다음을 통해 공유


Azure Information Protection에 대한 BYOK(Bring Your Own Key) 세부 정보

참고 항목

이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?

Azure Information Protection 추가 기능은 사용 중지되고 Microsoft 365 앱 및 서비스에 기본 제공되는 레이블 로 대체됩니다. 다른 Azure Information Protection 구성 요소의 지원 상태 대해 자세히 알아봅니다.

Microsoft Purview Information Protection 클라이언트(추가 기능 제외)는 일반적으로 사용할 수 있습니다.

Azure Information Protection 구독이 있는 조직은 Microsoft에서 만든 기본 키 대신 자체 키를 사용하여 테넌트를 구성하도록 선택할 수 있습니다. 이러한 구성을 흔히 BYOK(Bring Your Own Key)라고 합니다.

BYOK 및 사용 현황 로깅은 Azure Information Protection에서 사용하는 Azure Rights Management 서비스와 통합되는 애플리케이션과 원활하게 작동합니다.

지원되는 애플리케이션은 다음과 같습니다.

  • Microsoft SharePoint 또는 Microsoft 365와 같은 클라우드 서비스

  • RMS 커넥터를 통해 Azure Rights Management 서비스를 사용하는 Exchange 및 SharePoint 애플리케이션을 실행하는 온-프레미스 서비스

  • Office 2019, Office 2016 및 Office 2013과 같은 클라이언트 응용 프로그램

필요한 경우 추가 온-프레미스 키를 사용하여 특정 문서에 추가 보안을 적용합니다. 자세한 내용은 DKE(이중 키 암호화) 보호(통합 레이블 지정 클라이언트만 해당)를 참조하세요.

Azure Key Vault 키 스토리지

고객 생성 키는 BYOK 보호를 위해 Azure Key Vault에 저장되어야 합니다.

참고 항목

Azure Key Vault의 HSM 보호 키를 사용하려면 Azure Key Vault Premium 서비스 계층이 필요하며, 이로 인해 월별 구독 요금이 추가로 부과됩니다.

키 자격 증명 모음 및 구독 공유

테넌트 키에 전용 키 자격 증명 모음을 사용하는 것이 좋습니다. 전용 키 자격 증명 모음은 다른 서비스의 호출로 인해 서비스 제한을 초과하지 않도록 하는 데 도움이 됩니다. 테넌트 키가 저장된 키 자격 증명 모음에 대한 서비스 제한을 초과하면 Azure Rights Management 서비스에 대한 응답 시간 제한이 발생할 수 있습니다.

다양한 서비스에는 다양한 키 관리 요구 사항이 있으므로 키 자격 증명 모음에 전용 Azure 구독을 사용하는 것이 좋습니다. 전용 Azure 구독:

  • 잘못된 구성으로부터 보호

  • 서비스마다 관리자가 다를 때 보안 강화

Azure Key Vault를 사용하는 다른 서비스와 Azure 구독을 공유하려면 해당 구독이 공통 관리자 집합을 공유하는지 확인해야 합니다. 구독을 사용하는 모든 관리자가 액세스할 수 있는 모든 키를 확실하게 이해한다는 것은 키를 잘못 구성할 가능성이 적다는 것을 의미합니다.

예제: Azure Information Protection 테넌트 키의 관리자가 Office 365 고객 키 및 CRM 온라인에 대한 키를 관리하는 사용자와 동일한 경우, 공유 Azure 구독을 사용합니다. 이러한 서비스의 주요 관리자가 다른 경우에는 전용 구독을 사용하는 것이 좋습니다.

Azure Key Vault 사용의 이점

Azure Key Vault는 암호화를 사용하는 많은 클라우드 기반 및 온-프레미스 서비스를 위한 중앙 집중식의 일관된 키 관리 솔루션을 제공합니다.

Azure Key Vault는 키 관리 외에도 보안 관리자에게 암호화를 사용하는 다른 서비스 및 애플리케이션에 대한 인증서 및 비밀(예: 암호)을 저장, 액세스 및 관리할 수 있는 동일한 관리 환경을 제공합니다.

Azure Key Vault의 테넌트 키를 저장하면 다음과 같은 이점이 있습니다.

장점 설명
내장 인터페이스 Azure Key Vault는 PowerShell, CLI, REST API 및 Azure Portal을 포함하여 키 관리를 위한 다양한 기본 제공 인터페이스를 지원합니다.

모니터링과 같은 특정 작업에 최적화된 기능을 위해 기타 서비스 및 도구가 Key Vault와 통합되었습니다.

예를 들어, Operations Management Suite Log 분석으로 주요 사용 로그를 분석하고 지정된 기준이 충족될 때 경고를 설정하는 등의 작업을 수행합니다.
역할 분리 Azure Key Vault는 인식된 보안 모범 사례로 역할 분리를 제공합니다.

역할 분리를 통해 Azure Information Protection 관리자는 데이터 분류 및 보호 관리, 특정 보안 또는 규정 준수 요구 사항에 대한 암호화 키 및 정책을 포함한 가장 높은 우선 순위에 집중할 수 있습니다.
마스터 키 위치 Azure Key Vault는 다양한 위치에서 사용할 수 있으며 마스터 키를 사용할 수 있는 제한이 있는 조직을 지원합니다.

자세한 내용은 Azure 사이트의 지역별 사용 가능한 제품을 참조하세요.
분리된 보안 도메인 Azure Key Vault는 북아메리카, EMEA(유럽, 중동 및 아프리카), 아시아와 같은 지역의 데이터 센터에 대해 별도의 보안 도메인을 사용합니다.

또한 Azure Key Vault는 Microsoft Azure 독일 및 Azure Government와 같은 다양한 Azure 인스턴스를 사용합니다.
통합 환경 또한 Azure Key Vault를 사용하면 보안 관리자가 암호화를 사용하는 다른 서비스에 대한 인증서 및 비밀(예: 암호)을 저장, 액세스, 관리할 수 있습니다.

테넌트 키에 Azure Key Vault를 사용하면 이러한 모든 요소를 관리하는 관리자에게 원활한 사용자 환경을 제공합니다.

최신 업데이트를 확인하고 다른 서비스에서 Azure Key Vault를 사용하는 방법에 대해 알아보려면 Azure Key Vault 팀 블로그를 방문하세요.

BYOK의 사용 현황 로깅

사용 현황 로그는 Azure Rights Management 서비스에 요청을 하는 모든 애플리케이션에서 생성됩니다.

사용 현황은 선택 사항이지만 Azure Information Protection의 근 시간 사용 현황 로그를 사용하여 테넌트 키가 사용되는 정확한 방법 및 시기를 확인하는 것이 좋습니다.

BYOK의 주요 사용 현황 로깅에 대한 자세한 내용은 Azure Information Protection의 보호 사용 현황 로깅 및 분석을 참조하세요.

추가 보증을 위해 Azure Information Protection 사용 현황 로깅을 Azure Key Vault 로깅과 상호 참조할 수 있습니다. Key Vault 로그는 키가 Azure Rights Management 서비스에서만 사용되는지 독립적으로 모니터링하는 신뢰할 수 있는 방법을 제공합니다.

필요한 경우 키 자격 증명 모음에 대한 권한을 제거하여 해당 키에 대한 액세스를 즉시 취소합니다.

키 만들기 및 저장 옵션

참고 항목

관리 HSM 제품, 자격 증명 모음 및 키를 설정하는 방법에 대한 자세한 내용은 Azure Key Vault 설명서를 참조하세요.

키 권한 부여에 대한 추가 지침은 아래에 설명되어 있습니다.

BYOK는 Azure Key Vault 또는 온-프레미스에서 만든 키를 지원합니다.

온-프레미스에서 키를 만드는 경우 키를 키 자격 증명 모음으로 전송하거나 가져와 키를 사용하도록 Azure Information Protection을 구성해야 합니다. Azure Key Vault 내에서 추가 키 관리를 수행합니다.

사용자 고유 키 만들기 및 저장 옵션:

  • Azure Key Vault에서 만들어집니다. Azure Key Vault에서 키를 만들어 HSM 보호 키 또는 소프트웨어 보호 키로 저장합니다.

  • 온-프레미스에서 만들어집니다. 다음 옵션 중 하나를 사용하여 온-프레미스에서 키를 만들고 Azure Key Vault로 전송합니다.

    • HSM 보호 키, HSM 보호 키로 전송됩니다. 선택한 메서드 중 가장 일반적입니다.

      이 방법은 관리 오버헤드가 가장 많지만 조직에서 특정 규정을 따라야 할 수 있습니다. Azure Key Vault에서 사용하는 HSM에는 FIPS 140 유효성 검사가 있습니다.

    • HSM 보호 키, Azure Key Vault로 변환 및 전송되는 소프트웨어 보호 키입니다. 이 메서드는 AD RMS(Active Directory Rights Management Services)에서 마이그레이션하는 경우에만 지원됩니다.

    • 온-프레미스를 소프트웨어 보호 키로 만들고 소프트웨어 보호 키로 Azure Key Vault에 전송합니다. 이 메서드는 .PFX 인증 파일이 필요합니다.

예를 들어, 온-프레미스에서 만든 키를 사용하려면 다음을 수행합니다.

  1. 고객이 조직의 IT 및 보안 정책에 따라 고객의 프레미스에서 테넌트 키를 생성합니다. 이 키는 마스터 복사본입니다. 이는 온-프레미스로 유지되며 백업에 필요합니다.

  2. 마스터 키의 복사본을 만들고 HSM에서 Azure Key Vault로 안전하게 전송합니다. 이 프로세스 전체에서 키의 마스터 복사본은 하드웨어 보호 경계를 벗어나지 않습니다.

전송되면 키 복사본이 Azure Key Vault로 보호됩니다.

트러스트된 게시 도메인 내보내기

Azure Information Protection 사용을 중지하려는 경우 Azure Information Protection로 보호된 콘텐츠의 암호를 해독하기 위해 TPD(트러스트된 게시 도메인)가 필요합니다.

그러나 Azure Information Protection 키에 BYOK를 사용하는 경우 TPD 내보내기가 지원되지 않습니다.

이 시나리오를 준비하려면 적절한 TPD를 미리 만들어야 합니다. 자세한 내용은 Azure Information Protection "클라우드 종료" 계획을 준비하는 방법을 참조하세요.

Azure Information Protection 테넌트 키에 대한 BYOK 구현

다음 단계를 사용하여 BYOK를 구현할 수 있습니다.

  1. BYOK 필수 구성 요소 검토
  2. 키 자격 증명 모음 위치 선택
  3. 키 만들기 및 구성

BYOK에 대한 필수 조건

BYOK 필수 구성 요소는 시스템 구성에 따라 달라집니다. 시스템이 필요에 따라 다음 필수 구성 요소를 준수하는지 확인합니다.

요구 사항 설명
Azure 구독 모든 구성에 필요합니다.
자세한 내용은 BYOK 호환 Azure 구독이 있는지 확인을 참조하세요.
Azure Information Protection용 AIPService PowerShell 모듈 모든 구성에 필요합니다.
자세한 내용은 AIPService PowerShell 모듈 설치를 참조하세요.
BYOK에 대한 Azure Key Vault 필수 구성 요소 온-프레미스에서 만든 HSM 보호 키를 사용하는 경우 Azure Key Vault 설명서에 나열된 BYOK에 대한 필수 구성 요소도 준수해야 합니다.
Thales 펌웨어 버전 11.62 소프트웨어 키를 하드웨어 키로 사용하여 AD RMS에서 Azure Information Protection에 마이그레이션하고 HSM에 Thales 펌웨어를 사용하는 경우 Thales 펌웨어 버전 11.62가 있어야 합니다.
신뢰할 수 있는 Microsoft 서비스에 대한 방화벽 바이패스 테넌트 키가 포함된 키 자격 증명 모음에서 Azure Key Vault용 가상 네트워크 서비스 엔드포인트를 사용하는 경우 신뢰할 수 있는 Microsoft 서비스가 이 방화벽을 우회하도록 허용해야 합니다.
자세한 내용은 Azure Key Vault의 가상 네트워크 서비스 엔드포인트를 참조하세요.

BYOK 호환 Azure 구독이 있는지 확인

Azure Information Protection 테넌트에는 Azure 구독이 있어야 합니다. 계정이 아직 없는 경우 무료 계정에 등록할 수 있습니다. 그러나 HSM 보호 키를 사용하려면 Azure Key Vault 프리미엄 서비스 계층이 있어야 합니다.

Microsoft Entra 구성 및 Azure Rights Management 사용자 지정 템플릿 구성에 대한 액세스를 제공하는 무료 Azure 구독은 Azure Key Vault를 사용하기에 충분하지 않습니다 .

BYOK와 호환되는 Azure 구독이 있는지 확인하려면 Azure PowerShell cmdlet을 통해 다음을 수행하여 확인합니다.

  1. 관리자 권한으로 Windows PowerShell 세션을 시작합니다.

  2. Connect-AzAccount를 사용하여 Azure Information Protection 테넌트의 전역 관리자로 로그인합니다.

  3. 표시된 토큰을 클립보드에 복사합니다. 그런 다음 브라우저에서 https://microsoft.com/devicelogin으로 이동하여 복사한 토큰을 입력합니다.

    자세한 내용은 Azure PowerShell로 로그인을 참조하세요.

  4. PowerShell 세션에서 Get-AzSubscription을 입력하고 다음 값이 표시되는지 확인합니다.

    • 구독 이름 및 ID
    • Azure Information Protection 테넌트 ID
    • 상태를 사용할 수 있는지 확인

    값이 표시되지 않고 프롬프트로 돌아오는 경우는 BYOK에 사용할 수 있는 Azure 구독이 없는 것입니다.

키 자격 증명 모음 위치 선택

Azure Information의 테넌트 키로 사용할 키를 포함하는 키 자격 증명 모음을 만들 때 위치를 지정해야 합니다. 이 위치는 Azure 지역 또는 Azure 인스턴스입니다.

먼저 규정 준수를 선택한 다음 네트워크 대기 시간을 최소화합니다.

  • 규정 준수를 위해 BYOK 키 메서드를 선택한 경우 해당 규정 준수 요구 사항에 따라 Azure Information Protection 테넌트 키를 저장하는 데 사용할 수 있는 Azure 지역 또는 인스턴스가 필요할 수도 있습니다.

  • 모든 암호화는 Azure Information Protection 키에 대한 보호 체인을 호출합니다. 따라서 Azure Information Protection 테넌트와 동일한 Azure 지역 또는 인스턴스에 키 자격 증명 모음을 만들어 이러한 호출에 필요한 네트워크 대기 시간을 최소화할 수 있습니다.

Azure Information Protection 테넌트의 위치를 식별하려면 Get-AipServiceConfiguration​ PowerShell cmdlet을 사용하고 URL에서 지역을 식별합니다. 예시:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

지역은 rms.na.aadrm.com 식별할 수 있으며, 이 예제에서는 북아메리카 있습니다.

다음 표에서는 네트워크 대기 시간을 최소화하기 위해 권장되는 Azure 지역 및 인스턴스를 나열합니다.

Azure 지역 또는 인스턴스 키 자격 증명 모음에 권장되는 위치
Rms.na.aadrm.com 미국 중북부 또는 미국 동부
Rms.eu.aadrm.com 북유럽 또는 서유럽
rms.ap.aadrm.com​ 동아시아 또는 동남 아시아
Rms.sa.aadrm.com 미국 서부 또는 미국 동부
rms.govus.aadrm.com​ 미국 중부 또는 미국 동부 2
rms.aadrm.us US Gov 버지니아 또는 US Gov 애리조나
rms.aadrm.cn 중국 동부 2 또는 중국 북부 2

키 만들기 및 구성

Important

관리 HSM에 대한 자세한 내용은 Azure CLI를 통해 관리 HSM 키에 대한 키 권한 부여 사용을 참조하세요.

Azure Information Protection에 사용할 Azure Key Vault 및 키를 만듭니다. 자세한 내용은 Azure Key Vault 설명서를 참조하세요.

BYOK에 대한 Azure Key Vault 및 키를 구성하기 위한 다음 사항에 유의하세요.

키 길이 요구 사항

키를 만들 때 키 길이가 2048비트(권장) 또는 1024비트인지 확인합니다. 다른 키 길이는 Azure Information Protection에서 지원되지 않습니다.

참고 항목

1024비트 키는 활성 테넌트 키에 대한 적절한 수준의 보호를 제공하는 것으로 간주되지 않습니다.

Microsoft는 1024비트 RSA 키와 같은 낮은 키 길이의 사용 및 SHA-1과 같은 부적절한 보호 수준을 제공하는 프로토콜의 관련 사용을 보증하지 않습니다.

온-프레미스에서 HSM 보호 키 만들기 및 키 자격 증명 모음으로 전송

온프레미스에서 HSM 보호 키를 만들고 HSM 보호 키로 키 자격 증명 모음에 전송하려면 Azure Key Vault 설명서: Azure Key Vault용 HSM 보호 키 생성 및 전송 방법의 절차를 따르세요.

Azure Information Protection에서 전송된 키를 사용하려면 다음을 포함하여 키에 대해 모든 키 자격 증명 모음 작업이 허용되어야 합니다.

  • encrypt
  • decrypt
  • wrapKey
  • unwrapKey
  • sign
  • verify

기본적으로 모든 키 자격 증명 모음 작업이 허용됩니다.

특정 키에 대해 허용되는 작업을 확인하려면 다음 PowerShell 명령을 실행합니다.

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

필요한 경우 Update-AzKeyVaultKeyKeyOps 매개변수를 사용하여 허용된 작업을 추가합니다.

키 ID로 Azure Information Protection 구성

Azure Key Vault에 저장된 키에는 각각 키 ID가 있습니다.

키 ID는 키 자격 증명 모음의 이름, 키 컨테이너, 키 이름 및 키 버전이 포함된 URL입니다. 예: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

키 자격 증명 모음 URL을 지정하여 키를 사용하도록 Azure Information Protection을 구성합니다.

키 사용을 위해 Azure Rights Management 서비스 권한 부여

Azure Rights Management 서비스는 키를 사용할 수 있는 권한을 부여받아야 합니다. Azure Key Vault 관리자는 Azure Portal 또는 Azure PowerShell을 사용하여 이 권한 부여를 사용하도록 설정할 수 있습니다.

Azure Portal을 사용하여 키 권한 부여 사용
  1. Azure Portal에 로그인하고 키 자격 증명 모음><해당 키 자격 증명 모음 이름>>액세스 정책>새로 추가로 이동합니다.

  2. 액세스 정책 추가 창의 템플릿에서 구성(선택 사항) 목록 상자에서 Azure Information Protection BYOK를 선택한 다음 확인을 클릭합니다.

    선택한 템플릿에는 다음과 같은 구성이 있습니다.

    • 보안 주체 선택 값은 Microsoft Rights Management Services로 설정됩니다.
    • 선택한 키 권한에는 가져오기, 암호 해독서명이 포함됩니다.
PowerShell을 사용하여 키 권한 부여 사용

Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy를 실행하고 GUID 00000012-0000-0000-c000-000000000000을 사용하여 Azure Rights Management 서비스 주체에게 권한을 부여합니다.

예시:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Azure CLI를 통해 관리 HSM 키에 대한 키 권한 부여 사용

관리 HSM Crypto 사용자로 Azure Rights Management 서비스 주체 사용자 권한을 부여하려면 다음 명령을 실행합니다.

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

여기서

  • ContosoMHSM은 샘플 HSM 이름입니다. 이 명령을 실행할 때 이 값을 사용자 고유의 HSM 이름으로 바꿉니다.

관리 HSM Crypto 사용자 역할을 사용하면 사용자가 키에 대한 권한을 암호 해독, 서명 및 가져올 수 있습니다. 이 권한은 모두 관리 HSM 기능에 필요합니다.

키를 사용하도록 Azure Information Protection 구성

위의 모든 단계를 완료하면 이 키를 조직의 테넌트 키로 사용하도록 Azure Information Protection을 구성할 준비가 된 것입니다.

Azure RMS cmdlet을 사용하여 다음 명령을 실행합니다.

  1. Azure Rights Management 서비스에 연결 및 로그인:

    Connect-AipService
    
  2. 키 URL을 지정하여 Use-AipServiceKeyVaultKey cmdlet을 실행합니다. 예시:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Important

    이 예에서 <key-version>는 사용하려는 키의 버전입니다. 버전을 지정하지 않은 경우 현재 버전의 키가 기본적으로 사용되며 명령이 작동하는 것처럼 보일 수 있습니다. 그러나 나중에 키가 업데이트되거나 갱신되면 Use-AipServiceKeyVaultKey 명령을 다시 실행하더라도 Azure Rights Management 서비스가 테넌트에 대해 작동을 중지합니다.

    필요에 따라 Get-AzKeyVaultKey 명령을 사용하여 현재 키의 버전 번호를 가져옵니다.

    예: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Azure Information Protection에 대해 키 URL이 올바르게 설정되었는지 확인하려면 Azure Key Vault에서 Get-AzKeyVaultKey 명령을 실행하여 키 URL을 표시합니다.

  3. Azure Rights Management 서비스가 이미 활성화된 경우 Set-AipServiceKeyProperties를 실행하여 Azure Information Protection에 이 키를 Azure Rights Management 서비스의 활성 테넌트 키로 사용하도록 지시합니다.

이제 Azure Information Protection이 테넌트에 대해 자동으로 생성된 기본 Microsoft 생성 키 대신 해당 키를 사용하도록 구성되었습니다.

다음 단계

BYOK 보호를 구성한 후 키 사용 및 관리에 대한 자세한 내용을 보려면 테넌트 루트 키 시작을 확인하세요.