Azure Key Vault란?What is Azure Key Vault?

Azure Key Vault는 다음 문제를 해결하는 데 도움이 됩니다.Azure Key Vault helps solve the following problems:

  • 비밀 관리 - Azure Key Vault를 사용하여 토큰, 암호, 인증서, API 키 및 기타 비밀에 대한 액세스를 안전하게 저장하고 엄격히 제어할 수 있습니다.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • 키 관리 - Azure Key Vault를 키 관리 솔루션으로 사용할 수도 있습니다.Key Management - Azure Key Vault can also be used as a Key Management solution. Azure Key Vault를 사용하면 데이터를 암호화하는 데 사용되는 암호화 키를 쉽게 만들고 제어할 수 있습니다.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • 인증서 관리 - Azure Key Vault는 Azure 및 내부 연결 리소스와 함께 사용할 공용 및 프라이빗 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 인증서를 쉽게 프로비전, 관리 및 배포할 수 있는 서비스이기도 합니다.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • 하드웨어 보안 모듈로 지원되는 비밀 저장 - 비밀과 키는 HSM의 유효성을 검사하는 소프트웨어 또는 FIPS 140-2 수준 2를 통해 보호할 수 있습니다Store secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validates HSMs

Azure Key Vault를 사용하는 이유는?Why use Azure Key Vault?

애플리케이션 비밀 중앙 집중화Centralize application secrets

Azure Key Vault에 애플리케이션 비밀을 중앙 집중식으로 스토리지하면 배포를 제어할 수 있습니다.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Key Vault를 사용하면 비밀이 우발적으로 유출될 가능성이 대폭 감소합니다.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Key Vault를 사용하면 애플리케이션 개발자가 더 이상 애플리케이션에 보안 정보를 저장할 필요가 없습니다.When using Key Vault, application developers no longer need to store security information in their application. 애플리케이션에 보안 정보를 저장하지 않으면 코드의 해당 정보 부분을 만들 필요가 없습니다.Not having to store security information in applications eliminates the need to make this information part of the code. 예를 들어 애플리케이션이 데이터베이스에 연결해야 할 수 있습니다.For example, an application may need to connect to a database. 연결 문자열을 앱 코드에 저장하는 대신 Key Vault에 안전하게 저장할 수 있습니다.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

애플리케이션은 URI를 사용하여 필요한 정보에 안전하게 액세스할 수 있습니다.Your applications can securely access the information they need by using URIs. 이러한 URI를 사용하면 애플리케이션이 특정 버전의 비밀을 검색할 수 있습니다.These URIs allow the applications to retrieve specific versions of a secret. Key Vault에 저장된 비밀 정보를 보호하기 위해 사용자 지정 코드를 작성할 필요가 없습니다.There is no need to write custom code to protect any of the secret information stored in Key Vault.

안전하게 비밀 및 키 저장Securely store secrets and keys

Azure에서는 업계 표준 알고리즘, 키 길이 및 HSM(하드웨어 보안 모듈)을 사용하여 비밀 및 키를 보호합니다.Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). 사용되는 HSM은 FIPS(Federal Information Processing Standards) 140-2 수준 2 유효성 검사를 통과했습니다.The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

Key Vault에 액세스하려면 호출자(사용자 또는 애플리케이션)가 액세스할 수 있도록 적절한 인증 및 권한 부여가 필요합니다.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. 인증은 호출자의 ID를 확인하는 반면 권한 부여는 수행할 수 있는 작업을 결정합니다.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

인증은 Azure Active Directory를 통해 수행됩니다.Authentication is done via Azure Active Directory. 권한 부여는 RBAC(역할 기반 액세스 제어) 또는 Key Vault 액세스 정책을 통해 수행할 수 있습니다.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. RBAC는 자격 증명 모음 관리를 처리할 때 사용되며, Key Vault 액세스 정책은 자격 증명 모음에 저장된 데이터에 액세스하려고 할 때 사용됩니다.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Azure Key Vault는 소프트웨어 또는 하드웨어 HSM으로 보호될 수 있습니다.Azure Key Vaults may be either software- or hardware-HSM protected. 추가 보증이 필요한 경우, HSM 경계를 절대로 떠나지 않는 HSM(하드웨어 보안 모듈)에서 키를 가져오거나 생성할 수 있습니다.For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Microsoft는 nCipher 하드웨어 보안 모듈을 사용합니다.Microsoft uses nCipher hardware security modules. nCipher 도구를 사용하여 HSM에서 Azure Key Vault로 키를 이동할 수 있습니다.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

마지막으로 Azure Key Vault는 Microsoft에서 데이터를 보거나 추출할 수 없게 설계되어 있습니다.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

액세스 및 사용 모니터링Monitor access and use

Key Vault를 두 개 만들었으면 키와 비밀이 액세스되는 방법 및 시기를 모니터링해야 합니다.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. 자격 증명 모음에 대한 로깅을 사용하도록 설정하여 활동을 모니터링할 수 있습니다.You can monitor activity by enabling logging for your vaults. Azure Key Vault를 다음과 같이 구성할 수 있습니다.You can configure Azure Key Vault to:

  • 스토리지 계정에 보관합니다.Archive to a storage account.
  • 이벤트 허브로 스트리밍합니다.Stream to an event hub.
  • 로그를 Azure Monitor 로그로 보냅니다.Send the logs to Azure Monitor logs.

로그를 제어하고 로그에 대한 액세스를 제한하여 보호할 수 있으며 더 이상 필요하지 않은 로그를 삭제할 수도 있습니다.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

애플리케이션 비밀의 관리 간소화Simplified administration of application secrets

중요한 데이터를 저장할 때 몇 가지 단계를 수행해야 합니다.When storing valuable data, you must take several steps. 보안 정보는 보호되어야 하며 수명 주기를 따라야 하고 가용성이 높아야 합니다.Security information must be secured, it must follow a life cycle, it must be highly available. Azure Key Vault에서는 다음을 통해 이러한 요구 사항을 충족하는 과정을 단순화합니다.Azure Key Vault simplifies the process of meeting these requirements by:

  • 하드웨어 보안 모듈의 사내 지식에 대한 필요성을 제거합니다.Removing the need for in-house knowledge of Hardware Security Modules
  • 조직의 사용량 급증에 맞춰 단기간에 확장합니다.Scaling up on short notice to meet your organization’s usage spikes.
  • 한 지역 전체와 보조 지역으로 Key Vault의 콘텐츠를 복제합니다.Replicating the contents of your Key Vault within a region and to a secondary region. 데이터 복제를 사용하면 고가용성이 보장되고 장애 조치(failover)를 트리거하는 관리자의 모든 작업이 필요없습니다.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Azure CLI 및 PowerShell을 통해 표준 Azure 관리 옵션을 제공합니다.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • 공용 CA에서 구입한 인증서에 대한 등록 및 갱신과 같은 특정 작업을 자동화합니다.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

또한 Azure Key Vault를 통해 애플리케이션 비밀을 격리할 수 있습니다.In addition, Azure Key Vaults allow you to segregate application secrets. 애플리케이션은 액세스가 허용된 자격 증명 모음에만 액세스할 수 있으며, 특정 작업만 수행하도록 제한할 수 있습니다.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. 애플리케이션당 Azure Key Vault를 만들고 Key Vault에 저장된 비밀을 특정 애플리케이션 및 개발자 팀으로 제한할 수 있습니다.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

다른 Azure 서비스와 통합Integrate with other Azure services

Azure의 안전한 저장소로서 Key Vault는 다음과 같은 시나리오를 간소화하는 데 사용됐습니다.As a secure store in Azure, Key Vault has been used to simplify scenarios like:

Key Vault 자체는 스토리지 계정, 이벤트 허브 및 로그 분석과 통합할 수 있습니다.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

다음 단계Next steps