가용성 키는 DEP(데이터 암호화 정책)를 만들 때 자동으로 생성되고 프로비전되는 루트 키입니다. Microsoft 365는 이 키를 저장하고 보호합니다.
가용성 키는 고객 키에 제공하는 두 개의 루트 키와 같은 기능을 합니다. 키 계층 구조에서 키 1계층을 낮게 래핑합니다. Azure Key Vault 관리하는 키와 달리 가용성 키에 직접 액세스할 수 없습니다. Microsoft 365 자동화된 서비스는 프로그래밍 방식으로 관리하고 사용합니다.
주요 목적은 관리하는 루트 키의 예기치 않은 손실로부터 복구를 지원하는 것입니다(예: 잘못된 관리 또는 악의적인 작업). 루트 키를 제어하지 못하면 Microsoft 지원 문의하여 가용성 키로 암호화된 데이터를 복구하고 프로비전하는 새 루트 키를 사용하여 새 DEP로 마이그레이션합니다.
가용성 키는 세 가지 방법으로 Azure Key Vault 키와 다릅니다.
- Azure Key Vault 키가 모두 손실된 경우 복구 또는 중단 옵션을 제공합니다.
- 제어 및 스토리지의 논리적 분리는 심층 방어를 추가하고 단일 오류로 인한 키 또는 데이터의 총 손실을 방지하는 데 도움이 됩니다.
- Exchange 또는 다중 워크로드 서비스 암호화에 대한 임시 Azure Key Vault 액세스 문제 중에 고가용성을 지원합니다. SharePoint 및 OneDrive는 사용자가 요청하는 명시적 복구 중에만 가용성 키를 사용합니다.
Microsoft는 계층화된 키 관리 보호 및 프로세스를 통해 데이터를 보호하는 책임을 공유합니다. 이 방법은 영구 키 또는 데이터 손실의 위험을 줄입니다. 서비스를 종료하는 경우 가용성 키를 사용하지 않도록 설정하거나 삭제할 수 있는 유일한 권한이 있습니다. 기본적으로 Microsoft의 누구도 가용성 키에 직접 액세스할 수 없습니다. Microsoft 365 서비스 코드만 사용할 수 있습니다.
Microsoft가 키를 보호하는 방법에 대한 자세한 내용은 Microsoft 보안 센터를 참조하세요.
가용성 키 사용
가용성 키는 외부 공격자 또는 악의적인 내부자가 키 자격 증명 모음을 제어하거나 잘못된 관리로 인해 루트 키가 손실되는 경우 복구를 지원합니다. 이 복구 기능은 고객 키를 지원하는 모든 Microsoft 365 서비스에 적용됩니다. 일부 서비스는 제한된 고가용성 시나리오에도 사용합니다.
공유 동작:
- 복구: 새 DEP 및 새 고객 키를 사용하여 데이터를 다시 암호화할 수 있도록 데이터 암호 해독을 지원합니다.
- 프로그래밍 방식만 사용: Microsoft 365 서비스 코드를 통해 액세스합니다. 직접 관리자 액세스 권한은 없습니다.
- 운영 키를 대체할 수 없음: 두 고객 키는 기본 암호화 루트로 유지됩니다.
워크로드별 서비스 동작:
복구 외에도 서비스는 짧은 Azure Key Vault 중단 또는 네트워크 오류 중에 가용성 키를 사용합니다. 이 기능은 필요한 백그라운드 작업에 사서함 데이터에 액세스할 수 있도록 유지합니다.
- 맬웨어 방지 및 바이러스 백신 검사
- eDiscovery
- Microsoft Purview 데이터 손실 방지
- 사서함 이동
- 인덱싱
하나의 고객 키를 사용하여 래프 해제 시도가 시스템 오류를 반환하는 경우 Exchange는 두 번째 키를 시도합니다. 시스템 오류로 두 시도가 모두 실패하면 가용성 키로 돌아갑니다. 액세스 거부 오류는 사용자 작업에 대해 트리거하지 않습니다.
가용성 키 보안
Microsoft는 가용성 키를 생성하고 엄격한 제어를 적용하여 데이터를 보호하는 책임을 공유합니다.
고객은 가용성 키에 직접 액세스할 수 없습니다. 예를 들어 Azure Key Vault 관리하는 키만 롤할 수 있습니다. Microsoft는 사용자에게 노출하지 않고 자동화된 서비스 코드를 통해 가용성 키를 관리합니다.
자세한 내용은 고객 키 또는 가용성 키 롤 또는 회전을 참조하세요.
가용성 키 비밀 저장소
Microsoft는 Azure Key Vault 유사하게 액세스 제어되는 내부 비밀 저장소의 가용성 키를 보호합니다. 액세스 제어를 사용하면 Microsoft 관리자가 저장된 비밀을 직접 검색할 수 없습니다. 모든 작업(회전 및 삭제 포함)은 자동화된 서비스 코드를 통해 발생합니다.
관리 작업은 특정 엔지니어로 제한되며 Lockbox를 통한 권한 상승이 필요합니다. 요청에는 타당성, 관리자 승인됨, 시간 제한, 만료 또는 로그아웃 시 자동으로 해지되어야 합니다.
Exchange 및 다중 워크로드 가용성 키는 Active Directory 도메인 컨트롤러의 테넌트별 컨테이너 내의 Exchange Active Directory 비밀 저장소에 저장됩니다. 이 저장소는 SharePoint 및 OneDrive에서 사용하는 저장소와 격리됩니다.
SharePoint 및 OneDrive 가용성 키는 애플리케이션 엔드포인트 및 SQL Database 백 엔드를 제공하는 프런트 엔드 서버가 있는 내부 비밀 저장소에 저장됩니다. 키는 AES-256 및 HMAC를 사용하는 비밀 저장소 암호화 키로 래핑됩니다. 이러한 키는 논리적으로 격리된 데이터베이스 영역에 저장되며 Microsoft CA(인증 기관)에서 발급한 RSA-2048 인증서를 사용하여 추가로 암호화됩니다. 인증서는 데이터베이스 작업을 수행하는 프런트 엔드 서버에 저장됩니다.
심층 방어
Microsoft는 악의적인 행위자가 Microsoft 클라우드에 저장된 고객 데이터의 기밀성, 무결성 또는 가용성을 손상시키지 않도록 하기 위해 심층 방어 전략을 사용합니다. 이 계층화된 보안 접근 방식의 일부로 비밀 저장소 및 가용성 키를 보호하기 위한 특정 예방 및 검색 컨트롤이 마련되어 있습니다.
Microsoft 365는 가용성 키의 오용을 방지하도록 설계되었습니다. 애플리케이션 계층은 암호화 및 암호 해독에 키(가용성 키 포함)를 사용할 수 있는 유일한 인터페이스입니다. Microsoft 365 서비스 코드만 키 계층 구조를 해석하고 트래버스할 수 있습니다. 논리적 격리는 고객 키의 스토리지 위치, 가용성 키, 기타 계층 키 및 고객 데이터 간에 존재합니다. 이 분리는 위치가 손상된 경우 데이터 노출 위험을 줄입니다. 키 계층의 각 계층에는 저장된 데이터와 비밀을 보호하기 위한 지속적인 침입 검색이 포함됩니다.
액세스 제어는 가용성 키 비밀 저장소를 포함하여 내부 시스템에 대한 무단 액세스를 방지합니다. Microsoft 엔지니어는 이러한 매장에 직접 액세스할 수 없습니다. 자세한 내용은 Microsoft 365의 관리 액세스 제어를 참조하세요.
또한 기술 제어를 통해 Microsoft 직원이 권한이 높은 서비스 계정에 로그인할 수 없으므로 공격자가 Microsoft 서비스를 가장하는 데 사용할 수 있습니다. 이러한 컨트롤은 대화형 로그인 시도를 차단합니다.
보안 로깅 및 모니터링은 Microsoft의 심층 방어 접근 방식의 다른 안전 장치입니다. 서비스 팀은 경고 및 감사 로그를 생성하는 모니터링 솔루션을 배포합니다. 모든 로그는 집계 및 분석되는 중앙 리포지토리에 업로드됩니다. 내부 도구는 이러한 레코드를 자동으로 평가하여 서비스가 예상대로 안전하고 복원력이 있으며 작동하도록 합니다. 비정상적인 활동은 검토를 위해 플래그가 지정됩니다.
Microsoft 보안 정책의 잠재적 위반을 알리는 모든 이벤트는 Microsoft 보안 팀으로 에스컬레이션됩니다. Microsoft 365 보안 경고는 가용성 키 비밀 저장소에 대한 액세스 시도 및 서비스 계정에 대한 무단 로그인 시도를 감지하도록 구성됩니다. 또한 시스템은 예상 기준 서비스 동작의 편차를 감지합니다. Microsoft 365 서비스를 오용하려고 하면 경고가 트리거되고 위반자가 Microsoft 클라우드 환경에서 제거될 수 있습니다.
가용성 키를 사용하여 키 손실에서 복구
고객 키를 제어하지 못하면 가용성 키를 사용하면 영향을 받는 데이터의 암호를 해독하고 새 고객 키를 사용하여 새 DEP에서 다시 암호화할 수 있습니다.
- 별도의 Azure 구독에 두 개의 새 고객 키를 만듭니다.
- 새 Exchange DEP를 만듭니다.
- 영향을 받은 사서함에 DEP를 할당합니다.
- 백그라운드 다시 암호화를 허용합니다(최대 72시간이 걸릴 수 있습니다). 가용성 키는 전환 중에 데이터를 보호합니다.
가용성 키 사용 방법
고객 키를 사용하여 DEP(데이터 암호화 정책)를 만들 때 Microsoft 365는 해당 정책과 연결된 DEP 키를 생성합니다. 이 서비스는 DEP 키를 세 번 암호화합니다. 즉, 각 고객 키와 한 번, 가용성 키를 사용하여 한 번 암호화합니다. 암호화된 버전의 DEP 키만 저장됩니다. DEP 키는 고객 키 또는 가용성 키 중 하나에서만 암호 해독할 수 있습니다.
DEP 키는 사서함 키를 암호화하는 데 사용되며, 이 키는 개별 사서함을 암호화합니다.
Microsoft 365는 다음 프로세스를 사용하여 사서함 데이터의 암호를 해독하고 액세스를 제공합니다.
- 고객 키를 사용하여 DEP 키의 암호를 해독합니다.
- 암호 해독된 DEP 키를 사용하여 사서함 키의 암호를 해독합니다.
- 암호 해독된 사서함 키를 사용하여 사서함의 암호를 해독하고 데이터에 대한 액세스를 제공합니다.
가용성 키 트리거
Microsoft 365는 특정 상황에서만 가용성 키를 트리거하며 이러한 상황은 서비스에 따라 다릅니다.
Microsoft 365는 사서함 작업에 DEP 키가 필요한 경우 다음 순서를 따릅니다.
- 사서함에 할당된 DEP(데이터 암호화 정책)를 읽고 Azure Key Vault 저장된 두 고객 키를 식별합니다.
- 두 키 중 하나를 임의로 선택하고 DEP 키를 래프(암호 해독)하기 위해 Azure Key Vault 요청을 보냅니다.
- 해당 요청이 실패하면 대체 키를 사용하여 두 번째 요청을 보냅니다.
- 두 요청이 모두 실패하면 Microsoft 365는 실패 유형을 평가합니다.
- 시스템 오류(예: Azure Key Vault 서비스를 사용할 수 없음, 시간 제한, 일시적인 네트워크 오류): 가용성 키를 사용하여 DEP 키를 래프 해제합니다. 그러면 DEP 키가 사서함 키의 암호를 해독하고 서비스가 작업을 완료합니다.
- 액세스 거부 오류(키 삭제, 삭제된 권한, 제거 프로세스 중 의도적이거나 실수로 제거됨): 가용성 키는 사용자가 시작한 작업에 사용되지 않습니다. 사용자 요청이 실패하고 오류를 반환합니다.
중요
서비스 코드는 필요한 내부 처리를 위해 유효한 토큰을 유지 관리합니다. 가용성 키를 삭제할 때까지 내부 Exchange 작업(예: 사서함 이동, 인덱싱, 바이러스 백신 검사, eDiscovery, DLP)은 두 고객 키에 연결할 수 없는 경우(원인은 시스템 오류인지 아니면 액세스가 거부되었는지) 가용성 키로 대체될 수 있습니다. 이 디자인은 조사하는 동안 서비스 복원력을 유지하는 데 도움이 됩니다.
감사 로그 및 가용성 키
자동화된 백그라운드 처리(바이러스 백신, eDiscovery, DLP, 인덱싱)는 고객이 볼 수 있는 로그를 생성하지 않습니다. Microsoft 직원은 정상 작업 중에 데이터에 액세스하지 않습니다.
Exchange가 서비스를 제공하기 위해 가용성 키에 액세스하면 Microsoft 365는 고객이 볼 수 있는 로그를 만듭니다. Microsoft Purview 포털에서 이러한 로그에 액세스할 수 있습니다. 서비스에서 가용성 키를 사용할 때마다 감사 로그 항목이 생성됩니다.
대체 이벤트는 통합 감사 로그 항목을 만듭니다.
- 레코드 유형: CustomerKeyServiceEncryption
- 작업: 가용성 키로 대체
필드에는 날짜, 시간, 활동, organization ID, DEP ID, 정책 ID, 범위 키 버전 ID, 요청 ID(관리 작업 공통 스키마)가 포함됩니다.
로그 세부 정보 내에 필드에 Workload 가 Exchange표시됩니다.
고객 키 계층 구조의 가용성 키
Microsoft 365는 가용성 키를 사용하여 고객 키 암호화 계층 구조에서 아래 키 계층을 래핑합니다. 각 서비스에는 다른 키 계층 구조가 있습니다. 키 알고리즘은 가용성 키와 계층 구조의 다른 키 간에도 다릅니다.
각 서비스에서 사용하는 가용성 키 알고리즘은 다음과 같습니다.
- Exchange 가용성 키는 AES-256을 사용합니다.
- 다중 워크로드 가용성 키는 AES-256을 사용합니다.
- SharePoint 및 OneDrive 가용성 키는 RSA-2048을 사용합니다.
Exchange용 키를 암호화하는 데 사용되는 암호화 암호화
SharePoint의 키를 암호화하는 데 사용되는 암호화 암호화
