Azure 암호화 개요Azure encryption overview

이 문서에서는 Microsoft Azure에서 암호화가 사용되는 방식에 대한 개요를 제공합니다.This article provides an overview of how encryption is used in Microsoft Azure. 저장 데이터 암호화, 전송 중 암호화, Azure Key Vault를 사용한 키 관리 등 암호화의 주요 영역을 다룹니다.It covers the major areas of encryption, including encryption at rest, encryption in flight, and key management with Azure Key Vault. 각 섹션에는 상세 정보 링크가 포함되어 있습니다.Each section includes links to more detailed information.

미사용 데이터 암호화Encryption of data at rest

미사용 데이터에는 모든 디지털 형식으로 된, 실제 미디어의 영구 저장소에 상주하는 정보가 포함됩니다.Data at rest includes information that resides in persistent storage on physical media, in any digital format. 미디어로는 자기 또는 광학 미디어의 파일, 보관된 데이터 및 데이터 백업이 포함될 수 있습니다.The media can include files on magnetic or optical media, archived data, and data backups. Microsoft Azure는 파일, 디스크, Blob 및 테이블 저장소 등 서로 다른 요구 사항을 충족하는 다양한 데이터 저장소 솔루션을 제공합니다.Microsoft Azure offers a variety of data storage solutions to meet different needs, including file, disk, blob, and table storage. Microsoft는 또한 Azure SQL Database, Azure Cosmos DB 및 Azure Data Lake를 보호하기 위한 암호화도 제공합니다.Microsoft also provides encryption to protect Azure SQL Database, Azure Cosmos DB, and Azure Data Lake.

저장 데이터 암호화는 SaaS(Software-as-a-Service), PaaS(Platform-as-a-Service) 및 IaaS(Infrastructure-as-a-Service) 클라우드 모델 간의 서비스에 사용 가능합니다.Data encryption at rest is available for services across the software as a service (SaaS), platform as a service (PaaS), and infrastructure as a service (IaaS) cloud models. 이 문서에서는 Azure의 암호화 옵션을 사용하는 데 도움이 되는 리소스를 요약하여 제공합니다.This article summarizes and provides resources to help you use the Azure encryption options.

Azure에서 미사용 데이터를 암호화하는 방법에 대한 자세한 내용은 Azure 미사용 데이터 암호화를 참조하세요.For a more detailed discussion of how data at rest is encrypted in Azure, see Azure Data Encryption-at-Rest.

Azure 암호화 모델Azure encryption models

Azure는 서비스 관리 키를 사용하는 서버 쪽 암호화, Key Vault의 고객 관리 키 또는 고객 제어 하드웨어의 고객 관리 키를 포함한 다양한 암호화 모델을 지원합니다.Azure supports various encryption models, including server-side encryption that uses service-managed keys, customer-managed keys in Key Vault, or customer-managed keys on customer-controlled hardware. 클라이언트 쪽 암호화를 통해 온-프레미스 또는 다른 안전한 위치에서 키를 관리하고 저장할 수 있습니다.With client-side encryption, you can manage and store keys on-premises or in another secure location.

클라이언트 쪽 암호화Client-side encryption

클라이언트 쪽 암호화는 Azure 외부에서 수행됩니다.Client-side encryption is performed outside of Azure. 다음을 포함합니다.It includes:

  • 고객의 데이터 센터에서 실행 중인 응용 프로그램 또는 서비스 응용 프로그램으로 암호화된 데이터.Data encrypted by an application that’s running in the customer’s datacenter or by a service application.
  • Azure에서 수신될 때 이미 암호화된 데이터입니다.Data that is already encrypted when it is received by Azure.

클라이언트 쪽 암호화와 함께 클라우드 서비스 공급자는 암호화 키에 액세스할 수 없으며 이 데이터를 암호 해독할 수 없습니다.With client-side encryption, cloud service providers don’t have access to the encryption keys and cannot decrypt this data. 키에 대한 완벽한 제어를 유지합니다.You maintain complete control of the keys.

서버 쪽 암호화Server-side encryption

세 가지 서버 쪽 암호화 모델은 요구 사항에 따라 선택할 수 있는 서로 다른 키 관리 특성을 제공합니다.The three server-side encryption models offer different key management characteristics, which you can choose according to your requirements:

  • 서비스 관리 키: 낮은 오버헤드로 제어와 편의성을 모두 제공합니다.Service-managed keys: Provides a combination of control and convenience with low overhead.

  • 고객 관리 키: BYOK를 지원하거나 새 키를 생성하는 기능을 비롯하여 고객이 키를 제어할 수 있습니다.Customer-managed keys: Gives you control over the keys, including Bring Your Own Keys (BYOK) support, or allows you to generate new ones.

  • 고객 제어 하드웨어에서 서비스 관리 키: Microsoft의 제어 범위 밖에 있는 독점적인 리포지토리에서 키를 관리할 수 있습니다.Service-managed keys in customer-controlled hardware: Enables you to manage keys in your proprietary repository, outside of Microsoft control. 이 특성을 HYOK(Host Your Own Key)라고 합니다.This characteristic is called Host Your Own Key (HYOK). 그러나 구성이 복잡하고 대부분의 Azure 서비스는 이 모델을 지원하지 않습니다.However, configuration is complex, and most Azure services don’t support this model.

Azure Disk EncryptionAzure disk encryption

Windows BitLocker 기술과 Linux DM-Crypt를 사용하여 전체 볼륨 암호화로 운영 체제 디스크와 데이터 디스크를 모두 보호하는 Azure Disk Encryption으로 Windows 및 Linux 가상 머신을 보호할 수 있습니다.You can protect Windows and Linux virtual machines by using Azure disk encryption, which uses Windows BitLocker technology and Linux DM-Crypt to protect both operating system disks and data disks with full volume encryption.

암호화 키 및 비밀은 사용자의 Azure Key Vault 구독에서 보호됩니다.Encryption keys and secrets are safeguarded in your Azure Key Vault subscription. Azure Backup 서비스를 사용하여 KEK(키 암호화) 구성으로 암호화된 VM을 백업 및 복원할 수 있습니다.By using the Azure Backup service, you can back up and restore encrypted virtual machines (VMs) that use Key Encryption Key (KEK) configuration.

Azure Storage 서비스 암호화Azure Storage Service Encryption

Azure Blob 저장소와 Azure 파일 공유의 미사용 데이터는 서버 쪽 시나리오와 클라이언트 쪽 시나리오 모두에서 암호화할 수 있습니다.Data at rest in Azure Blob storage and Azure file shares can be encrypted in both server-side and client-side scenarios.

Azure SSE(Storage 서비스 암호화)는 데이터를 저장하기 전에 자동으로 암호화하고, 데이터를 검색할 때 자동으로 암호 해독할 수 있습니다.Azure Storage Service Encryption (SSE) can automatically encrypt data before it is stored, and it automatically decrypts the data when you retrieve it. 사용자는 이 프로세스를 전혀 인식하지 못합니다.The process is completely transparent to users. Storage Service Encryption은 가장 강력한 블록 암호 중 하나인 256비트 AES(Advanced Encryption Standard) 암호화를 사용합니다.Storage Service Encryption uses 256-bit Advanced Encryption Standard (AES) encryption, which is one of the strongest block ciphers available. AES는 암호화, 암호 해독 및 키 관리를 투명하게 처리합니다.AES handles encryption, decryption, and key management transparently.

Azure Blob의 클라이언트 쪽 암호화Client-side encryption of Azure blobs

다양한 방법으로 Azure BLOB의 클라이언트 쪽 암호화를 수행할 수 있습니다.You can perform client-side encryption of Azure blobs in various ways.

.NET NuGet 패키지용 Azure Storage 클라이언트 라이브러리를 사용하여 Azure 저장소에 데이터를 업로드하기 전에 클라이언트 응용 프로그램 내에서 데이터를 암호화할 수 있습니다.You can use the Azure Storage Client Library for .NET NuGet package to encrypt data within your client applications prior to uploading it to your Azure storage.

.NET NuGet 패키지용 Azure Storage 클라이언트 라이브러리에 대한 자세한 내용과 다운로드 방법은 Windows Azure Storage 8.3.0 문서를 참조하세요.To learn more about and download the Azure Storage Client Library for .NET NuGet package, see Windows Azure Storage 8.3.0.

Key Vault와 함께 클라이언트 쪽 암호화를 사용하면 Azure Storage 클라이언트 SDK로 생성되는 일회성 대칭 CEK(콘텐츠 암호화 키)를 사용하여 데이터가 암호화됩니다.When you use client-side encryption with Key Vault, your data is encrypted using a one-time symmetric Content Encryption Key (CEK) that is generated by the Azure Storage client SDK. CEK는 대칭 키 또는 비대칭 키 쌍 중 하나일 수 있는 KEK(키 암호화 키)를 사용하여 암호화됩니다.The CEK is encrypted using a Key Encryption Key (KEK), which can be either a symmetric key or an asymmetric key pair. 로컬로 관리하거나 Key Vault에 저장할 수 있습니다.You can manage it locally or store it in Key Vault. 암호화된 데이터는 그 후 Azure Storage에 업로드됩니다.The encrypted data is then uploaded to Azure Storage.

Key Vault를 사용한 클라이언트 쪽 암호화에 대해 자세히 알아보고 방법 지침을 시작하려면 자습서: Key Vault를 사용하여 Azure Storage에서 BLOB 암호화 및 암호 해독을 참조하세요.To learn more about client-side encryption with Key Vault and get started with how-to instructions, see Tutorial: Encrypt and decrypt blobs in Azure Storage by using Key Vault.

마지막으로 Java용 Azure Storage 클라이언트 라이브러리를 사용하여 Azure Storage에 데이터를 업로드하기 전에 클라이언트 쪽 암호화를 수행하고 클라이언트에 데이터가 다운로드될 때 암호 해독할 수 있습니다.Finally, you can also use the Azure Storage Client Library for Java to perform client-side encryption before you upload data to Azure Storage, and to decrypt the data when you download it to the client. 또한 이 라이브러리는 저장소 계정 키 관리를 위해 Key Vault와의 통합을 지원합니다.This library also supports integration with Key Vault for storage account key management.

Azure SQL Database에서 미사용 데이터 암호화Encryption of data at rest with Azure SQL Database

Azure SQL Database는 관계형 데이터, 공간, JSON 및 XML과 같은 구조를 지원하는 Azure의 범용 관계형 데이터베이스 서비스입니다.Azure SQL Database is a general-purpose relational database service in Azure that supports structures such as relational data, JSON, spatial, and XML. SQL Database는 TDE(투명한 데이터 암호화) 기능을 통한 서버 쪽 암호화와 Always Encrypted 기능을 통한 클라이언트 쪽 암호화를 모두 지원합니다.SQL Database supports both server-side encryption via the Transparent Data Encryption (TDE) feature and client-side encryption via the Always Encrypted feature.

투명한 데이터 암호화Transparent Data Encryption

TDE는 복구 중에 사용 가능하도록 데이터베이스 부트 레코드에 저장된 DEK(데이터베이스 암호화 키)를 사용하여 SQL Server, Azure SQL DatabaseAzure SQL Data Warehouse 데이터 파일을 실시간으로 암호화하는 데 사용됩니다.TDE is used to encrypt SQL Server, Azure SQL Database, and Azure SQL Data Warehouse data files in real time, using a Database Encryption Key (DEK), which is stored in the database boot record for availability during recovery.

TDE는 AES 및 3DES(Triple Data Encryption Standard) 암호화 알고리즘을 사용하여 데이터 및 로그 파일을 보호합니다.TDE protects data and log files, using AES and Triple Data Encryption Standard (3DES) encryption algorithms. 데이터베이스 파일의 암호화는 페이지 수준에서 수행됩니다.Encryption of the database file is performed at the page level. 암호화된 데이터베이스에서 페이지는 디스크에 기록되기 전에 암호화되고 메모리로 읽어올 때 암호 해독됩니다.The pages in an encrypted database are encrypted before they are written to disk and are decrypted when they’re read into memory. 기본적으로 TDE는 이제 새로 만든 Azure SQL 데이터베이스에서 사용하도록 설정됩니다.TDE is now enabled by default on newly created Azure SQL databases.

Always Encrypted 기능Always Encrypted feature

Azure SQL의 Always Encrypted 기능을 사용하면 클라이언트 응용 프로그램의 데이터를 Azure SQL Database에 저장하기 전에 암호화할 수 있습니다.With the Always Encrypted feature in Azure SQL you can encrypt data within client applications prior to storing it in Azure SQL Database. 또한 온-프레미스 데이터베이스 관리를 제3자에게 위임하여 데이터를 소유하고 볼 수 있는 사람과 데이터를 관리하지만 액세스할 수 없는 사람을 분리할 수 있습니다.You can also enable delegation of on-premises database administration to third parties and maintain separation between those who own and can view the data and those who manage it but should not have access to it.

셀 수준 또는 열 수준 암호화Cell-level or column-level encryption

Azure SQL Database를 사용하면 Transact-SQL을 사용하여 데이터 열에 대칭 암호화를 적용할 수 있습니다.With Azure SQL Database, you can apply symmetric encryption to a column of data by using Transact-SQL. 이 방식을 셀 수준 암호화 또는 CLE(열 수준 암호화)라고 합니다. 이 암호화를 사용하여 서로 다른 암호화 키를 사용하여 데이터의 특정 열 또는 특정 셀까지도 암호화할 수 있기 때문입니다.This approach is called cell-level encryption or column-level encryption (CLE), because you can use it to encrypt specific columns or even specific cells of data with different encryption keys. 이렇게 하면 페이지에서 데이터를 암호화하는 TDE보다 더 세분화된 암호화 기능이 제공됩니다.Doing so gives you more granular encryption capability than TDE, which encrypts data in pages.

CLE에는 대칭 또는 비대칭 키를 사용하고 인증서의 공개 키 또는 3DES를 사용하는 암호로 데이터를 암호화하는 데 사용할 수 있는 기본 제공 함수가 있습니다.CLE has built-in functions that you can use to encrypt data by using either symmetric or asymmetric keys, the public key of a certificate, or a passphrase using 3DES.

Cosmos DB 데이터베이스 암호화Cosmos DB database encryption

Azure Cosmos DB는 전 세계에 배포된 Microsoft의 멀티모델 데이터베이스입니다.Azure Cosmos DB is Microsoft's globally distributed, multi-model database. 비휘발성 저장소(반도체 드라이브)의 Cosmos DB에 저장된 사용자 데이터는 기본적으로 암호화됩니다.User data that's stored in Cosmos DB in non-volatile storage (solid-state drives) is encrypted by default. 이를 설정하거나 해제하는 컨트롤은 없습니다.There are no controls to turn it on or off. 저장 데이터 암호화는 보안 키 저장소 시스템, 암호화된 네트워크 및 암호화 API를 비롯한 수많은 보안 기술을 사용하여 구현되었습니다.Encryption at rest is implemented by using a number of security technologies, including secure key storage systems, encrypted networks, and cryptographic APIs. 암호화 키는 Microsoft에서 관리하며 Microsoft 내부 지침에 따라 순환됩니다.Encryption keys are managed by Microsoft and are rotated per Microsoft internal guidelines.

Data Lake의 미사용 암호화At-rest encryption in Data Lake

Azure Data Lake는 요구 사항이나 스키마의 공식 정의에 앞서 모든 형식의 데이터를 단일 위치에 수집하는 기업 전체의 리포지토리입니다.Azure Data Lake is an enterprise-wide repository of every type of data collected in a single place prior to any formal definition of requirements or schema. Data Lake Store는 계정 생성 중에 설정된 "기본적으로 켜져 있는" 미사용 데이터의 투명한 암호화를 지원합니다.Data Lake Store supports "on by default," transparent encryption of data at rest, which is set up during the creation of your account. 기본적으로 Azure Data Lake Store가 자동으로 키를 관리하지만, 사용자가 직접 관리할 수 있는 옵션이 제공됩니다.By default, Azure Data Lake Store manages the keys for you, but you have the option to manage them yourself.

세 가지 유형의 키가 데이터 암호화 및 암호 해독에 사용됩니다. 즉, MEK(마스터 암호화 키), DEK(데이터 암호화 키) 및 BEK(블록 암호화 키)입니다.Three types of keys are used in encrypting and decrypting data: the Master Encryption Key (MEK), Data Encryption Key (DEK), and Block Encryption Key (BEK). MEK는 영구 미디어에 저장된 DEK를 암호화하는 데 사용되며 BEK는 DEK 및 데이터 블록에서 파생됩니다.The MEK is used to encrypt the DEK, which is stored on persistent media, and the BEK is derived from the DEK and the data block. 사용자 고유 키를 관리하는 경우 MEK를 순환시킬 수 있습니다.If you are managing your own keys, you can rotate the MEK.

전송 중 데이터 암호화Encryption of data in transit

Azure에서는 데이터가 한 위치에서 다른 위치로 이동함에 따라 데이터를 비공개로 유지하기 위한 다양한 메커니즘을 제공합니다.Azure offers many mechanisms for keeping data private as it moves from one location to another.

Azure에서 TLS/SSL 암호화TLS/SSL encryption in Azure

Microsoft는 클라우드 서비스와 고객 간에 이동할 때 TLS(전송 계층 보안) 프로토콜을 사용하여 데이터를 보호합니다.Microsoft uses the Transport Layer Security (TLS) protocol to protect data when it’s traveling between the cloud services and customers. Microsoft 데이터 센터는 Azure 서비스에 연결되는 클라이언트 시스템과 TLS 연결을 협상합니다.Microsoft datacenters negotiate a TLS connection with client systems that connect to Azure services. TLS는 강력한 인증, 메시지 개인 정보 및 무결성(메시지 변조, 가로채기 및 위조의 검색 가능), 상호 운용성, 알고리즘 유연성, 배포 및 사용 편의성을 제공합니다.TLS provides strong authentication, message privacy, and integrity (enabling detection of message tampering, interception, and forgery), interoperability, algorithm flexibility, and ease of deployment and use.

PFS(Perfect Forward Secrecy)는 고유한 키로 고객의 클라이언트 시스템과 Microsoft 클라우드 서비스 간의 연결을 보호합니다.Perfect Forward Secrecy (PFS) protects connections between customers’ client systems and Microsoft cloud services by unique keys. 또한 연결은 RSA 기반 2,048비트 암호화 키 길이를 사용합니다.Connections also use RSA-based 2,048-bit encryption key lengths. 이러한 조합을 통해 누군가가 전송 중 데이터를 가로채거나 액세스하기 어렵게 할 수 있습니다.This combination makes it difficult for someone to intercept and access data that is in transit.

Azure Storage 트랜잭션Azure Storage transactions

Azure Portal을 통해 Azure Storage와 상호 작용하는 경우 모든 트랜잭션이 HTTPS를 통해 발생합니다.When you interact with Azure Storage through the Azure portal, all transactions take place over HTTPS. 또한 HTTPS를 통한 Storage REST API를 사용하여 Azure Storage와 상호 작용할 수 있습니다.You can also use the Storage REST API over HTTPS to interact with Azure Storage. 저장소 계정에 보안 전송을 사용하도록 설정하여 저장소 계정의 개체에 액세스하는 REST API를 호출할 때 HTTPS를 적용할 수 있습니다.You can enforce the use of HTTPS when you call the REST APIs to access objects in storage accounts by enabling the secure transfer that's required for the storage account.

Azure Storage 개체에 대한 액세스를 위임하는 데 사용할 수 있는 SAS(공유 액세스 서명)에는 공유 액세스 서명을 사용할 때 HTTPS 프로토콜만 사용할 수 있도록 지정하는 옵션이 포함됩니다.Shared Access Signatures (SAS), which can be used to delegate access to Azure Storage objects, include an option to specify that only the HTTPS protocol can be used when you use Shared Access Signatures. 이 방식은 SAS 토큰이 있는 링크를 보내는 모든 사용자가 적절한 프로토콜을 사용할 수 있습니다.This approach ensures that anybody who sends links with SAS tokens uses the proper protocol.

Azure 파일 공유에 액세스하는 데 사용되는 SMB 3.0은 암호화를 지원하며 Windows Server 2012 R2, Windows 8, Windows 8.1 및 Windows 10에서 사용할 수 있습니다.SMB 3.0, which used to access Azure Files shares, supports encryption, and it's available in Windows Server 2012 R2, Windows 8, Windows 8.1, and Windows 10. 지역 간 액세스 및 데스크톱 액세스도 허용합니다.It allows cross-region access and even access on the desktop.

클라이언트 쪽 암호화는 Azure Storage 인스턴스에 전송되기 전에 데이터를 암호화하므로 네트워크 간에 이동할 때 암호화됩니다.Client-side encryption encrypts the data before it’s sent to your Azure Storage instance, so that it’s encrypted as it travels across the network.

Azure 가상 네트워크를 통해 SMB 암호화SMB encryption over Azure virtual networks

Windows Server 2012 이상을 실행하는 VM에서 SMB 3.0을 사용하면 Azure Virtual Networks를 통해 전송되는 데이터를 암호화하여 데이터 전송 보안을 강화할 수 있습니다.By using SMB 3.0 in VMs that are running Windows Server 2012 or later, you can make data transfers secure by encrypting data in transit over Azure Virtual Networks. 데이터를 암호화하면 변조 및 도청 공격을 방어하는 데 도움이 됩니다.By encrypting data, you help protect against tampering and eavesdropping attacks. 관리자는 전체 서버 또는 특정 공유에만 SMB 암호화를 사용할 수 있습니다.Administrators can enable SMB encryption for the entire server, or just specific shares.

기본적으로 공유 또는 서버에 SMB 암호화를 사용하도록 설정한 후에는 SMB 3.0 클라이언트만 암호화된 공유에 액세스할 수 있습니다.By default, after SMB encryption is turned on for a share or server, only SMB 3.0 clients are allowed to access the encrypted shares.

VM의 전송 중 암호화In-transit encryption in VMs

Windows를 실행하는 VM 간에 전송되는 데이터는 연결 특성에 따라 다양한 방법으로 암호화됩니다.Data in transit to, from, and between VMs that are running Windows is encrypted in a number of ways, depending on the nature of the connection.

RDP 세션RDP sessions

Windows 클라이언트 컴퓨터 또는 RDP 클라이언트가 설치된 Mac에서 RDP(원격 데스크톱 프로토콜)를 사용하여 VM에 연결하고 로그인할 수 있습니다.You can connect and sign in to a VM by using the Remote Desktop Protocol (RDP) from a Windows client computer, or from a Mac with an RDP client installed. RDP 세션에서 네트워크를 통해 전송 중인 데이터는 TLS로 보호할 수 있습니다.Data in transit over the network in RDP sessions can be protected by TLS.

Azure에서 원격 데스크톱을 사용하여 Azure의 Linux VM에 연결할 수도 있습니다.You can also use Remote Desktop to connect to a Linux VM in Azure.

SSH로 Linux VM에 보안 액세스Secure access to Linux VMs with SSH

SSH(Secure Shell)를 사용하여 Azure에서 실행 중인 Linux VM에 연결하면 원격 관리가 가능합니다.For remote management, you can use Secure Shell (SSH) to connect to Linux VMs running in Azure. SSH는 안전하지 않은 연결을 통해 안전하게 로그인할 수 있도록 암호화된 연결 프로토콜입니다.SSH is an encrypted connection protocol that allows secure sign-ins over unsecured connections. Azure에서 호스팅되는 Linux VM에 대한 기본 연결 프로토콜입니다.It is the default connection protocol for Linux VMs hosted in Azure. 인증에 SSH 키를 사용하면 로그인 시 암호가 필요 없습니다.By using SSH keys for authentication, you eliminate the need for passwords to sign in. SSH는 인증에 공개/개인 키 쌍(비대칭 암호화)을 사용합니다.SSH uses a public/private key pair (asymmetric encryption) for authentication.

Azure VPN 암호화Azure VPN encryption

네트워크를 통해 전송되는 데이터의 개인 정보를 보호하기 위해 보안 터널을 만드는 가상 사설망을 통해 Azure에 연결할 수 있습니다.You can connect to Azure through a virtual private network that creates a secure tunnel to protect the privacy of the data being sent across the network.

Azure VPN 게이트웨이Azure VPN gateways

Azure VPN 게이트웨이는 공용 연결을 통해 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 전송하거나 가상 네트워크 간에 트래픽을 전송하는 데 사용할 수 있습니다.You can use an Azure VPN gateway to send encrypted traffic between your virtual network and your on-premises location across a public connection, or to send traffic between virtual networks.

사이트 간 VPN은 전송 암호화에 IPsec을 사용합니다.Site-to-site VPNs use IPsec for transport encryption. Azure VPN Gateway는 기본 제안 집합을 사용합니다.Azure VPN gateways use a set of default proposals. Azure 기본 정책 집합보다는 특정 암호화 알고리즘 및 키 강도를 사용하여 사용자 지정 IPsec/IKE 정책을 사용하도록 Azure VPN Gateway를 구성할 수 있습니다.You can configure Azure VPN gateways to use a custom IPsec/IKE policy with specific cryptographic algorithms and key strengths, rather than the Azure default policy sets.

지점 및 사이트 간 VPNPoint-to-site VPNs

지점 및 사이트 간 VPN을 통해 개별 클라이언트 컴퓨터에서 Azure 가상 네트워크에 액세스가 가능합니다.Point-to-site VPNs allow individual client computers access to an Azure virtual network. SSTP(Secure Socket Tunneling Protocol)는 VPN 터널을 만드는 데 사용됩니다.The Secure Socket Tunneling Protocol (SSTP) is used to create the VPN tunnel. 방화벽을 트래버스할 수 있습니다(터널은 HTTPS 연결로 표시됨).It can traverse firewalls (the tunnel appears as an HTTPS connection). 지점 및 사이트 간 연결에 사용자 고유의 내부 PKI(공개 키 인프라) 루트 CA(인증 기관)를 사용할 수 있습니다.You can use your own internal public key infrastructure (PKI) root certificate authority (CA) for point-to-site connectivity.

인증서 인증 또는 PowerShell을 사용하여 Azure Portal에서 가상 네트워크에 지점 및 사이트 간 VPN 연결을 구성할 수 있습니다.You can configure a point-to-site VPN connection to a virtual network by using the Azure portal with certificate authentication or PowerShell.

지점 및 사이트 간 VPN으로 Azure 가상 네트워크에 연결하는 방법에 대한 자세한 내용은 다음 항목을 참조하세요.To learn more about point-to-site VPN connections to Azure virtual networks, see:

인증서 인증을 사용하여 가상 네트워크에 지점 및 사이트 간 연결 구성: Azure PortalConfigure a point-to-site connection to a virtual network by using certification authentication: Azure portal

인증서 인증을 사용하여 가상 네트워크에 지점 및 사이트 간 연결 구성: PowerShellConfigure a point-to-site connection to a virtual network by using certificate authentication: PowerShell

사이트 간 VPNSite-to-site VPNs

사이트 간 VPN 게이트웨이 연결을 사용하여 IPsec/IKE(IKEv1 또는 IKEv2) VPN 터널을 통해 온-프레미스 네트워크를 Azure 가상 네트워크에 연결할 수 있습니다.You can use a site-to-site VPN gateway connection to connect your on-premises network to an Azure virtual network over an IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. 이 연결 유형은 외부 연결 공용 IP 주소가 할당된 온-프레미스 VPN 장치가 필요합니다.This type of connection requires an on-premises VPN device that has an external-facing public IP address assigned to it.

Azure Portal, PowerShell 또는 Azure CLI를 사용하여 가상 네트워크에 사이트 간 VPN 연결을 구성할 수 있습니다.You can configure a site-to-site VPN connection to a virtual network by using the Azure portal, PowerShell, or Azure CLI.

자세한 내용은 다음을 참조하세요.For more information, see:

Azure Portal에서 사이트 간 연결 만들기Create a site-to-site connection in the Azure portal

PowerShell에서 사이트 간 연결 만들기Create a site-to-site connection in PowerShell

CLI를 사용하여 사이트 간 VPN 연결로 가상 네트워크 만들기Create a virtual network with a site-to-site VPN connection by using CLI

Data Lake의 전송 중 암호화In-transit encryption in Data Lake

전송되는 데이터(즉, 동작 중인 데이터)는 항상 Data Lake Store에서 암호화됩니다.Data in transit (also known as data in motion) is also always encrypted in Data Lake Store. 영구 미디어에 저장하기 전에 데이터를 암호화하는 것 외에도, 전송 중에도 HTTPS를 사용하여 데이터를 항상 안전하게 보호합니다.In addition to encrypting data prior to storing it in persistent media, the data is also always secured in transit by using HTTPS. HTTPS는 Data Lake Store REST 인터페이스에 지원되는 유일한 프로토콜입니다.HTTPS is the only protocol that is supported for the Data Lake Store REST interfaces.

Data Lake의 전송 중 데이터 암호화에 대한 자세한 내용은 Data Lake Store의 데이터 암호화를 참조하세요.To learn more about encryption of data in transit in Data Lake, see Encryption of data in Data Lake Store.

Key Vault으로 키 관리Key management with Key Vault

키를 적절하게 보호 및 관리하지 않으면 암호화가 쓸모 없게 렌더링됩니다.Without proper protection and management of the keys, encryption is rendered useless. Key Vault는 클라우드 서비스에 사용되는 암호화 키에 대한 액세스를 관리 및 제어할 수 있는 Microsoft의 권장 솔루션입니다.Key Vault is the Microsoft-recommended solution for managing and controlling access to encryption keys used by cloud services. Azure Active Directory 계정을 통해 키에 액세스하기 위한 권한을 서비스 또는 사용자에게 할당할 수 있습니다.Permissions to access keys can be assigned to services or to users through Azure Active Directory accounts.

Key Vault는 조직이 HSM(하드웨어 보안 모듈) 및 키 관리 소프트웨어를 구성, 패치, 유지 관리해야 하는 부담을 덜어줍니다.Key Vault relieves organizations of the need to configure, patch, and maintain hardware security modules (HSMs) and key management software. Key Vault를 사용하면 제어가 유지됩니다.When you use Key Vault, you maintain control. Microsoft는 키를 절대로 볼 수 없고 응용 프로그램은 키에 직접 액세스할 수 없습니다.Microsoft never sees your keys, and applications don’t have direct access to them. 또한 HSM에서 키를 가져오거나 생성할 수도 있습니다.You can also import or generate keys in HSMs.

다음 단계Next steps