수출 통제에 대한 Azure 지원
수출 통제 규정을 탐색하는 데 도움을 드리기 위해 Microsoft는 Microsoft Azure 수출 통제 백서를 게시했습니다. 여기에서는 특히 소프트웨어 및 기술 데이터에 적용되는 미국 수출 통제를 설명하고, 수출 통제 위험의 잠재적인 원인을 검토하며, 이러한 통제에 따른 의무를 평가하는 데 도움이 되는 특정 지침을 제공합니다. 추가 정보는 클라우드 수출 FAQ에서 확인할 수 있습니다. 여기에는 Microsoft 제품 수출에 관한 질문과 대답에서 액세스할 수 있습니다.
참고 항목
면책 조항: 사용자는 모든 관련 법률과 규정을 자체적으로 준수할 책임이 있습니다. 이 문서에 제공된 정보는 법률 자문을 구성하지 않으며 규정 준수와 관련된 문의 사항은 법률 고문에게 문의해야 합니다.
수출통제법 개요
수출 관련 정의는 다양한 수출 통제 규정에 따라 다소 차이가 있습니다. 간단히 말해 수출은 제한된 정보, 재료, 장비, 소프트웨어 등을 어떠한 수단으로든 외국인에게 또는 외국 목적지로 이송하는 것을 의미합니다. 미국의 수출 통제 정책은 주로 상무부, 국무부, 에너지부, 원자력 규제위원회, 재무부에서 관리하는 수출 통제 법률 및 규정을 통해 시행됩니다. 각 부서 내 개별 기관은 표 1과 같이 과거 행정에 따라 특정 수출 통제 분야를 담당합니다.
표 1. 미국 수출 통제 법률 및 규정
규제 기관 | 법률/규정 | 참조 |
---|---|---|
상무부: BIS(산업안보국) |
- 1979년 EAA(수출관리법) - EAR(수출관리규정) |
- P.L. 96-72 - 15 CFR Parts 730 – 774 |
국무부: DDTC(국방무역통제국) |
- AECA(무기수출통제법) - ITAR(국제무기거래규정) |
- 22 U.S.C. 39 - 22 CFR Parts 120 – 130 |
에너지부: NNSA(국가핵안보국) |
- 1954년 원자력법(AEA) - 외국 원자력 활동 지원 |
- 42 U.S.C. 2011 이하 참조 - 10 CFR Part 810 |
NRC(원자력 규제 위원회) | - 1978년 핵확산금지법 - 원자력 장비 및 자재 수출입 |
- P.L. 95-242 - 10 CFR Part 110 |
재무부: OFAC(해외 자산 통제국) |
- TWEA(적성국교역법) - 해외자산통제규정 |
- 50 U.S.C. 제5항 및 제16항 - 31 CFR Part 500 |
이 문서에는 현재 미국 수출통제규정, 클라우드 컴퓨팅에 대한 고려 사항, 수출 통제 요구 사항을 지원하는 Azure 기능 및 약정에 대한 검토가 포함되어 있습니다.
EAR
미국 상무부는 BIS(산업안보국)를 통해 수출관리규정을 시행할 책임이 있습니다. BIS 정의에 따르면, 수출은 보호되는 기술 또는 정보를 외국 목적지로 이송하거나 보호되는 기술 또는 정보를 미국 내 외국인에게 공개하는 것입니다. 이는 간주 수출이라고도 합니다. EAR가 적용되는 품목은 CCL(상거래 통제 목록)에서 확인할 수 있으며, 각 품목에는 고유한 ECCN(수출 통제 분류 번호)이 할당되어 있습니다. CCL에 나열되지 않은 품목은 EAR99로 지정되며, 대부분의 EAR99 상용 수출 시 라이선스가 필요하지 않습니다. 그러나 목적지, 최종 사용자 또는 품목의 최종 사용에 따라 EAR99 품목에도 BIS 수출 라이선스가 필요할 수도 있습니다.
EAR는 상업용/군용으로 모두 사용되는 이중 사용 품목과 순전히 상업용으로 사용되는 품목에 적용됩니다. BIS는 고객의 클라우드 서비스 사용으로 인해 CSP(클라우드 서비스 공급자)가 고객의 데이터를 수출하지 않는다는 지침을 제공했습니다. 또한 2016년 6월 3일에 발표된 최종 규칙에서 BIS는 분류되지 않은 기술 데이터 및 소프트웨어의 전송/저장 시 유효성이 검사된 FIPS(연방 정보처리표준) 140 암호화 모듈을 사용하여 엔드투엔드 암호화되고 군사 수출이 금지된 국가/지역, 즉 EAR 파트 740의 추록 1호에 설명된 국가/지역 그룹 D:5 또는 러시아 연방에 의도적으로 저장하지 않은 경우 EAR 라이선스 요구 사항이 적용되지 않는다는 점을 명확히 했습니다. 미국 상무부는 데이터 또는 소프트웨어를 클라우드에 업로드하는 경우 클라우드 공급자가 아닌 고객이 해당 데이터 또는 소프트웨어의 전송, 저장, 액세스 시 EAR을 준수함을 보장할 책임이 있는 수출업자임을 분명히 밝혔습니다.
Azure와 Azure Government는 모두 EAR 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다. 홍콩 특별 행정구의 Azure 지역을 제외하고 Azure 및 Azure Government 데이터 센터는 금지된 국가/지역 또는 러시아 연방에 위치하지 않습니다.
Azure 서비스는 기본 운영 체제에서 유효성이 검사된 FIPS 140 암호화 모듈을 사용하며, Azure Key Vault를 이용하는 암호화 키 관리를 비롯해 전송 중, 미사용 데이터를 암호화하기 위한 여러 가지 옵션을 제공합니다. Key Vault 서비스는 CMK(고객 관리형 키)라고도 하는 유효성이 검사된 FIPS 140 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. Azure Key Vault HSM 내에서 생성된 키는 내보낼 수 없습니다. HSM 외부에는 일반 텍스트 버전의 키가 있을 수 없습니다. 이 바인딩은 기본 HSM을 통해 적용됩니다. Azure Key Vault는 Microsoft 및 해당 에이전트가 암호화 키를 보거나 추출하지 못하도록 설계되어 배포, 운영됩니다. 추가 보증은 Azure Key Vault에서 키를 보호하는 방법을 참조하세요.
애플리케이션과 데이터를 배포하기 위한 Azure 또는 Azure Government 지역을 선택할 책임은 사용자에게 있습니다. 또한 EAR 요구 사항을 충족하는 엔드투엔드 데이터 암호화를 적용하도록 애플리케이션을 설계할 책임도 사용자에게 있습니다. Microsoft는 Azure 또는 Azure Government에 배포된 애플리케이션을 검사, 승인하거나 모니터링하지 않습니다.
Azure Government는 미국 내 고객 데이터 저장에 관한 계약상의 약정을 통해 추가로 보호하고, 사용자 데이터 처리 시스템에 잠재적으로 액세스할 수 있는 사람은 선별된 미국인으로 제한합니다. EAR에 대한 자세한 Azure 지원 정보는 Azure EAR 규정 준수 제안을 참조하세요.
ITAR
미국 국무부는 DDTC(국방무역통제국)에서 관리하는 ITAR(국제무기거래규정)에 의거하여 국방 문서, 서비스 및 관련 기술에 대한 수출 통제 권한을 보유합니다. ITAR 보호 품목은 USML(미국 군수 목록)에 설명되어 있습니다. USML에 정의된 대로 사용자가 방어 문서, 서비스 및 관련 기술의 제조업체, 수출업자, 브로커인 경우 DDTC에 등록하고 ITAR을 이해 및 준수해야 하며 ITAR에 따라 운영함을 자가 증명해야 합니다.
DDTC는 EAR과 더욱 밀접하게 일치하도록 2020년 3월 25일 자로 ITAR 규칙을 개정했습니다. 이러한 ITAR 개정판에는 미국 상무부가 2016년 EAR에 채택한 것과 동일한 용어가 많이 포함된 엔드투엔드 데이터 암호화 분할이 도입되었습니다. 특히 개정된 ITAR 규칙에서는 수출, 재수출, 재이전 또는 임시 수입을 구성하지 않는 활동(다른 활동 중)에 1) 분류되지 않고, 2) 엔드투엔드 암호화를 사용해 보호되며, 3) 규정에 명시된 FIPS 140 규정 준수 암호화 모듈을 사용해 보호되고, 4) § 126.1에 금지된 국가/지역 또는 러시아 연방에 저장되거나 여기에 있는 사람에게 의도적으로 전송하지 않고, 5) § 126.1에 금지된 국가/지역 또는 러시아 연방에서 전송하지 않은 기술 데이터를 전송, 저장하거나 가져오는 일이 포함된다고 명시되어 있습니다. 또한 DDTC는 인터넷을 통해 전송 중인 데이터가 저장된 것으로 간주되지 않음을 분명히 했습니다. 엔드투엔드 암호화는 발신자와 의도된 수신자 간에 데이터가 항상 암호화된 상태로 유지되고, 암호 해독 수단이 타사에 제공되지 않음을 의미합니다.
ITAR 규정 준수 인증은 없습니다. 그러나 Azure와 Azure Government는 모두 ITAR 규정 준수 의무를 충족하는 데 도움이 될 수 있습니다. 홍콩 특별 행정구의 Azure 지역을 제외하고 Azure 및 Azure Government 데이터 센터는 금지된 국가/지역 또는 러시아 연방에 위치하지 않습니다. Azure 서비스는 기본 운영 체제에서 유효성이 검사된 FIPS 140 암호화 모듈을 사용하며, Azure Key Vault를 이용하는 암호화 키 관리를 비롯해 전송 중, 미사용 데이터를 암호화하기 위한 여러 가지 옵션을 제공합니다. Key Vault 서비스는 CMK(고객 관리형 키)라고도 하는 유효성이 검사된 FIPS 140 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. Azure Key Vault HSM 내에서 생성된 키는 내보낼 수 없습니다. HSM 외부에는 일반 텍스트 버전의 키가 있을 수 없습니다. 이 바인딩은 기본 HSM을 통해 적용됩니다. Azure Key Vault는 Microsoft 및 해당 에이전트가 암호화 키를 보거나 추출하지 못하도록 설계되어 배포, 운영됩니다. 추가 보증은 Azure Key Vault에서 키를 보호하는 방법을 참조하세요.
애플리케이션과 데이터를 배포하기 위한 Azure 또는 Azure Government 지역을 선택할 책임은 사용자에게 있습니다. 또한 ITAR 요구 사항을 충족하는 엔드투엔드 데이터 암호화를 적용하도록 애플리케이션을 설계할 책임도 사용자에게 있습니다. Microsoft는 Azure 또는 Azure Government에 배포된 애플리케이션을 검사, 승인하거나 모니터링하지 않습니다.
Azure Government는 미국 내 고객 데이터 저장에 관한 계약상의 약정을 통해 추가로 보호하고, 사용자 데이터 처리 시스템에 잠재적으로 액세스할 수 있는 사람은 선별된 미국인으로 제한합니다. ITAR에 대한 자세한 Azure 지원 정보는 Azure ITAR 규정 준수 제안을 참조하세요.
DoE 10 CFR Part 810
미국 에너지부(DoE) 수출통제규정 10 CFR Part 810에서는 1978년 NNPA(핵비확산법)의 제302항에 의거하여 개정된 1954년 AEA(원자력법)의 제57b.(2)항을 시행합니다. 이 조항은 NNSA(국가핵안보국)에서 관리합니다. 개정된 Part 810(최종 규칙)은 2015년 3월 25일 자로 발효되었으며, 무엇보다도 분류되지 않은 원자력 기술 및 지원의 수출을 통제합니다. 이는 미국에서 수출된 핵 기술이 평화적인 목적으로만 사용되도록 보장함으로써 평화적 핵 무역을 가능하게 합니다. 제810.7(b)절에서는 중요한 핵 기술을 외국 업체에 제공하거나 이전하려면 특정 DoE 권한을 부여해야 한다고 명시하고 있습니다.
Azure Government는 DoE 10 CFR Part 810 수출 통제 요구 사항을 충족하는 데 도움이 될 수 있습니다. Azure 운영 담당자 중 정보 시스템에 액세스할 수 있는 사람을 미국인으로 제한하는 특정 통제를 시행하도록 설계되어 있기 때문입니다. Azure Government에 데이터를 배포하는 경우 사용자가 자체적으로 보안 분류 프로세스를 담당합니다. DoE 수출 통제가 적용되는 데이터의 경우 분류 시스템은 AEA 제148항에 의거하여 제정된 UCNI(미분류 통제 핵 정보)에 따라 보강됩니다. DoE 10 CFR Part 810에 대한 자세한 Azure 지원 정보는 Azure DoE 10 CFR Part 810 규정 준수 제안을 참조하세요.
NRC 10 CFR Part 110
NRC(원자력 규제 위원회)에서 10 CFR Part 110 수출통제규정에 의거하여 원자력 장비 및 자재 수출입을 담당합니다. NRC는 원자력 시설 및 관련 장비/자재의 수출입을 규제합니다. 그러나 DoE 관할권에 속하는 해당 품목과 관련된 원자력 기술 및 지원을 규제하지는 않습니다. 따라서 Azure 또는 Azure Government에 NRC 10 CFR Part 110 규정은 적용되지 않습니다.
OFAC 제재법
OFAC(해외자산통제국)는 대상 해외 국가/지역, 테러리스트, 국제 마약 밀매자, 대량 살상 무기의 확산과 관련된 활동에 참여하는 업체에 대해 미국의 외교 정책과 국가 안보 목표에 따라 경제/무역 제재를 관리하고 집행하는 업무를 담당하고 있습니다.
OFAC에서는 금지된 거래를 OFAC가 승인하거나 법령에 따라 명시적으로 면제되지 않는 한 미국인이 참여할 수 없는 거래 또는 금융 거래 및 기타 거래로 정의합니다. 웹 기반 상호 작용의 경우 OFAC가 발표한 일반적인 지침은 FAQ 73번을 참조하세요. 여기에는 예를 들어 “전자상거래를 촉진하거나 이에 참여하는 회사는 고객을 직접 파악하기 위해 최선의 노력을 다해야 한다.”라고 명시되어 있습니다.
Microsoft 온라인 서비스 사용 약관 DPA(데이터 보호 추록)에 명시된 바와 같이, "Microsoft는 고객 또는 고객의 최종 사용자가 고객 데이터에 액세스하거나 고객 데이터를 이동할 수 있는 지역을 제어 또는 제한하지 않습니다." Microsoft는 Microsoft 온라인 서비스에 대해 OFAC 금지 국가/지역의 업체와 거래하지 못하도록 실사를 진행합니다. 예를 들어 제재 대상은 Azure 서비스를 프로비전할 수 없습니다. OFAC는 수출로 간주될 때 클라우드 서비스 공급자와 고객을 구별하는 EAR와 관련해 BIS에서 제공하는 지침 같은 지침을 발표하지 않았습니다. 따라서 웹 사이트를 포함하여 Azure에 배포된 애플리케이션과 관련 있는 온라인 트랜잭션에서 제재 대상을 제외하는 것은 사용자의 책임입니다. Microsoft는 Azure에 배포된 웹 사이트의 네트워크 트래픽을 차단하지 않습니다. OFAC에서는 고객이 IP 테이블 범위에 따라 액세스를 제한할 수 있다고 언급하지만 이 접근 방식이 인터넷의 회사 규정 준수 위험을 완전히 해결하지는 못한다는 점도 인정합니다. 그러므로 OFAC는 전자상거래 회사가 고객을 직접 파악해야 한다고 권장합니다. Microsoft는 Azure에 배포된 애플리케이션과 상호 작용하는 최종 사용자를 직접 파악할 수 있는 수단이 없고 그럴 책임도 없습니다.
OFAC 제재는 "제재 대상과 함께 사업을 수행"하는 행위, 즉 무역, 지불, 금융 상품 등과 관련된 거래를 방지하기 위해 시행됩니다. OFAC 제재는 금지된 국가/지역의 거주자가 공용 웹 사이트를 보지 못하도록 하기 위한 것이 아닙니다.
수출 통제 요구 사항 관리
Azure를 사용하는 것이 미국 수출 통제에 어떤 영향을 미칠 수 있는지 신중하게 평가하고, 클라우드에 저장하거나 처리하려는 데이터가 수출 통제 대상이 될 수 있는지 판단해야 합니다. Microsoft는 Azure 사용 시 수출 통제 의무를 충족하는 데 도움이 될 수 있는 계약 약정, 운영 프로세스 및 기술 기능을 제공합니다. 다음과 같은 Azure 기능을 사용해 잠재적인 수출 통제의 위험을 관리할 수 있습니다.
- 데이터 위치 통제 기능 – 데이터가 저장되는 위치를 파악할 수 있고, 데이터 스토리지를 하나의 지리적 위치 또는 국가/지역으로 제한하는 강력한 도구가 있습니다. 예를 들어 데이터가 미국 또는 선택한 국가/지역에 저장되도록 하고, 통제된 기술/기술 데이터가 대상 국가/지역이 아닌 곳으로 전송되는 것을 최소화할 수 있습니다. 데이터는 EAR 및 ITAR 규칙에 따라 비준수 위치에 의도적으로 저장되지 않습니다.
- 엔드투엔드 암호화 – 발신자와 의도된 수신자 간에 데이터가 항상 암호화된 상태로 유지되고, 암호 해독 수단이 타사에 제공되지 않음을 의미합니다. Azure는 기본 운영 체제에서 유효성이 검사된 FIPS 140 암호화 모듈을 사용하며, Azure Key Vault를 이용하는 암호화 키 관리를 비롯해 전송 중, 미사용 데이터를 암호화하기 위한 여러 가지 옵션을 제공합니다. Key Vault 서비스는 CMK(고객 관리형 키)라고도 하는 유효성이 검사된 FIPS 140 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. Azure Key Vault는 Microsoft 및 해당 에이전트가 암호화 키를 보거나 추출하지 못하도록 설계되어 배포, 운영됩니다.
- 데이터 액세스 통제 – 데이터에 액세스할 수 있는 사용자와 사용 약관을 알고 통제할 수 있습니다. Microsoft 기술 지원 담당자는 기본적인 데이터 액세스 권한이 없고 필요하지도 않습니다. 드물게 지원 요청을 해결하기 위해 상승된 데이터 액세스 권한이 필요한 경우 Azure용 고객 Lockbox를 통해 데이터 액세스 요청을 승인하거나 거부할 수 있습니다.
- 무단 간주 수출/재수출을 방지하기 위한 도구 및 프로토콜 – 물리적 스토리지 위치에 대한 EAR 및 ITAR 엔드투엔드 암호화 안전지대(safe harbor) 외에 암호화를 사용하면 잠재적 간주 수출 또는 간주 재수출로부터 보호할 수 있습니다. 미국인이 아닌 사람이 암호화된 데이터에 액세스할 수 있다 해도 암호화된 동안에는 데이터를 읽거나 이해할 수 없는 미국인이 아닌 사람에게 아무것도 표시되지 않으므로 통제된 데이터가 공개되지 않기 때문입니다. 그러나 ITAR에 따라 ITAR 기술 데이터의 암호를 해독할 수 있는 액세스 정보를 외국인에게 부여하려면 먼저 일부 권한을 부여해야 합니다. Azure는 광범위한 암호화 기능과 솔루션, 암호화 옵션 중에서 선택할 수 있는 유연성, 강력한 암호화 관리 도구를 제공합니다.
고객 데이터의 위치
Microsoft는 클라우드 서비스 데이터 보존 및 전송 정책과 관련하여 강력한 고객 약정을 제공합니다. 대부분의 Azure 서비스는 지역적으로 배포되며 서비스를 배포할 지역(예: 미국)을 지정할 수 있습니다. 이 약정을 통해 미국 지역에 저장된 고객 데이터가 미국에 남아 있고 미국 이외의 다른 지역으로 이동되지 않도록 할 수 있습니다.
데이터 암호화
Azure는 다양한 암호화 모델을 포함한 데이터 암호화를 사용하여 데이터를 보호하기 위한 광범위한 지원을 제공합니다.
- 서비스 관리형 키, Azure의 CMK(고객 관리형 키) 또는 고객 제어 하드웨어의 CMK를 사용하는 서버 쪽 암호화.
- 온-프레미스 또는 다른 안전한 위치에서 키를 관리하고 저장할 수 있는 클라이언트 쪽 암호화.
데이터 암호화는 암호화 키 액세스에 직접 연결되는 격리 보증을 제공합니다. Azure는 데이터 암호화에 강력한 암호화 기능을 사용하므로 암호화 키에 액세스할 수 있는 단체만 데이터에 액세스할 수 있습니다. 암호화 키를 철회하거나 삭제하면 해당 데이터에 액세스할 수 없게 됩니다.
유효성이 검사된 FIPS 140 암호화
FIPS(연방 정보처리표준) 140은 정보 기술 제품에서 암호화 모듈에 대한 최소 보안 요구 사항을 정의하는 미국 정부 표준입니다. 현재 버전의 표준인 FIPS 140-3에는 암호화 모듈의 설계 및 구현과 관련된 11가지 영역을 포함하는 보안 요구 사항이 있습니다. Microsoft는 2001년 표준이 시작된 이래 암호화 모듈의 유효성을 검사하여 FIPS 140 요구 사항을 충족하기 위한 적극적인 노력을 기울이고 있습니다. Microsoft는 NIST(미국 국립표준기술원)의 CMVP(암호화 모듈 유효성 검사 프로그램)에 따라 암호화 모듈의 유효성을 검사합니다. 클라우드 서비스를 다수 포함한 여러 Microsoft 제품에서 이러한 암호화 모듈을 사용합니다.
현재 CMVP FIPS 140 구현 지침은 클라우드 서비스에 대한 FIPS 140 유효성 검사를 배제하지만 클라우드 서비스 공급자는 클라우드 서비스를 구성하는 컴퓨팅 요소에 대해 유효성이 검사된 FIPS 140 암호화 모듈을 가져와 작동할 수 있습니다. Azure는 하드웨어, 상용 운영 체제(Linux 및 Windows), Azure 특정 버전의 Windows를 조합하여 빌드되었습니다. 운영 체제는 하이퍼스케일 클라우드에서 작동 중일 때 FIPS 140 승인 알고리즘을 사용하므로 모든 Azure 서비스는 Microsoft SDL(보안 개발 수명 주기) 전체에 걸쳐 데이터 보안에 FIPS 140 승인 알고리즘을 사용합니다. 해당 암호화 모듈은 Microsoft Windows FIPS 유효성 검사 프로그램의 일부로 유효성이 검사된 FIPS 140입니다. 또한 사용자 고유의 암호화 키 및 기타 비밀은 유효성이 검사된 FIPS 140 HSM(하드웨어 보안 모듈)에 저장할 수 있습니다.
암호화 키 관리
데이터 보안을 위해서는 암호화 키를 적절하게 보호, 관리하는 것이 필수적입니다. Azure Key Vault는 비밀을 안전하게 저장, 관리하기 위한 클라우드 서비스입니다. Key Vault를 사용하면 FIPS 140 유효성 검사를 받은 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. 자세한 내용은 데이터 암호화 키 관리를 참조하세요.
전송 중 암호화
Azure는 전송 중인 데이터를 암호화하기 위한 여러 옵션을 제공합니다. 전송 중인 데이터 암호화는 다른 트래픽에서 네트워크 트래픽을 격리하고, 데이터를 가로채지 못하도록 하는 데 도움이 됩니다. 자세한 내용은 전송 중인 데이터 암호화를 참조하세요.
휴지 상태의 암호화
Azure는 광범위한 미사용 데이터 암호화 옵션을 제공하여 데이터를 보호하고 Microsoft 관리형 암호화 키와 고객 관리형 암호화 키를 모두 사용해 규정 준수 요구 사항을 충족하는 데 도움을 줍니다. 이 프로세스는 Azure Key Vault 및 Microsoft Entra ID 같은 다양한 암호화 키와 서비스를 사용하여 보안 키 액세스 및 중앙 집중식 키 관리를 보장합니다. Azure Storage 암호화 및 Azure Disk 암호화에 대한 자세한 내용은 미사용 데이터 암호화를 참조하세요.
Azure SQL Database는 기본적으로 미사용 상태에서 TDE(투명한 데이터 암호화)를 제공합니다. TDE는 데이터 및 로그 파일에 대해 실시간 암호화 및 암호 해독 작업을 수행합니다. DEK(데이터베이스 암호화 키)는 복구 중 사용 가능하도록 데이터베이스 부트 레코드에 저장된 대칭 키입니다. 서버의 마스터 데이터베이스에 저장된 인증서 또는 Azure Key Vault에서 제어할 수 있는 저장된 TDE 보호기라는 비대칭 키를 통해 보호됩니다. Key Vault는 Key Vault에 TDE 보호기를 저장하고 키 회전, 권한, 키 삭제, 모든 TDE 보호기에서 감사/보고 사용 등의 키 관리 작업을 제어할 수 있는 BYOK(Bring Your Own Key)를 지원합니다. 키는 Key Vault에 의해 생성되거나, 가져오거나,온-프레미스 HSM 디바이스에서 Key Vault로 전송될 수 있습니다. 또한 애플리케이션 내에서 데이터를 암호화하고 데이터베이스 엔진에 암호화 키를 표시하지 않도록 함으로써 중요한 데이터를 보호하도록 특별히 설계된 Azure SQL Database의 Always Encrypted 기능도 사용할 수 있습니다. 이러한 방식으로 Always Encrypted는 데이터를 소유하고 볼 수 있는 사용자와 데이터를 관리하지만 액세스 권한을 보유해서는 안 되는 사용자를 분리합니다.
참가자 액세스 제한 사항
미국의 모든 Azure 및 Azure Government 직원은 Microsoft 배경 조사를 받습니다. 자세한 내용은 검사를 참조하세요.
내부 위협은 백도어 연결 및 CSP(클라우드 서비스 공급자)의 권한 있는 관리자 액세스 권한을 시스템 및 데이터에 제공할 가능성이 있다는 특징이 있습니다. Microsoft에서 참가자의 데이터 액세스를 제한하는 방법에 대한 자세한 내용은 참가자 액세스 제한 사항을 참조하세요.
Azure 리소스 모니터링
Azure는 프로비전된 Azure 리소스에 대한 심층적인 인사이트를 얻고 애플리케이션과 데이터를 겨냥한 외부 공격을 비롯한 의심스러운 활동에 대한 경고를 받는 데 사용할 수 있는 필수 서비스를 제공합니다. 이러한 서비스에 대한 자세한 내용은 Azure 리소스에 대한 고객 모니터링을 참조하세요.
결론
Azure를 사용하는 것이 미국 수출 통제에 어떤 영향을 미칠 수 있는지 신중하게 평가하고, 클라우드에 저장하거나 처리하려는 데이터가 수출 통제 대상이 될 수 있는지 판단해야 합니다. Microsoft Azure는 수출 통제 위험을 관리하는 데 도움이 되는 중요한 기술 기능과 운영 프로세스 및 계약 약정을 제공합니다. 미국 수출 통제가 적용되는 기술 데이터가 포함될 수 있는 경우, Azure는Azure에서 통제되는 기술 데이터에 액세스할 때 실수로 미국 수출 통제를 위반할 수 있는 잠재적 위험을 완화하는 데 도움이 되는 기능을 제공하도록 구성되어 있습니다. 적절한 계획을 통해 Azure 기능과 자체 내부 절차를 사용하면 Azure 플랫폼 이용 시 미국 수출 통제를 완전히 준수할 수 있습니다.
다음 단계
수출 통제 규칙을 탐색하는 데 도움을 드리기 위해 Microsoft는 Microsoft Azure 수출 통제 백서를 게시했습니다. 이 백서에서는 특히 소프트웨어와 기술 데이터에 적용되는 미국 수출 통제를 설명하고, 수출 통제 위험의 잠재적인 원인을 검토하며, 이러한 통제에 따른 의무를 평가하는 데 도움이 되는 특정 지침을 제공합니다.
자세히 알아보기: