Microsoft Cloud for Sovereignty의 키 관리 및 인증서 관리
암호화 인증 및 암호화는 기밀성, 개인 정보 보호 및 데이터 주권 요구 사항을 충족하기 위한 효과적인 전략입니다. 그러나 이러한 솔루션의 효율성은 기본 암호화 기술 및 운영 프로세스의 보안과 탄력성에 달려 있습니다. 이 문서에서는 클라우드로 마이그레이션하는 워크로드를 보호하기 위해 암호화 키와 디지털 인증서를 사용하도록 계획할 때 숙지해야 할 개념을 소개합니다.
키 관리
암호화 자료는 다중 테넌트 및 단일 테넌트 배포 모드에서 모두 사용할 수 있는 Azure Key Vault를 사용하여 Azure에 저장되고 관리됩니다. AKV(Azure Key Vault)는 FIPS 140 검증 하드웨어 보안 모듈이 지원하는 다중 테넌트 서비스에서 클라우드 기본 키, 비밀 및 인증서 관리를 제공합니다. Azure Key Vault 관리형 HSM은 조직의 보안 도메인 및 관련 암호화 키에 대한 완전한 관리 제어 기능을 제공하는 단일 테넌트 서비스입니다.
효과적인 키 관리를 위한 권장 사항
플랫폼 제어는 필수적이지만 효과적인 키 관리의 유일한 측면은 아닙니다. Microsoft는 또한 효과적인 키 관리를 위한 몇 가지 모범 사례를 제시합니다.
액세스 제어
Azure Key Vault의 표준 또는 프리미엄 SKU를 사용하는 경우 최소 권한을 적용하기 위해 애플리케이션, 환경 및 지역당 하나의 자격 증명 모음을 배포하는 것이 좋습니다. 관리형 HSM을 사용하는 경우 비용 관리를 위해 더 적은 수의 중앙 집중식 저장소를 배포하는 것이 더 나을 수 있습니다. 배포하는 SKU에 관계없이 RBAC(역할 기반 액세스 제어)를 사용하여 저장소 액세스를 엄격하게 규제하고 각 저장소 내의 액세스 정책이 최소 권한 원칙을 준수하는지 확인해야 합니다. Azure RBAC 미리 정의된 역할을 사용하여 구독, 리소스 그룹 또는 특정 키 자격 증명 모음과 같은 특정 범위의 사용자, 그룹 및 애플리케이션에 액세스 권한을 부여하는 것이 좋습니다. 액세스 제어는 관리 및 데이터 영역에서 매우 중요하며 권장되는 사항입니다.
백업 및 복구
HSM 수준에서 특정 키에 대해 정기적인 백업이 필요합니다. 우발적이거나 악의적인 삭제를 방지하기 위해 일시 삭제 및 제거 보호 기능을 구성하는 것이 좋습니다. 관리형 HSM과 완전히 통합된 Azure Monitor는 모니터링 및 키 자격 증명 모음에 대한 액세스 로깅에 권장됩니다. 자세한 내용은 Azure 관리되는 HSM 모범 사례를 참조하세요.
키 교체
조직의 정책에 따라 결정된 빈도에 따라 고객 관리형 키(CMK)의 정기적인 교체가 수행되는지 확인하십시오. 키 액세스 권한이 있는 관리자가 역할을 떠나거나 변경하는 경우 또는 CMK가 손상된 경우에도 키를 교체해야 합니다. 자동 교체는 Azure Key Vault 및 Azure 관리되는 HSM을 통해 지원됩니다. 가능하다면 교체 프로세스가 자동화되고, 사람의 상호 작용 없이 실행되며, 테스트를 통해 효율성을 보장합니다. 키 손상과 같은 긴급 상황에서는 비밀을 즉시 재생성할 수 있는 강력한 시스템이 필요합니다. 이 프로세스를 자동화할 수 없는 경우 인증서 만료 및 중단을 방지하기 위해 경고를 설정하는 것이 좋습니다.
노트
기밀 VM에 대한 CMK 교체는 지원되지만 자동화 프로세스는 아직 지원되지 않습니다. 여기에서 더 많은 권장사항을 볼 수 있습니다.
HSM 관련 권장 사항
일부 고객은 타사 클라우드 또는 온-프레미스의 외부 HSM에 키를 저장하여 키를 데이터와 별도로 유지하는 데 관심을 나타냅니다. 이 단계는 온-프레미스 환경 관리에서 자연스러운 전환으로 보일 수 있지만 외부 HSM은 ID, 네트워크 및 소프트웨어 계층에서 새로운 위험을 초래할 수 있습니다. 외부 HSM은 성능 위험을 증가시키고 대기 시간을 유발하는 네트워크 문제, 타사 HSM 문제로 인해 발생하는 SLA 문제, 유지 관리 및 교육 비용과 같은 문제를 야기할 수도 있습니다. 또한 타사 HSM은 일시 삭제 및 제거 보호와 같은 중요한 기능을 제공하지 않을 수 있습니다.
적절한 키 관리 방식을 시행하기 위한 SLZ(소버린 랜딩 존)에 내장된 기술 제어에 대한 자세한 내용은 정책 포트폴리오를 참조하세요.
인증서 관리
디지털 보안 인증서는 클라우드 애플리케이션의 통신을 보호하는 데 널리 사용됩니다. 더 많은 워크로드가 클라우드로 마이그레이션됨에 따라 인증서 발급, 순환, 취소를 포함한 인증서 관리 활동과 관련된 오버헤드가 빠르게 증가할 수 있습니다. 워크로드를 Microsoft Cloud for Sovereignty로 마이그레이션하려는 고객은 클라우드 마이그레이션의 일부로 인증서 관리 계획을 개발할 수 있도록 디지털 보안 인증서 시나리오를 이해해야 합니다.
일반적인 디지털 인증서 시나리오
이 섹션에서는 디지털 인증서를 사용하여 통신을 보호하는 일반적인 클라우드 시나리오에 대해 설명합니다.
웹사이트 인증 및 암호화
웹사이트에서는 TLS 인증서를 사용하여 방문자의 ID를 확인하고 통신을 암호화합니다. 공용 웹사이트는 일반적으로 공용 인증 기관(CA)의 인증서를 사용하지만, 조직에서는 대중에게 공개되지 않는 웹사이트에 사설 CA의 인증서를 사용하는 경우가 많습니다. 두 경우 모두 웹 사이트 인증서는 만료되거나 인증서 무결성에 문제가 있을 때 갱신해야 합니다. 대규모 웹 사이트를 운영하는 조직의 경우 이러한 인증서를 관리하려면 상당한 계획과 노력이 필요할 수 있습니다.
서비스 인증
분산 애플리케이션과 마이크로서비스는 애플리케이션 요청을 유연하게 처리할 수 있는 무상태 세션 모델을 사용하는 경우가 많지만 보안 위험을 완화하기 위해 추가 인증 및 암호화가 필요할 수도 있습니다. 인증서는 애플리케이션 계층과 구성 요소 간의 상호 인증에 사용되는 경우가 많습니다. 종종 이러한 구성 요소는 분산된 애플리케이션 개발 팀에 의해 관리되므로 기업 전체에서 디지털 인증서 관리를 추적하고 모니터링하기가 어렵습니다.
인프라 인증
서버와 네트워크 장치는 회사 네트워크 전반에 걸친 인증과 유지 관리 활동 중에 클라이언트 인증서를 사용하는 경우가 많습니다. Active Directory 또는 Kerberos와 같은 솔루션을 사용하는 조직은 일반적으로 배포된 인프라에 대한 클라이언트 인증서를 관리해야 합니다.
기타 인증서 시나리오
엔드포인트 관리 솔루션은 장치 인증서를 사용하여 PC, 노트북, 모바일 장치와 같은 최종 사용자 장치를 인증하는 경우가 많습니다. 코드 서명 인증서는 조직의 애플리케이션 보안 접근 방식의 일부로 소프트웨어 게시자를 확인하기 위해 개발 환경에서 사용됩니다.
클라우드에서의 인증서 수명 주기 관리
플랫폼 관리형 인증서와 고객 관리형 인증서
전송 중인 데이터에 대한 암호화를 제공하는 Azure PaaS 서비스는 일반적으로 플랫폼에서 관리하고 리소스 생성 시 할당된 기본 호스트 이름과 연결된 디지털 인증서를 사용하여 암호화를 구현합니다. 클라우드에 배포하는 리소스에 사용자 지정 도메인 이름을 사용하려면 외부 사용자가 서비스에 액세스할 때 사용할 수 있는 인증서를 구성해야 합니다. 사용자 지정 도메인 이름을 사용하도록 구성되지 않은 Azure 서비스 간의 서비스 내 통신의 경우 플랫폼 관리형 인증서는 전송 중인 데이터를 암호화하는 기본 수단입니다. 사용자 지정 도메인 이름과 연결된 인증서를 사용하려면 다음 예제와 같이 배포하려는 Azure 서비스에 대한 설명서를 참조하세요.
Azure Key Vault를 사용하여 인증서 만들기
Azure Key Vault는 고객이 만들거나 가져오는 인증서를 Azure 플랫폼에서 사용할 수 있도록 하는 클라우드 기반 인증서 관리 기능을 고객에게 제공합니다. Key Vault에서 자체 서명된 인증서를 만들거나, 발급자에게 인증서를 요청하거나, 자체 인증 기관에서 인증서를 가져올 수 있습니다. 또한 Key Vault는 인증서를 내보낼 수 있는지 또는 내보낼 수 없는지 여부와 같은 인증서에 대한 정책을 지정하는 데도 도움이 됩니다.
온-프레미스 인증서를 만들고 Azure에서 관리
온-프레미스 인증 기관에서 인증서를 발급하려는 경우 다른 Azure 서비스에서 사용할 수 있도록 해당 인증서를 Azure Key Vault로 가져올 수 있습니다. 인증서를 PEM 또는 PFX 파일로 내보낸 후 Azure Key Vault로 가져올 수 있습니다.
타사 솔루션을 사용하여 인증서 온-프레미스 만들기 및 관리
이미 엔터프라이즈급 인증서 관리 기능을 갖춘 조직은 온-프레미스 솔루션을 클라우드의 워크로드와 통합할지 여부를 고려할 수 있습니다. 많은 온-프레미스 인증 기관 및 인증서 관리 솔루션은 REST API 및 관리 ID를 사용하여 Key Vault와 통합할 수 있습니다.
분산형 인증서 관리
조직의 인증서 관리 기능을 확장하는 한 가지 접근 방식은 인증서 발급 및 관리를 애플리케이션 및 인프라 팀으로 분산시키는 것입니다. Azure Key Vault와 같은 솔루션을 사용하면 조직은 단일 운영 팀에서 이러한 키 관리 프로세스를 중앙 집중화하지 않고도 허용 가능한 키 관리 기술 및 프로세스를 표준화할 수 있습니다. 주요 관리 책임을 애플리케이션 및 인프라 팀에 더 가깝게 위임하기 위해 여러 가지 전략을 사용할 수 있습니다.
관리형 인증서
공용 인증 기관의 인증서가 필요한 공용 웹 사이트는 Azure App Service 또는 Azure Front Door와 같은 Azure PaaS 서비스의 관리형 인증서를 활용할 수 있습니다. 통합 인증 기관의 인증서는 Azure Key Vault에서 생성, 관리 및 순환될 수도 있습니다. 자세한 내용은 다음 리소스를 참조하세요.
CI/CD 파이프라인에서 인증서 발급 자동화
Dev/Ops 프로세스를 채택한 조직은 CI/CD 파이프라인의 일부로 인증서 발급을 자동화할 수 있습니다. 이 접근 방식을 사용하면 일부 인증서 관리 책임을 애플리케이션 팀에 위임하고 Azure DNS, Azure App Service 및 Azure Key Vault와 같은 기본 Azure 서비스를 사용하여 자체 인증서를 프로비전할 수 있습니다.
엔드포인트 인증서 관리
엔드포인트 인증서는 서버와 서비스가 인증을 위해 인증서를 사용하는 IaaS 워크로드에 사용됩니다. 이 시나리오는 가상 머신과 연결되어 있으므로 조직은 가상 머신 구성을 관리하는 데 사용되는 동일한 구성 관리 도구 또는 빌드 자동화 도구를 사용하여 이러한 인증서를 관리할 수 있습니다.