1. Azure Storage 암호화 개요
- Azure는 저장 데이터(At Rest)와 전송 데이터(In Transit) 모두에 대해 암호화를 제공합니다. 이 암호화는 서버측에서 자동으로 적용되거나, 필요에 따라 사용자가 클라이언트측에서 직접 수행할 수도 있습니다. 또한 ES-256 같은 강력한 암호화 알고리즘과 Key Vault를 통한 중앙 집중형 키 관리 기능을 제공해 기업이 보안과 규정 준수를 동시에 달성할 수 있습니다.
2. 미사용 데이터 암호화
- 미사용 데이터 암호화는 디스크, Blob, File, Table, SQL Database, Cosmos DB 등 다양한 스토리지 서비스에 적용됩니다.
- 서버측 암호화(SSE): Azure가 저장 전에 자동으로 암호화하고, 읽을 때 자동 복호화
- 클라이언트측 암호화: 업로드 전에 사용자가 직접 암호화 - 서비스별 주요 특징
3. 전송 중 데이터 암호화
- TLS(전송 계층 보안): 클라이언트와 서버 간 및 모든 클라우드-클라이언트 통신 보호. PFS 지원.
ex> Azure Storage와 REST API를 사용할 때 HTTPS만 허용하도록 설정하면 중간자 공격을 방지할 수 있습니다. - PFS(Perfect Forward Secrecy): 세션 키 보호
- MACsec: 데이터센터 간 네트워크 링크 암호화
- SMB 3.0: 파일 공유 전송 암호화 (Windows Server 2012+).
- VPN Gateway(IPsec/IKE, 사이트 간/지점 연결 암호화) / SSH(비대칭키) / RDP(TLS): 안전한 원격 접속 및 데이터 전송
- 데이터 링크 계층: MACsec(IEEE 802.1AE)로 데이터센터 간 링크 암호화, 기본 적용.
- Azure Storage 접근 시 HTTPS 필수 설정 및 SAS 토큰 사용시 HTTPS 강제 기능
4. 키 관리 전략
- Azure Key Vault는 암호화 키, 비밀, 인증서를 안전하게 저장하고 접근을 제어합니다.
- 서비스 관리 키(SMK): Azure에서 자동 관리
- 고객 관리 키(CMK): BYOK(Bring Your Own Key) 지원
- HYOK(Host Your Own Key): 고객의 하드웨어에서 완전 관리 - Key Vault를 활용하면 키를 주기적으로 순환하고, HSM(Hardware Security Module)에서 안전하게 생성 및 저장할 수 있습니다.
5. 보안 모범 사례
- 보안 전송 강제 적용
- 스토리지 계정에서 ‘Secure Transfer Required’를 켜고 HTTPS만 허용하세요. - BYOK 적용 시 주기적 키 순환
- 데이터 보호와 규정 준수를 위해 키를 주기적으로 변경해야 합니다. - 모니터링 및 감사 활성화
- Azure Monitor와 함께 Key Vault 진입 시도를 로깅하면 보안 위협을 신속히 탐지할 수 있습니다.
6. 미사용 데이터 암호화 (At Rest Encryption)
- 대상: 디스크, Blob, Table Storage, SQL DB, Cosmos DB, Data Lake 등 저장된 모든 데이터.
- 기술: 기본적으로 AES-256 사용.
- 암호화 모델
1. 서비스 관리 키 (Microsoft 관리) – 편리하지만 고객 제어 낮음.
2. 고객 관리 키 (BYOK) – Key Vault로 직접 관리.
3. 고객 제어 하드웨어 키 (HYOK) – 자체 하드웨어에서 관리, 제한적 지원.
• 클라이언트 쪽 암호화: Azure 외부에서 암호화 후 업로드. 키는 고객이 완전 제어.
• 서버 쪽 암호화: Azure가 데이터 저장 시 자동 암호화·해독.
• 서비스별 특징
- Disk Encryption: 관리 디스크·스냅샷 모두 암호화.
- Storage Service Encryption(SSE): Blob·File 저장 전 자동 암호화.
- Azure SQL:
* TDE(투명 데이터 암호화) – 서버 쪽, 기본 활성화.
* Always Encrypted – 클라이언트 쪽, 민감 데이터 보호.
* CLE(셀·열 수준 암호화) – 더 세밀한 단위 암호화.
- Cosmos DB: 기본 암호화 + 선택적 CMK 이중 암호화.
- Data Lake: 기본 자동 암호화, 키 직접 관리 가능.
7. 키 관리 (Azure Key Vault)
- 역할: 암호화 키 보관·관리·액세스 제어.
- 특징
- HSM 기반, Microsoft는 키 열람 불가.
- 고객이 키 생성·가져오기·순환 가능.
- Microsoft Entra 계정 기반 권한 부여.
- 장점: 하드웨어·패치·운영 부담 제거, 보안성·관리 편의성 향상.
8. 참고 문서
- 미사용 데이터에 대한 Azure Storage 암호화 https://learn.microsoft.com/ko-kr/azure/storage/common/storage-service-encryption
- Azure 암호화 개요 https://learn.microsoft.com/ko-kr/azure/security/fundamentals/encryption-overview
'Azure 상식' 카테고리의 다른 글
| Azure Virtual Network 암호화 (2) | 2025.08.25 |
|---|---|
| PV/PVC with Azure File 구성시 필요한 Network 설정 (1) | 2025.08.25 |
| Azure Monitoring 활용시 LogData 효율적 관리에 대해 (3) | 2025.08.24 |
| Azure Native 보안과 네트워크 보안 서비스 이해 (3) | 2025.08.24 |
| Support VM OS SKU 및 Migration 방법 (0) | 2025.08.24 |