미사용 데이터에 대한 Azure AI Bot Service 암호화

  • 아티클

적용 대상: SDK v4

Azure AI Bot Service는 데이터를 클라우드에 유지할 때 데이터를 자동으로 암호화하여 데이터를 보호하고 조직의 보안 및 규정 준수 약정을 충족합니다.

암호화 및 암호 해독은 투명하므로 암호화 및 액세스가 자동으로 관리됩니다. 데이터는 기본적으로 안전하며 암호화를 활용하기 위해 코드 또는 애플리케이션을 수정할 필요가 없습니다.

암호화 키 관리 정보

기본적으로 구독은 Microsoft에서 관리하는 암호화 키를 사용합니다. 고객 관리형 키라는 고유한 키를 사용하여 봇 리소스를 관리할 수 있습니다. 고객 관리형 키는 데이터 Azure AI Bot Service 저장소에 대한 액세스 제어를 만들고, 회전하고, 사용하지 않도록 설정하고, 취소할 수 있는 더 큰 유연성을 제공합니다. 데이터를 보호하는 데 사용되는 암호화 키를 감사할 수도 있습니다.

데이터를 암호화할 때 Azure AI Bot Service는 두 가지 수준의 암호화로 암호화합니다. 고객 관리형 키를 사용하도록 설정하지 않은 경우 사용되는 두 키는 모두 Microsoft 관리형 키입니다. 고객 관리형 키를 사용하도록 설정하면 데이터는 고객 관리형 키와 Microsoft 관리형 키를 모두 사용하여 암호화됩니다.

Azure Key Vault를 사용하는 고객 관리형 키

고객 관리형 키 기능을 활용하려면 Azure Key Vault키를 저장하고 관리해야 합니다. 사용자 고유의 키를 만들어 키 자격 증명 모음에 저장하거나 Azure Key Vault API를 사용하여 키를 생성할 수 있습니다. Azure Bot 리소스와 키 자격 증명 모음은 동일한 Microsoft Entra ID 테넌트에 있어야 하지만 서로 다른 구독에 있을 수 있습니다. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault란?을 참조하세요.

고객 관리형 키를 사용하는 경우 Azure AI Bot Service는 스토리지의 데이터를 암호화합니다. 해당 키에 대한 액세스가 해지되거나 키가 삭제되면 봇은 Azure AI Bot Service를 사용하여 메시지를 보내거나 받을 수 없으며 Azure Portal에서 봇의 구성에 액세스하거나 편집할 수 없습니다.

포털을 통해 Azure Bot 리소스를 만들 때 Azure는 앱 ID암호를 생성하지만 Azure Key Vault에 저장하지는 않습니다. Azure AI Bot Service에서 Key Vault를 사용할 수 있습니다. 자세한 내용은 Key Vault에 연결하도록 웹앱 구성을 참조 하세요. Key Vault를 사용하여 비밀을 저장하고 검색하는 방법에 대한 예제는 빠른 시작: .NET용 Azure Key Vault 비밀 클라이언트 라이브러리(SDK v4)를 참조하세요.

Important

Azure AI Bot Service 팀은 키에 액세스하지 않고는 고객 관리형 암호화 키 봇을 복구할 수 없습니다.

암호화된 데이터는 무엇인가요?

Azure AI Bot Service는 봇, 사용하는 채널, 개발자가 설정한 구성 설정 및 필요한 경우 현재 활성 대화의 레코드에 대한 고객 데이터를 저장합니다. 또한 임시로 24시간 이내에 직접 회선 또는 웹 채팅 채널을 통해 전송된 메시지와 업로드된 첨부 파일을 저장합니다.

모든 고객 데이터는 Azure AI Bot Service에서 두 계층의 암호화로 암호화됩니다. Microsoft 관리형 암호화 키 또는 Microsoft 및 고객 관리형 암호화 키를 사용합니다. Azure AI Bot Service는 Microsoft 관리형 암호화 키를 사용하여 임시로 저장된 데이터를 암호화하고, Azure Bot 리소스의 구성에 따라 Microsoft 또는 고객 관리형 암호화 키를 사용하여 장기 데이터를 암호화합니다.

참고 항목

Azure AI Bot Service는 고객에게 Azure AI Bot Service 외부의 다른 서비스에 있는 사용자와 메시지를 전달할 수 있는 기능을 제공하기 위해 존재하므로 암호화는 해당 서비스로 확장되지 않습니다. 즉, Azure AI Bot Service 제어에서 데이터는 이 문서의 지침에 따라 암호화된 상태로 저장됩니다. 그러나 다른 서비스에 배달하기 위해 서비스를 종료하면 데이터가 암호 해독된 다음 TLS 1.2 암호화를 사용하여 대상 서비스에 전송됩니다.

Azure Key Vault 인스턴스를 구성하는 방법

Azure AI Bot Service에서 고객 관리형 키를 사용하려면 암호화 키를 호스트하는 데 사용할 Azure Key Vault 인스턴스에서 일시 삭제제거 보호라는 두 가지 속성을 사용하도록 설정해야 합니다. 이러한 기능을 통해 어떤 이유로 인해 키가 실수로 삭제된 경우 복구할 수 있습니다. 일시 삭제 및 제거 보호에 대한 자세한 내용은 Azure Key Vault 일시 삭제 개요를 참조 하세요.

Screenshot of soft delete and purge protection enabled.

기존 Azure Key Vault 인스턴스를 사용하는 경우 Azure Portal의 속성 섹션을 확인 하여 이러한 속성 이 사용하도록 설정되어 있는지 확인할 수 있습니다. 이러한 속성 중 하나라도 사용하도록 설정되지 않은 경우 일시 삭제 및 제거 보호를 사용하도록 설정하는 방법의 Key Vault 섹션을 참조하세요.

Azure AI Bot Service에 키 자격 증명 모음에 대한 액세스 권한 부여

Azure AI Bot Service가 이 목적을 위해 만든 키 자격 증명 모음에 액세스할 수 있도록 하려면 Azure AI Bot Service의 서비스 주체에게 현재 사용 권한 집합을 제공하는 액세스 정책을 설정해야 합니다. 키 자격 증명 모음을 만드는 방법을 포함하여 Azure Key Vault에 대한 자세한 내용은 Azure Key Vault 정보를 참조 하세요.

  1. 키 자격 증명 모음을 포함하는 구독에 Azure AI Bot Service 리소스 공급자를 등록합니다.

    1. Azure 포털로 이동합니다.
    2. 구독 블레이드를 열고 키 자격 증명 모음이 포함된 구독을 선택합니다.
    3. 리소스 공급자 블레이드를 열고 Microsoft.BotService 리소스 공급자를 등록합니다.

    Microsoft.BotService registered as a resource provider

  2. Azure Key Vault는 Azure RBAC(역할 기반 액세스 제어) 또는 자격 증명 모음 액세스 정책의 두 가지 권한 모델을 지원합니다. 사용 권한 모델 중 하나를 사용하도록 선택할 수 있습니다. Key Vault의 네트워킹 블레이드에 있는 방화벽 및 가상 네트워크가 이 단계에서 모든 네트워크에서 공용 액세스를 허용하도록 설정되어 있는지 확인합니다. 또한 운영자에게 키 관리 작업 권한이 부여되었는지 확인합니다.

    Screenshot of the two permission models available for your key vault.

    1. 키 자격 증명 모음에서 Azure RBAC 권한 모델을 구성하려면 다음을 수행합니다.

      1. 키 자격 증명 모음 블레이드를 열고 키 자격 증명 모음을 선택합니다.
      2. 액세스 제어(IAM) 블레이드로 이동하여 Key Vault Crypto Service 암호화 사용자 역할을 Bot Service CMEK Prod할당합니다. 구독 소유자 역할이 있는 사용자만 이 변경을 수행할 수 있습니다.

      Screenshot of key vault configuration showing the crypto service encryption user role has been added.

    2. Key Vault에 대한 Key Vault 액세스 정책 권한 모델을 구성하려면 다음을 수행합니다.

      1. 키 자격 증명 모음 블레이드를 열고 키 자격 증명 모음을 선택합니다.
      2. Bot Service CMEK Prod 애플리케이션을 액세스 정책으로 추가하고 다음 권한을 할당합니다.
      • 키 관리 작업에서 가져오기
      • 암호화 작업에서 래프 해제
      • 암호화 작업에서 래핑
      1. 저장을 선택하여 변경한 내용을 저장합니다.

      Bot Service CMEK Prod added as an access policy

  3. Key Vault가 방화벽을 바이패스하도록 허용합니다.

    1. 키 자격 증명 모음 블레이드를 열고 키 자격 증명 모음을 선택합니다.
    2. 네트워킹 블레이드를 열고 방화벽 및 가상 네트워크 탭으로 이동합니다.
    3. 액세스 허용이 공용 액세스를 사용하지 않도록 설정된 경우 신뢰할 수 있는 Microsoft 서비스 이 방화벽을 무시하도록 허용이 선택되어 있는지 확인합니다.
    4. 저장을 선택하여 변경한 내용을 저장합니다.

    Firewall exception added for Key Vault

고객 관리형 키 사용

고객 관리형 암호화 키로 봇을 암호화하려면 다음 단계를 수행합니다.

  1. 봇에 대한 Azure Bot 리소스 블레이드를 엽니다.

  2. 봇의 암호화 블레이드를 열고 암호화 유형에 대한 고객 관리형 키를 선택합니다.

  3. 버전을 포함하여 키의 전체 URI를 입력하거나 키 자격 증명 모음 및 키 선택을 클릭하여 키를 찾습니다.

  4. 블레이드 맨 위에 있는 저장을 클릭합니다.

    Bot resource using customer-managed encryption

이러한 단계가 완료되면 Azure AI Bot Service는 암호화 프로세스를 시작하며 완료하는 데 최대 24시간이 걸릴 수 있습니다. 봇은 이 기간 동안 다시 기본 작동합니다.

고객 관리형 키 순환

고객 관리형 암호화 키를 회전하려면 새 키(또는 기존 키의 새 버전)에 새 URI를 사용하도록 Azure AI Bot Service 리소스를 업데이트해야 합니다.

새 키를 사용한 다시 암호화는 비동기적으로 발생하므로 데이터가 계속 해독될 수 있도록 이전 키를 다시 사용할 수 있도록 기본. 그렇지 않으면 봇의 작동이 중지될 수 있습니다. 1주일 이상 이전 키를 유지해야 합니다.

고객 관리형 키에 대한 액세스 권한 철회

액세스를 취소하려면 키 자격 증명 모음에서 Bot Service CMEK Prod 서비스 주체에 대한 액세스 정책을 제거합니다.

참고 항목

액세스 권한을 취소하면 봇과 연결된 대부분의 기능이 중단됩니다. 고객 관리형 키 기능을 사용하지 않도록 설정하려면 액세스를 취소하기 전에 기능을 해제하여 봇이 계속 작동할 수 있도록 합니다.

다음 단계

Azure Key Vault에 대해 자세히 알아보기