Azure 키 자격 증명 모음(SQL Server)을 사용한 확장 가능 키 관리Extensible Key Management Using Azure Key Vault (SQL Server)

이 항목 적용 대상: 예SQL Server없습니다Azure SQL 데이터베이스없습니다Azure SQL 데이터 웨어하우스 없습니다 병렬 데이터 웨어하우스THIS TOPIC APPLIES TO: yesSQL ServernoAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse

MicrosoftMicrosoft Azure 주요 자격 증명 모음용 SQL ServerSQL Server 커넥터는 SQL ServerSQL Server 암호화를 사용하도록 설정하여 Azure 주요 자격 증명 모음 서비스를 확장 가능 키 관리 (EKM) 공급자로 활용함으로써 SQL ServerSQL Server 암호화 키를 보호합니다.The SQL ServerSQL Server Connector for MicrosoftMicrosoft Azure Key Vault enables SQL ServerSQL Server encryption to use the Azure Key Vault service as an Extensible Key Management (EKM) provider to protect SQL ServerSQL Server encryption keys.

이 항목에서는 SQL ServerSQL Server 커넥터를 설명합니다.This topic describes the SQL ServerSQL Server connector. 추가 정보는 Azure 주요 자격 증명 모음을 사용한 확장 가능 키 관리 설정 단계, SQL 암호화 기능을 통해 SQL Server 커넥터 사용SQL Server 커넥터 유지 관리 및 문제 해결에서 확인할 수 있습니다.Additional information is available in Setup Steps for Extensible Key Management Using the Azure Key Vault, Use SQL Server Connector with SQL Encryption Features, and SQL Server Connector Maintenance & Troubleshooting.

EKM(확장 가능 키 관리)의 정의 및 사용하는 이유What is Extensible Key Management (EKM) and Why Use it?

SQL ServerSQL ServerTDE(투명한 데이터 암호화), CLE(열 수준 암호화) 및 백업 암호화 등 중요한 데이터를 보호하는 데 도움이 되는 여러 유형의 암호화를 제공합니다. provides several types of encryption that help protect sensitive data, including Transparent Data Encryption (TDE), Column Level Encryption (CLE), and Backup Encryption. 이러한 모든 암호화에서는 이 기존의 키 계층에서 데이터가 DEK(대칭 데이터 암호화 키)를 사용하여 암호화됩니다.In all of these cases, in this traditional key hierarchy, the data is encrypted using a symmetric data encryption key (DEK). 이 대칭 데이터 암호화 키는 SQL ServerSQL Server에 저장된 키의 계층 구조로 암호화하여 추가적으로 보호하게 됩니다.The symmetric data encryption key is further protected by encrypting it with a hierarchy of keys stored in SQL ServerSQL Server. 이 모델 대신, 다른 모델로 EKM 공급자 모델이 있습니다.Instead of this model, the alternative is the EKM Provider Model. EKM 공급자 아키텍처를 사용하면 SQL ServerSQL Server 에서는 외부 암호화 공급자에 있는 SQL ServerSQL Server 의 외부에 저장된 비대칭 키를 사용하여 데이터 암호화 키를 보호합니다.Using the EKM provider architecture enables SQL ServerSQL Server to protect the data encryption keys by using an asymmetric key stored outside of SQL ServerSQL Server in an external cryptographic provider. 이 모델은 추가 보안 계층을 추가하고 키와 데이터의 관리를 구분합니다.This model adds an additional layer of security and separates the management of keys and data.

다음 이미지는 기존 서비스 관리 키 계층과 Azure 주요 자격 증명 모음 시스템을 비교합니다.The following image compares the traditional service-manage key hierarchy with the Azure Key Vault system.

ekm-key-hierarchy-traditionalekm-key-hierarchy-traditional

SQL ServerSQL Server 커넥터는 SQL ServerSQL Server 및 Azure 주요 자격 증명 모음 간 브리지 역할을 하므로 SQL ServerSQL Server 은(는) Azure 주요 자격 증명 모음 서비스의 확장성, 고성능 및 고가용성을 활용할 수 있습니다.The SQL ServerSQL Server Connector serves as a bridge between SQL ServerSQL Server and Azure Key Vault, so SQL ServerSQL Server can leverage the scalability, high performance, and highly availability of the Azure Key Vault service. 다음 이미지는 키 계층이 Azure 주요 자격 증명 모음 및 SQL ServerSQL Server 커넥터를 사용하여 EKM 공급자 아키텍처에서 작동하는 방법을 보여 줍니다.The following image represents how the key hierarchy works in the EKM provider architecture with Azure Key Vault and SQL ServerSQL Server Connector.

Azure 주요 자격 증명 모음은 SQL ServerSQL Server Azure 가상 컴퓨터의 MicrosoftMicrosoft 설치와 함께 온-프레미스 서버용으로 사용할 수 있습니다.Azure Key Vault can be used with SQL ServerSQL Server installations on MicrosoftMicrosoft Azure Virtual Machines and for on-premises servers. 키 자격 증명 모음 서비스에서는 더 높은 수준의 비대칭 암호화 키 보호를 위해 세부적인 제어 및 모니터링이 이루어지는 HSM(하드웨어 보안 모듈)을 사용할 수도 있습니다.The key vault service also provides the option to use tightly controlled and monitored Hardware Security Modules (HSMs) for a higher level of protection for asymmetric encryption keys. 주요 자격 증명 모음에 대한 자세한 내용은 Azure 주요 자격 증명 모음을 참조하세요.For more information about the key vault, see Azure Key Vault.

다음 이미지에 키 자격 증명 모음을 사용한 EKM의 프로세스 흐름이 요약되어 있습니다.The following image summarizes the process flow of EKM using the key vault. 이미지의 프로세스 단계 번호는 이미지에서 설명하는 설정 단계 번호와 일치하지 않습니다.(The process step numbers in the image are not meant to match the setup step numbers that follow the image.)

Azure Key Vault를 사용하는 SQL Server EKMSQL Server EKM using the Azure Key Vault

참고

1.0.0.440 및 이전 버전은 대체되었으며 프로덕션 환경에서 더 이상 지원되지 않습니다.Versions 1.0.0.440 and older have been replaced and are no longer supported in production environments. Microsoft 다운로드 센터 를 방문하고 "SQL Server 커넥터 업그레이드"의 SQL Server Connector Maintenance & Troubleshooting 페이지에 있는 지침을 사용하여 1.0.1.0 또는 이후 버전으로 업그레이드하세요.Upgrade to version 1.0.1.0 or later by visiting the Microsoft Download Center and using the instructions on the SQL Server Connector Maintenance & Troubleshooting page under “Upgrade of SQL Server Connector.”

다음 단계에 대해서는 Azure 주요 자격 증명 모음을 사용한 확장 가능 키 관리 설정 단계를 참조하세요.For the next step, see Setup Steps for Extensible Key Management Using the Azure Key Vault.

사용 시나리오에 대해서는 SQL 암호화 기능을 통해 SQL Server 커넥터 사용을 참조하세요.For use scenarios, see Use SQL Server Connector with SQL Encryption Features.

참고 항목See Also

SQL Server 커넥터 유지 관리 및 문제 해결SQL Server Connector Maintenance & Troubleshooting