Azure Key Vault 설명

  • 3분

Azure Key Vault는 비밀을 안전하게 저장하고 액세스하기 위한 클라우드 서비스입니다. 비밀은 API 키, 암호, 인증서 또는 암호화 키 등에 대한 액세스를 엄격하게 제어하려는 항목입니다.

Azure Key Vault는 다음 문제를 해결하는 데 도움이 됩니다.

  • 비밀 관리. Key Vault를 사용하여 토큰, 암호, 인증서, API(애플리케이션 프로그래밍 인터페이스) 키, 기타 비밀을 안전하게 저장하고 액세스를 엄격하게 제어할 수 있습니다.
  • 키 관리. Key Vault를 키 관리 솔루션으로 사용할 수 있습니다. Key Vault를 사용하면 데이터를 암호화하는 데 사용되는 암호화 키를 쉽게 만들고 제어할 수 있습니다.
  • 인증서 관리. Key Vault를 사용하면 Azure 및 내부적으로 연결된 리소스에 사용할 퍼블릭 및 프라이빗 SSL/TLS(Secure Sockets Layer/전송 계층 보안) 인증서를 프로비전, 관리, 배포할 수 있습니다.

Azure Key Vault에는 소프트웨어 키로 암호화하는 표준 계층과 HSM(하드웨어 보안 모듈) 보호 키를 포함하는 프리미엄 계층으로 두 가지 서비스 계층이 있습니다.

Key Vault를 사용하는 이유는 무엇인가요?

애플리케이션 비밀 중앙화. 애플리케이션 비밀 스토리지를 Azure Key Vault에 중앙화하면 배포를 제어하고 비밀이 우발적으로 유출될 가능성을 크게 줄일 수 있습니다. 애플리케이션 개발자가 Key Vault를 사용하면 더 이상 보안 정보를 애플리케이션에 코드의 일부로 저장할 필요가 없습니다. 대신 Key Vault 내에서 개체를 고유하게 식별하는 Key Vault 개체 식별자를 사용하여 애플리케이션에서 필요한 정보에 안전하게 액세스할 수 있습니다. Key Vault 개체 식별자는 애플리케이션이 특정 버전의 비밀을 검색할 수 있게 하는 URL입니다. Key Vault에 저장된 비밀 정보를 보호하기 위해 사용자 지정 코드를 작성할 필요가 없습니다.

표준 계층의 Azure Key Vault 개체 식별자 및 프리미엄 계층의 관리되는 HSM의 URL 형식의 예는 다음과 같습니다.

  • 표준 계층 자격 증명 모음: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • 관리되는 HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

안전하게 비밀 및 키 저장. Key Vault에 액세스하려면 호출자(사용자 또는 애플리케이션)가 액세스할 수 있도록 적절한 인증 및 권한 부여가 필요합니다. 인증은 호출자의 ID를 설정하는 반면 권한 부여는 수행할 수 있는 작업을 결정합니다.

인증이 Microsoft Entra를 통해 수행됩니다. 권한 부여는 Azure RBAC(Azure 역할 기반 액세스 제어) 또는 Key Vault 액세스 정책을 통해 수행할 수 있습니다.

Azure Key Vault는 Microsoft에서 데이터를 보거나 추출할 수 없도록 설계되었습니다.

액세스 및 사용 모니터링. 몇 개의 Key Vault를 만든 후에는 자격 증명 모음에 대한 로깅을 사용하여 활동을 모니터링할 수 있습니다. 로그를 제어하고 로그에 대한 액세스를 제한하여 보호할 수 있으며 더 이상 필요하지 않은 로그를 삭제할 수도 있습니다.

애플리케이션 비밀의 관리 간소화. Azure Key Vault는 일반적으로 애플리케이션 비밀을 보호하는 데 필요한 다음과 같은 관리를 간소화합니다.

  • 한 지역 전체와 보조 지역으로 Key Vault의 콘텐츠를 복제합니다. 데이터 복제를 사용하면 고가용성이 보장되고 장애 조치(failover)를 트리거하는 관리자의 모든 작업이 필요없습니다.
  • Azure CLI 및 PowerShell을 통해 표준 Azure 관리 옵션을 제공합니다.
  • 등록계약 및 갱신 등 공용 CA(인증 기관)에서 구매한 인증서의 특정 작업 자동화.

Diagram showing a representation of Azure Key Vault, an Azure developer receiving a key vault object identifier as a URI, and a security admin that obtains usage logging for keys.

또한 Azure Key Vault를 사용하면 애플리케이션 비밀을 분리할 수 있습니다. 애플리케이션은 액세스할 수 있는 자격 증명 모음에만 액세스할 수 있으며 특정 작업만 수행하도록 제한할 수 있습니다. 애플리케이션당 Azure Key Vault를 만들고 Key Vault에 저장된 비밀을 특정 애플리케이션 및 개발자 팀으로 제한할 수 있습니다.