OneDrive 및 SharePoint의 데이터 암호화
OneDrive 및 SharePoint에서 데이터 보안을 위한 암호화의 기본 요소를 이해합니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
Microsoft 365의 보안 및 데이터 암호화
Microsoft 365는 물리적 데이터 센터 보안, 네트워크 보안, 액세스 보안, 애플리케이션 보안 및 데이터 보안과 같은 여러 계층에서 광범위한 보호를 제공하는 매우 안전한 환경입니다. 이 문서에서는 특히 OneDrive 및 SharePoint에 대한 데이터 보안의 전송 중 및 미사용 암호화 측면에 중점을 둡니다.
다음 비디오에서 데이터 암호화 방법을 알아보세요.
전송 중인 데이터 암호화
OneDrive와 SharePoint에는 데이터가 데이터 센터를 입력하고 종료하는 두 가지 시나리오가 있습니다.
서버와의 클라이언트 통신 인터넷을 통한 OneDrive 통신에서는 SSL/TLS 연결을 사용합니다. 모든 TLS 연결은 2048비트 키를 사용하여 설정됩니다.
데이터 센터 간 데이터 이동 데이터 센터 간에 데이터를 이동하는 주된 이유는 지역 복제를 통해 재해 복구를 사용하도록 설정하기 위해서입니다. 예를 들어 SQL Server 트랜잭션 로그 및 Blob Storage 델타가 이 파이프를 따라 이동합니다. 이 데이터는 이미 프라이빗 네트워크를 사용하여 전송되지만 동급 최고의 암호화로 더욱 보호됩니다.
보관된 데이터 암호화
보관된 암호화에는 두 가지 구성 요소가 포함되어 있습니다. 고객 콘텐츠의 BitLocker 디스크 수준 암호화 및 파일 단위 암호화입니다.
BitLocker는 서비스 전체에서 OneDrive 및 SharePoint용으로 배포됩니다. 파일별 암호화는 Microsoft 365 다중 테넌트 및 다중 테넌트 기술을 기반으로 하는 새로운 전용 환경의 OneDrive 및 SharePoint에도 있습니다.
BitLocker는 디스크에서 모든 데이터를 암호화하는 동안 각 파일에 대해 고유한 암호화 키를 포함하여 파일 단위 암호화를 추가로 수행합니다. 또한 모든 파일에 대한 모든 업데이트는 자체 암호화 키를 사용하여 암호화됩니다. 암호화된 콘텐츠의 키는 콘텐츠와 물리적으로 분리된 위치에 저장됩니다. 이 암호화의 모든 단계는 AES(Advanced Encryption Standard) 256비트 키를 사용하며 FIPS(Federal Information Processing Standard) 140-2 규정을 준수합니다. 암호화된 콘텐츠는 데이터 센터 전체의 여러 컨테이너에 분산되며 각 컨테이너에는 고유한 자격 증명이 있습니다. 이러한 자격 증명은 콘텐츠 또는 콘텐츠 키에서 물리적으로 분리된 위치에 저장됩니다.
FIPS 140-2 규정 준수에 대한 자세한 내용은 FIPS 140-2 규정 준수를 참조하세요.
미사용 파일 수준 암호화는 Blob Storage를 활용하여 스토리지 증가를 제공하고 전례 없는 보호를 가능하게 합니다. OneDrive 및 SharePoint의 모든 고객 콘텐츠는 Blob Storage로 마이그레이션됩니다. 이러한 데이터를 보호하는 방법은 다음과 같습니다.
모든 콘텐츠는 여러 키로 암호화되고 데이터 센터에 분산됩니다. 저장할 각 파일은 크기에 따라 하나 이상의 청크로 나뉩니다. 그런 다음, 각 청크는 자체 고유 키를 사용하여 암호화됩니다. 업데이트를 유사하게 처리: 사용자가 제출한 변경 내용 집합 또는 델타가 청크로 분할되고 각 청크는 자체 고유 키를 사용하여 암호화됩니다.
이러한 모든 청크(파일, 파일 부분 및 델타 업데이트)는 Blob 저장소에서 Blob으로 저장됩니다. 또한 여러 개의 Blob 컨테이너에 임의로 분산됩니다.
구성 요소에서 파일을 다시 조립하는 데 사용되는 "map"은 Content Database에 저장됩니다.
각 Blob 컨테이너에는 액세스 유형(읽기, 쓰기, 열거 및 삭제)별로 각각의 고유한 자격 증명이 있습니다. 각 자격 증명 집합이 보안 키 저장소에 보관되고 정기적으로 새로 고쳐집니다.
즉, 보관된 파일별 암호화에 관련된 세 가지 유형의 저장소가 있으며 각 저장소에는 고유한 기능이 있습니다.
콘텐츠는 Blob 저장소에 암호화된 Blob으로 저장됩니다. 콘텐츠의 각 청크에 대한 키는 암호화되어 콘텐츠 데이터베이스에 별도로 저장됩니다. 콘텐츠 자체는 암호를 해독하는 방법에 대한 단서를 가지고 있지 않습니다.
콘텐츠 데이터베이스는 SQL Server 데이터베이스입니다. Blob 저장소에 있는 모든 콘텐츠 Blob을 찾아서 다시 조립하는 데 필요한 맵과 해당 Blob의 암호를 해독하는 데 필요한 키를 보유합니다.
이러한 3개의 저장소 구성 요소는 Blob 저장소, 콘텐츠 데이터베이스 및 키 저장소이며 각 저장소는 물리적으로 분리되어 있습니다. 구성 요소 중 하나에 보관된 정보를 자체적으로 사용할 수는 없습니다. 이 전략은 전례 없는 수준의 보안을 제공합니다. 세 가지 모두에 액세스하지 않으면 청크에 대한 키를 검색하거나, 키를 사용할 수 있도록 암호를 해독하거나, 해당 청크에 키를 연결하거나, 청크의 암호를 해독하거나, 구성 청크에서 문서를 재구성할 수 없습니다.