Azure Information Protection 테넌트 키 계획 및 구현

적용 대상:* Azure Information Protection*

관련: AIP 통합 레이블 지정 클라이언트 및 클래식 클라이언트

참고

통합되고 간소화된 고객 경험을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트레이블 관리2021년 3월 31일 부터 지원되지 않을 예정입니다. 클래식 클라이언트는 계속해서 기존에 구성된 대로 작동하지만 추가 지원은 제공되지 않으며, 클래식 클라이언트에는 유지 관리 버전이 더 이상 릴리스되지 않습니다.

통합 레이블 지정으로 마이그레이션하고 통합 레이블 지정 클라이언트로 업그레이드하는 것이 권장됩니다. 최근 사용 중단 알림 블로그에서 자세한 내용을 알아보세요.

Azure Information Protection 테넌트 키는 조직의 루트 키입니다. 다른 키는 사용자 키, 컴퓨터 키 또는 문서 암호화 키를 포함 하 여이 루트 키에서 파생 될 수 있습니다. Azure Information Protection 조직에 이러한 키를 사용할 때마다 Azure Information Protection 루트 테 넌 트 키에 대 한 암호화 된 체인입니다.

테 넌 트 루트 키 외에도 조직에는 특정 문서에 대 한 온-프레미스 보안이 필요할 수 있습니다. 온-프레미스 키 보호는 보통 적은 양의 콘텐츠에만 필요 하므로 테 넌 트 루트 키와 함께 구성 됩니다.

Azure Information Protection 키 형식

테 넌 트 루트 키는 다음 중 하나일 수 있습니다.

추가 온-프레미스 보호를 요구 하는 매우 중요 한 콘텐츠를 사용 하는 경우에는 두 개 이상의 키 암호화를 사용 하는 것이 좋습니다.

기존 클라이언트를 사용 하는 경우 추가 온-프레미스 보호를 사용 하려면 대신 HYOK (사용자 고유 키) 를 사용 합니다.

Microsoft에서 생성 한 테 넌 트 루트 키

Microsoft에서 자동으로 생성 하는 기본 키는 테 넌 트 키 수명 주기의 대부분의 측면을 관리 하기 위해 Azure Information Protection에 독점적으로 사용 되는 기본 키입니다.

특수 한 하드웨어, 소프트웨어 또는 Azure 구독 없이 Azure Information Protection를 신속 하 게 배포 하려는 경우 기본 Microsoft 키를 계속 사용 합니다. 예제에는 키 관리를 위한 규정 요구 사항이 없는 테스트 환경 또는 조직이 포함 됩니다.

기본 키의 경우 추가 단계가 필요 하지 않으며 테 넌 트 루트 키 시작으로 직접 이동할 수 있습니다.

참고

Microsoft에서 생성 하는 기본 키는 관리 오버 헤드가 가장 낮은 가장 간단한 옵션입니다.

대부분의 경우에는 Azure Information Protection 등록 하 고 나머지 키 관리 프로세스는 Microsoft에서 처리 하기 때문에 테 넌 트 키가 있다는 것을 알 수 없습니다.

Bring Your Own Key (BYOK) 보호

BYOK-보호는 고객이 만든 키 (Azure Key Vault 또는 고객 조직의 온-프레미스)를 사용 합니다. 그런 다음 추가 관리를 위해 이러한 키가 Azure Key Vault 전송 됩니다.

조직에 모든 수명 주기 작업에 대 한 제어를 포함 하 여 키 생성에 대 한 규정 준수 규정이 있는 경우 BYOK를 사용 합니다. 예를 들어 하드웨어 보안 모듈에서 키를 보호 해야 하는 경우입니다.

자세한 내용은 BYOK 보호 구성을 참조 하세요.

구성 된 후에는 키를 사용 하 고 관리 하는 방법에 대 한 자세한 내용은 테 넌 트 루트 키 를 계속 시작 합니다.

키 암호화 (2 개)

관련: aip 통합 레이블 지정 클라이언트 전용

Azure에서 Microsoft가 만들고 보유 한 다른 키를 사용 하 여 콘텐츠에 대 한 추가 보안을 제공 합니다.

Microsoft 및 기타 제 3 자가 보호 된 데이터에 액세스할 수 없도록 하는 것이 아니라, 보호 된 콘텐츠에 액세스 하려면 두 키가 모두 필요 합니다.

클라우드 또는 온-프레미스에는 저장소 위치에 대 한 완전 한 유연성을 제공 하는 클라우드 또는 온-프레미스에 배포할 수 있습니다.

조직에서 다음을 사용 합니다.

  • 모든 상황에서 보호 된 콘텐츠의 암호를 해독할 수 있는지 확인 하려고 합니다.
  • Microsoft에서 보호 된 데이터에 대 한 액세스 권한을 보유 하지 않도록 합니다.
  • 에는 지리적 경계 내에 키를 저장 하기 위한 규제 요구 사항이 있습니다. 이를 통해 고객 보유 키는 고객 데이터 센터 내에서 유지 관리 됩니다.

참고

이는 액세스 권한을 얻기 위해 은행 키와 고객 키를 모두 필요로 하는 안전 입금 상자와 비슷합니다. Hyper-v 보호를 사용 하려면 Microsoft에서 보유 한 키와 고객이 보유 한 키를 모두 사용 하 여 보호 된 콘텐츠를 해독 해야 합니다.

자세한 내용은 Microsoft 365 설명서의 이중 키 암호화 를 참조 하세요.

사용자 고유의 키 (HYOK)를 저장 합니다.

관련: aip 클래식 클라이언트만

HYOK 보호는 고객이 만들고 보유 한 키를 클라우드와 격리 된 위치에 사용 합니다. HYOK 보호는 온-프레미스 응용 프로그램 및 서비스에 대 한 데이터에만 액세스할 수 있도록 하므로 HYOK를 사용 하는 고객에 게는 클라우드 문서에 대 한 클라우드 기반 키도 있습니다.

다음과 같은 문서에 HYOK를 사용 합니다.

  • 소수의 사용자로만 제한 됨
  • 조직 외부에서 공유 되지 않음
  • 내부 네트워크 에서만 사용 됩니다.

이러한 문서는 일반적으로 조직에서 "주요 비밀"으로 가장 높은 분류를 가집니다.

클래식 클라이언트가 있는 경우에만 HYOK 보호를 사용 하 여 콘텐츠를 암호화할 수 있습니다. 그러나 HYOK 보호 된 콘텐츠가 있는 경우 클래식 레이블 클라이언트와 통합 레이블 클라이언트에서 모두 볼 수 있습니다.

자세한 내용은 HYOK (사용자 고유 키) 세부 정보를 참조 하세요.

다음 단계

특정 유형의 키에 대 한 자세한 내용은 다음 문서를 참조 하세요.

회사 합병 후와 같이 테 넌 트 간에 마이그레이션하는 경우에는 인수 및 spinoffs에 대 한 블로그 게시물 을 읽고 자세한 내용을 확인 하는 것이 좋습니다.