사용하는 전용 단일 테넌트 HSM 풀의 키입니다. 가장 높은 보안 및 규정 준수 요구 사항에 필요합니다.
키 형식에 대한 자세한 내용은 Azure Key Vault 키 사용 참조하세요.
주요 사용량 및 작업
공격 노출 영역을 최소화하기 위해 애플리케이션에 필요한 작업으로만 키 작업을 제한합니다.
- 키 작업 제한: 필요한 권한만 부여(암호화, 암호 해독, 서명, 확인, wrapKey, unwrapKey)
-
적절한 키 크기를 사용합니다.
- RSA 키: 높은 보안 시나리오에 2048비트 최소 4096비트 사용
- EC 키: 보안 요구 사항에 따라 P-256, P-384 또는 P-521 곡선 사용
- 용도에 따라 별도의 키: 암호화와 서명 작업에 서로 다른 키를 사용하여 키가 손상된 경우 영향을 제한합니다.
키 운영에 대한 자세한 내용은 Key Vault의 키 운영을 참고하십시오.
키 회전 및 버전 관리
손상된 키의 노출을 제한하도록 정기적인 키 회전을 구현합니다.
- 자동 키 회전 사용: 애플리케이션 가동 중지 시간 없이 키를 회전하도록 자동 회전 정책을 구성합니다. 키 자동 회전 구성을 참조하세요.
- 회전 빈도 설정: 적어도 2년마다 또는 규정 준수 요구 사항에 따라 더 자주 암호화 키 회전
- 키 버전 관리 사용: Key Vault는 기존 암호화된 데이터를 중단하지 않고 키를 원활하게 회전시키며 자동으로 버전을 관리합니다.
- 다시 암호화 계획: 장기 데이터의 경우 새 키 버전으로 데이터를 다시 암호화하는 전략을 구현합니다.
회전에 대한 자세한 내용은 Azure Key Vault 암호화 키 자동 회전 구성을 참조하세요.
키 백업 및 복구
적절한 백업 및 복구 절차를 구현하여 데이터 손실로부터 보호합니다.
-
일시 삭제 사용: 일시 삭제를 사용하면 보존 기간(7-90일) 내에 삭제된 키를 복구할 수 있습니다.
Azure Key Vault 일시 삭제 개요 - 제거 보호 사용: 보존 기간 동안 키를 영구적으로 삭제하지 않도록 합니다. 제거 보호 참조
-
중요 키 백업: 대체 불가능한 데이터를 보호하는 키의 백업을 내보내고 안전하게 저장합니다.
Azure Key Vault 백업 -
백업 권한 제한: 키 작업을 진정으로 필요한 ID에만 부여
backup합니다. 백업된 키는 다른 자격 증명 모음으로 복원되면 원본과 완전히 독립적으로 됩니다. 자세한 내용은 Backup 보안 고려 사항을 참조하세요 . - 문서 복구 절차: 주요 복구 시나리오에 대한 Runbook 유지 관리
키 손상 대응
키가 손상되었다고 의심되는 경우(예: 무단 백업 및 다른 보관소로 복원), 키를 즉시 비활성화하거나 삭제하지 마세요. 복원된 복사본은 원본 보관소와 완전히 독립적이므로, 원본을 사용하지 않도록 설정하거나 삭제 또는 제거해도 복원된 복사본은 유효성을 잃지 않습니다. 동시에 키를 사용하지 않도록 설정하거나 삭제하면 모든 종속 서비스(Azure SQL TDE, Azure Storage SSE, Azure Disk Encryption 등)가 오프라인으로 전환됩니다.
대신 위반을 제어하고, 안전한 저장소에서 새 키로 교체한 후, 모든 종속 서비스를 이전한 다음, 손상된 키를 비활성화합니다. 전체 단계별 인시던트 대응 절차는 Backup 보안 고려 사항을 참조하세요. 키 회전 절차는 Azure Key Vault에서 암호화 키 자동 회전 구성을 참조하세요.
무단 키 반출을 조기에 감지하려면 Key Vault 감사 로그에서 KeyBackup 및 KeyRestore 작업을 모니터링하고, 예기치 않은 활동에 대해 경고를 설정합니다. 자세한 내용은 Azure Key Vault 로깅을 참조하세요.
BYOK(Bring Your Own Key)
고유한 키를 Key Vault 가져올 때 보안 모범 사례를 따릅니다.
- 보안 키 생성 사용: 규정 준수 요구 사항을 충족하는 지원되는 온-프레미스 HSM 에서 키 생성
- 전송 중 키 보호: Key Vault BYOK 프로세스를 사용하여 키를 안전하게 전송합니다. HSM 보호 키를 Key Vault(BYOK)로 가져오기를 참조하십시오
- 키 가져오기 유효성 검사: 가져온 후 키 특성 및 사용 권한 확인
- 키 출처 유지: 가져온 키의 원본 및 전송 방법 문서화
BYOK(Bring Your Own Key)에 대한 자세한 내용은 Key Vault에 대한 HSM 보호 키 가져오기를 참조하세요.
키 릴리스 및 증명
신뢰할 수 있는 환경에 키 릴리스가 필요한 시나리오의 경우:
- 키 릴리스 정책 사용: Key Vault 키를 해제할 수 있는 시기를 제어하도록 증명 기반 릴리스 정책 구성
- 증명 확인: 키를 해제하기 전에 요청 환경이 유효한 증명을 제공하는지 확인
- 키 릴리스 감사: 모든 키 릴리스 작업 모니터링 및 로그
키 릴리스에 대한 자세한 내용은 Azure Key Vault 키 릴리스 참조하세요.
모니터링 및 감사
키 사용량을 추적하여 무단 액세스 또는 의심스러운 패턴을 검색합니다.
-
진단 로깅 사용: 보안 분석을 위해 모든 키 작업을 기록합니다.
Azure Key Vault 로깅 을 참조하세요 - 키 작업 모니터링: 암호화, 암호 해독, 서명 및 확인 작업을 추적하여 기준 사용 패턴을 설정합니다.
-
경고 설정: Azure Monitor 경고 구성:
- 비정상적인 키 액세스 패턴
- 실패한 키 작업
- 키 삭제 또는 수정
- 만료에 근접하는 키
Azure Key Vault에 대한 모니터링 및 경고를 참조하십시오.
키 만료
적절한 경우 키의 만료 날짜를 설정합니다.
- 임시 키에 대한 만료 설정: 시간 제한 용도로 사용되는 키에는 만료 날짜가 있어야 합니다.
- 만료 키 모니터링: 키가 만료되기 전에 Event Grid 알림을 사용하여 경고합니다. Azure Key Vault를 Event Grid 소스로 사용하기
- 키 갱신 자동화: 만료 전에 키를 회전하는 자동화된 프로세스 구현
관련 보안 문서
- Azure Key Vault 보안 - 포괄적인 Key Vault 보안 지침
- Azure Key Vault 비밀 보안 - 비밀에 대한 보안 모범 사례
- Azure Key Vault 인증서 보안 - 인증서에 대한 보안 모범 사례
다음 단계
- Azure Key Vault 키 사용
Azure Key Vault - Azure Key Vault 개발자 가이드