이중 암호화는 한 계층의 암호화 손상으로부터 보호하기 위해 둘 이상의 독립적인 암호화 계층을 사용하도록 설정하는 위치입니다. 두 계층의 암호화를 사용하면 데이터 암호화와 함께 발생하는 위협이 완화됩니다. 다음은 그 예입니다.
- 데이터 암호화의 구성 오류
- 암호화 알고리즘의 구현 오류
- 단일 암호화 키 손상
Azure는 미사용 데이터 및 전송 중인 데이터에 대해 이중 암호화를 제공합니다.
정지된 데이터
미사용 데이터에 대해 두 계층의 암호화를 사용하도록 설정하는 Microsoft의 접근 방식은 다음과 같습니다.
- 고객 관리형 키를 사용하여 미사용 데이터 암호화 미사용 시 데이터 암호화를 위해 사용자 본인이 키를 제공합니다. 사용자 고유의 키를 Key Vault에 가져오거나(BYOK – Bring Your Own Key) Azure Key Vault에서 새 키를 생성하여 원하는 리소스를 암호화할 수 있습니다.
- 플랫폼 관리형 키를 사용하는 인프라 암호화. 기본적으로 데이터는 플랫폼 관리형 암호화 키를 사용하여 미사용 시 자동으로 암호화됩니다.
전송 중인 데이터
전송 중인 데이터에 대해 두 계층의 암호화를 사용하도록 설정하는 Microsoft의 접근 방식은 다음과 같습니다.
- TLS(전송 계층 보안) 1.2를 사용하여 전송 암호화를 사용하여 클라우드 서비스와 사용자 간에 이동할 때 데이터를 보호합니다. 데이터 센터를 떠나는 모든 트래픽은 트래픽 대상이 동일한 지역의 다른 도메인 컨트롤러인 경우에도 전송 중에 암호화됩니다. TLS 1.2는 사용되는 기본 보안 프로토콜입니다. TLS는 강력한 인증, 메시지 개인 정보 및 무결성(메시지 변조, 가로채기 및 위조의 검색 가능), 상호 운용성, 알고리즘 유연성, 배포 및 사용 편의성을 제공합니다.
- 인프라 계층에서 제공되는 추가 암호화 계층입니다. Azure 고객 트래픽이 Microsoft에서 제어하지 않는 물리적 경계 외부 또는 Microsoft를 대신하여 데이터 센터 간에 이동할 때마다 IEEE 802.1AE MAC 보안 표준 (MACsec이라고도 함)을 사용하는 데이터 링크 계층 암호화 방법이 기본 네트워크 하드웨어의 지점 간에서 적용됩니다. 패킷은 전송되기 전에 디바이스에서 암호화되고 암호 해독되어 물리적인 "맨인 더 미들" 또는 스누핑/도청 공격을 방지합니다. 이 기술은 네트워크 하드웨어 자체에 통합되어 있기 때문에 측정 가능한 링크 대기 시간 증가 없이 네트워크 하드웨어에 회선 속도 암호화를 제공합니다. 이 MACsec 암호화는 한 지역 내에서 또는 지역 간에 이동하는 모든 Azure 트래픽에 대해 기본적으로 켜져 있으며 고객이 사용하도록 설정하기 위해 필요한 작업은 없습니다.
다음 단계
Azure에서 암호화를 사용하는 방법을 알아봅니다.