다음을 통해 공유

키 워크로드를 마이그레이션하는 방법

  • 아티클

Azure Key Vault 및 Azure Managed HSM은 키 자료를 보호하고 키의 HSM 속성을 변경할 수 없도록 키 내보내기를 허용하지 않습니다.

이동성이 높은 키를 사용하려면 지원되는 HSM에서 키를 생성하여 Azure Key Vault 또는 Azure Managed HSM으로 가져오는 것이 가장 좋습니다.

참고 항목

유일한 예외는 키 자료를 처리하기 위해 신뢰할 수 있는 기밀 컴퓨팅 Enclave로 내보내기를 제한하는 키 릴리스 정책을 사용하여 키를 만드는 경우입니다. 이러한 보안 키 작업은 키의 범용 내보내기가 아닙니다.

키 워크로드의 마이그레이션이 필요한 몇 가지 시나리오가 있습니다.

  • 구독, 리소스 그룹 또는 소유자 간 전환할 때와 같은 보안 경계의 전환.
  • 지정된 지역의 규정 준수 경계 또는 위험으로 인한 지역 이동.
  • Azure Key Vault에서 Key Vault Premium보다 더 뛰어난 보안, 격리 및 규정 준수를 제공하는 Azure Managed HSM으로와 같이 새 제품으로의 변경.

아래에서는 새 키를 새 자격 증명 모음 또는 새 관리 HSM으로 사용하기 위해 워크로드를 마이그레이션하는 몇 가지 방법을 설명합니다.

고객 관리형 키를 사용하는 Azure 서비스

Key Vault에서 키를 사용하는 대부분의 워크로드에서 키를 새 위치(다른 구독 또는 지역의 새 관리 HSM 또는 새 키 자격 증명 모음)로 마이그레이션하는 가장 효과적인 방법은 다음과 같습니다.

  1. 새 자격 증명 모음 또는 관리 HSM에서 새 키를 만듭니다.
  2. 워크로드의 ID를 Azure Key Vault 또는 Azure Managed HSM의 적절한 역할에 추가하여 워크로드가 이 새 키에 액세스할 수 있도록 합니다.
  3. 새 키를 고객 관리형 암호화 키로 사용하도록 워크로드를 업데이트합니다.
  4. 원래 보호된 워크로드 데이터의 백업을 더 이상 원하지 않을 때까지 이전 키를 유지합니다.

예를 들어 새 키를 사용하도록 Azure Storage를 업데이트하려면 기존 스토리지 계정에 대한 고객 관리형 키 구성 - Azure Storage의 지침을 따릅니다. 스토리지가 새 키로 업데이트될 때까지 이전 고객 관리형 키가 필요합니다. Storage가 새 키로 성공적으로 업데이트되면 이전 키가 더 이상 필요하지 않습니다.

사용자 지정 애플리케이션 및 클라이언트 쪽 암호화

Key Vault에서 키를 사용하여 데이터를 직접 암호화하는 빌드한 클라이언트 쪽 암호화 또는 사용자 지정 애플리케이션의 경우 프로세스는 다릅니다.

  1. 새 키 자격 증명 모음 또는 관리 HSM을 만들고 새 KEK(키 암호화 키)를 만듭니다.
  2. 새 키를 사용하여 이전 키로 암호화된 키 또는 데이터를 다시 암호화합니다. (데이터가 키 자격 증명 모음의 키에 의해 직접 암호화된 경우 모든 데이터를 읽고, 암호 해독하고, 새 키로 암호화해야 하므로 다소 시간이 걸릴 수 있습니다. 가능한 경우 봉투 암호화를 사용하여 이러한 키 순환을 더 빠르게 합니다.)

데이터를 다시 암호화할 때 향후 KEK 회전을 더 쉽게 수행할 수 있는 3단계 키 계층 구조를 사용하는 것이 좋습니다. 1. Azure Key Vault 또는 관리 HSM의 키 암호화 키 1. 기본 키 1. 기본 키에서 파생된 데이터 암호화 키

  1. 마이그레이션 후(및 삭제 전) 데이터를 확인합니다.
  2. 연결된 데이터의 백업을 더 이상 원하지 않을 때까지 이전 키/키 자격 증명 모음을 삭제하지 마세요.

Azure Information Protection에서 테넌트 키 마이그레이션

Azure Information Protection에서 테넌트 키를 마이그레이션하는 것을 “키 다시 만들기” 또는 “키 롤링”이라고 합니다. 고객 관리형 - AIP 테넌트 키 수명 주기 작업에는 이 작업을 수행하는 방법에 대한 자세한 지침이 있습니다.

이전 테넌트 키로 보호된 콘텐츠나 문서가 더 이상 필요하지 않을 때 이전 테넌트 키를 삭제하는 것이 안전합니다. 새 키로 보호할 문서를 마이그레이션하려면 다음을 수행해야 합니다.

  1. 이전 테넌트 키로 보호된 문서에서 보호를 제거합니다.
  2. 새 테넌트 키를 사용할 보호를 다시 적용합니다.

다음 단계