Azure Key Vault의 안정성

Azure Key Vault 는 키, 암호, 인증서 및 기타 중요한 정보와 같은 비밀에 대한 보안 저장소를 제공하는 클라우드 서비스입니다. Key Vault는 비밀의 가용성을 보장하기 위해 다양한 기본 제공 신뢰성 기능을 제공합니다.

Azure를 사용하는 경우 안정성은 공유 책임입니다. Microsoft는 복원력 및 복구를 지원하는 다양한 기능을 제공합니다. 이러한 기능이 사용하는 모든 서비스 내에서 작동하는 방식을 이해하고 비즈니스 목표 및 가동 시간 목표를 충족하는 데 필요한 기능을 선택할 책임이 있습니다.

이 문서에서는 Key Vault가 일시적인 오류, 가용성 영역 중단 및 지역 중단을 비롯한 다양한 잠재적인 중단 및 문제에 대해 복원력이 있다고 설명합니다. 또한 백업을 사용하여 다른 유형의 문제에서 복구하는 방법, 실수로 인한 삭제를 방지하는 복구 기능 및 SLA(Key Vault 서비스 수준 계약)에 대한 몇 가지 주요 정보를 강조 표시합니다.

안정성을 위한 프로덕션 배포 권장 사항

프로덕션 워크로드의 경우 다음을 수행하는 것이 좋습니다.

안정성 아키텍처 개요

하드웨어 오류 또는 네트워크 중단이 발생하는 경우 키, 비밀 및 인증서의 높은 내구성과 가용성을 보장하기 위해 Key Vault는 다음 이벤트 중에 가용성을 유지하기 위해 여러 계층의 중복성을 제공합니다.

• 하드웨어 오류
• 네트워크 중단
• 지역화된 재해
• 유지 관리 활동

기본적으로 Key Vault는 지역 내에서 키 자격 증명 모음 및 해당 콘텐츠를 복제하여 중복성을 달성합니다.

지역에 쌍을 이루는 지역이 있고 쌍을 이루는 지역이 주 지역과 동일한 지역에 있는 경우 콘텐츠도 쌍을 이루는 지역에 복제됩니다. 이 방법은 키와 비밀의 높은 내구성을 보장하여 하드웨어 오류, 네트워크 중단 또는 지역화된 재해로부터 보호합니다.

일시적인 오류에 대한 복원력

일시적인 오류는 구성 요소에서 짧고 간헐적인 오류입니다. 클라우드와 같은 분산 환경에서 자주 발생하며 작업의 일반적인 부분입니다. 일시적인 오류는 짧은 시간 후에 스스로 수정됩니다. 애플리케이션은 일반적으로 영향을 받는 요청을 다시 시도하여 일시적인 오류를 처리할 수 있는 것이 중요합니다.

모든 클라우드 호스팅 애플리케이션은 클라우드 호스팅 API, 데이터베이스 및 기타 구성 요소와 통신할 때 Azure 임시 오류 처리 지침을 따라야 합니다. 자세한 내용은 임시 오류 처리를 위한 권장 사항을 참조하세요.

발생할 수 있는 일시적인 오류를 처리하려면 클라이언트 애플리케이션이 Key Vault와 상호 작용할 때 재시도 논리를 구현해야 합니다. 다음 모범 사례를 고려합니다.

• 일반적으로 기본 제공 재시도 메커니즘을 포함하는 Azure SDK를 사용합니다.

• 클라이언트가 Key Vault에 직접 연결하는 경우 지수 백오프 재시도 정책을 구현합니다.

• Key Vault에 대한 직접 요청을 줄이기 위해 가능하면 메모리의 비밀을 캐시합니다.

• Key Vault 서비스 제한을 초과하면 스로틀링 오류가 발생하므로 이에 대한 오류를 모니터링하십시오.

처리량이 많은 시나리오에서 Key Vault를 사용하는 경우 제한이 초과되는 것을 방지하기 위해 작업을 여러 키 자격 증명 모음에 분산하는 것이 좋습니다. 다음 시나리오에 대한 Key Vault 관련 지침을 고려합니다.

• 높은 처리량 시나리오는 소프트웨어 보호 키에 대한 초당 200개 작업과 같이 Key Vault 작업에 대한 서비스 제한 에 접근하거나 초과하는 시나리오입니다.

• 처리량이 높은 워크로드의 경우 키 볼트 트래픽을 여러 볼트 및 다른 지역으로 분산하십시오.

• 모든 트랜잭션 유형에 대한 구독 전체 제한은 개별 키 자격 증명 모음 제한의 5배입니다.

• 각 보안 또는 가용성 도메인에 대해 별도의 저장소를 사용합니다. 예를 들어, 두 지역에 5개의 앱이 있는 경우, 10개의 볼트를 사용하는 것을 고려하십시오.

• 암호화, 래핑 및 확인과 같은 공개 키 작업의 경우 공개 키 자료를 캐싱하여 이러한 작업을 로컬로 수행합니다.

자세한 내용은 Key Vault 제한 지침을 참조하세요.

가용성 영역 오류에 대한 복원력

가용성 영역은 Azure 지역 내에서 물리적으로 별도의 데이터 센터 그룹입니다. 한 영역이 실패하면 서비스가 나머지 영역 중 하나로 전환될 수 있습니다.

Key Vault는 가용성 영역을 지원하는 지역에서 영역 중복성을 자동으로 제공합니다. 이 중복성은 특정 구성 없이도 지역 내에서 고가용성을 제공합니다.

가용성 영역을 사용할 수 없게 되면 Key Vault는 고가용성을 보장하기 위해 요청을 다른 정상 가용성 영역으로 자동으로 리디렉션합니다.

지역 지원

Key Vault는 가용성 영역을 지원하는 모든 Azure 지역에서 기본적으로 영역 중복을 사용하도록 설정합니다.

요구 사항

모든 Key Vault SKU, 표준 및 프리미엄은 동일한 수준의 가용성 및 복원력을 지원합니다. 영역 복원력을 달성하기 위한 계층별 요구 사항은 없습니다.

비용

Key Vault의 영역 중복과 관련된 추가 비용은 없습니다. 가격 책정은 SKU, 표준 또는 프리미엄 및 수행된 작업 수를 기반으로 합니다.

모든 영역이 정상인 경우의 동작

이 섹션에서는 키 자격 증명 모음이 가용성 영역이 있는 지역에 있고 모든 가용성 영역이 작동하는 경우 예상되는 상황을 설명합니다.

• 영역 간의 트래픽 라우팅: Key Vault는 가용성 영역 간의 트래픽 라우팅을 자동으로 관리합니다. 정상적인 작업 중에 요청은 영역 간에 투명하게 분산됩니다.

• 영역 간 데이터 복제: Key Vault 데이터는 영역을 지원하는 지역의 가용성 영역에서 동기적으로 복제됩니다. 이 복제를 통해 영역을 사용할 수 없게 되는 경우에도 키, 비밀 및 인증서가 일관되고 사용 가능한 상태로 유지됩니다.

영역 오류 중 동작

다음 섹션에서는 키 자격 증명 모음이 가용성 영역이 있는 지역에 있고 하나 이상의 가용성 영역을 사용할 수 없는 경우 예상되는 상황을 설명합니다.

• 검색 및 응답: Key Vault 서비스는 영역 오류를 감지하고 자동으로 응답하는 역할을 담당합니다. 영역 오류가 발생하는 동안에는 아무 작업도 수행할 필요가 없습니다.

• 알림: 영역이 다운된 경우 Microsoft는 자동으로 알리지 않습니다. 그러나 Azure Resource Health 를 사용하여 개별 리소스의 상태를 모니터링하고 Resource Health 경고를 설정하여 문제를 알릴 수 있습니다. 또한 Azure Service Health를 사용하여 영역 오류를 포함하여 서비스의 전반적인 상태를 파악할 수 있으며, 문제를 알리도록 Service Health 경고를 설정할 수 있습니다.

• 활성 요청: 영역 실패 시 영향을 받는 영역이 플라이트 내 요청을 처리하지 못할 수 있으므로 클라이언트 애플리케이션에서 다시 시도해야 합니다. 클라이언트 애플리케이션은 일시적인 오류 처리 방법을 따라 영역 오류가 발생할 경우 요청을 다시 시도할 수 있는지 확인해야 합니다.

• 예상 데이터 손실: 영역 간의 동기 복제로 인해 영역 오류가 발생한 동안 데이터 손실이 예상되지 않습니다.

• 예상 가동 중지 시간: 읽기 작업의 경우 영역 오류 중에 가동 중지 시간이 최소화되어야 합니다. 쓰기 작업은 서비스가 영역 오류에 맞게 조정되는 동안 일시적으로 사용할 수 없게 될 수 있습니다. 읽기 작업은 영역 오류 중에 계속 사용할 수 있을 것으로 예상됩니다.

• 트래픽 경로 변경: Key Vault는 고객의 개입 없이 영향을 받는 영역에서 정상 영역으로 트래픽을 자동으로 다시 라우팅합니다.

영역 복구

영향을 받는 가용성 영역이 복구되면 Key Vault는 작업을 해당 영역으로 자동으로 복원합니다. Azure 플랫폼은 이 프로세스를 완전히 관리하며 고객 개입이 필요하지 않습니다.

지역 전체 오류에 대한 복원력

Key Vault 리소스는 단일 Azure 지역에 배포됩니다. 해당 지역을 사용할 수 없게 되면 키 자격 증명 모음도 사용할 수 없게 됩니다. 그러나 지역 중단에 대한 복원력을 보장하는 데 사용할 수 있는 방법이 있습니다. 이러한 방식은 키 자격 증명 모음이 쌍을 이루는 지역이나 페어링되지 않은 지역에 있는지 여부와 특정 요구 사항 및 구성에 따라 달라집니다.

Microsoft에서 관리하는 쌍을 이루는 지역으로의 장애 조치(failover)

Key Vault는 대부분의 쌍을 이루는 지역에서 키 자격 증명 모음에 대한 Microsoft 관리 복제 및 장애 조치(failover)를 지원합니다. 키 자격 증명 모음의 콘텐츠는 지역 내에서 자동으로 복제되고, 쌍을 이루는 지역에는 비동기식으로 복제됩니다. 이 방식은 키와 비밀의 높은 내구성을 보장합니다. 장기간 지역 장애가 발생하는 경우 Microsoft에서 키 자격 증명 모음의 지역 장애 조치(failover)를 시작할 수 있습니다.

다음 지역은 Microsoft 관리 복제 또는 지역 간 장애 조치(failover)를 지원하지 않습니다.

• 브라질 남부
• 브라질 남동부
• 미국 서부 3
• 쌍을 이루는 지역이 없는 모든 지역

또한 백업 및 복원 기능을 사용하여 자격 증명 모음의 콘텐츠를 선택한 다른 지역에 복제할 수도 있습니다.

고려 사항

• 가동 중지 시간: 장애 조치(failover)가 진행되는 동안 몇 분 동안 키 자격 증명 모음을 사용할 수 없을 수 있습니다.

• 장애 조치(failover) 후 읽기 전용: 장애 조치(failover) 후 키 자격 증명 모음은 읽기 전용이 되며 제한된 작업만 지원합니다. 보조 지역에서 작동하는 동안에는 키 자격 증명 모음 속성을 변경할 수 없으며 보조 지역에서 작동하는 동안에는 액세스 정책 및 방화벽 구성을 수정할 수 없습니다.

  키 자격 증명 모음이 읽기 전용 모드인 경우 다음 작업만 지원됩니다.

  • 인증서 나열
  • 인증서 가져오기
  • 암호 나열
  • 암호 가져오기
  • 키 나열
  • 키(키의 속성) 가져오기
  • Encrypt
  • 암호 해독
  • 래핑
  • 래핑 취소
  • Verify
  • 로그인
  • 백업

비용

Key Vault의 기본 제공 다중 지역 복제 기능에 대한 추가 비용은 없습니다.

모든 지역이 정상인 경우의 동작

다음 섹션에서는 Microsoft에서 관리하는 복제 및 장애 조치(failover)를 지원하는 지역에 키 자격 증명 모음이 있고 주 지역이 작동하는 경우 예상되는 상황을 설명합니다.

• 지역 간 트래픽 라우팅: 정상적인 작업 중에는 모든 요청이 키 자격 증명 모음이 배포된 주 지역으로 라우팅됩니다.

• 지역 간 데이터 복제: Key Vault는 데이터를 쌍을 이루는 지역에 비동기적으로 복제합니다. 키 볼트 콘텐츠를 변경하면 해당 변경 사항이 먼저 주 지역에 적용된 후 보조 지역에 복제됩니다.

지역 오류 중 동작

다음 섹션에서는 Microsoft에서 관리하는 복제 및 장애 조치(failover)를 지원하는 지역에 키 자격 증명 모음이 있고 주 지역에 중단이 발생한 경우 예상되는 상황을 설명합니다.

• 검색 및 응답: Microsoft는 주 지역이 손실된 경우 장애 조치(failover)를 수행할 수 있습니다. 이 프로세스는 주 지역이 손실된 후 몇 시간 또는 일부 시나리오에서 더 오래 걸릴 수 있습니다. 키 자격 증명 모음의 장애 조치(failover)는 다른 Azure 서비스와 동시에 발생하지 않을 수 있습니다.

• 알림: 영역이 다운된 경우 Microsoft는 자동으로 알리지 않습니다. 그러나 Azure Resource Health 를 사용하여 개별 리소스의 상태를 모니터링하고 Resource Health 경고를 설정하여 문제를 알릴 수 있습니다. 또한 Azure Service Health를 사용하여 영역 오류를 포함하여 서비스의 전반적인 상태를 파악할 수 있으며, 문제를 알리도록 Service Health 경고를 설정할 수 있습니다.

• 활성 요청: 지역 장애 조치(failover) 중에 활성 요청이 실패할 수 있으며, 클라이언트 애플리케이션은 장애 조치(failover)가 완료된 후 다시 시도해야 합니다.

• 예상 데이터 손실: 주 지역이 실패하기 전에 변경 내용이 보조 지역에 복제되지 않으면 데이터가 손실될 수 있습니다.

• 예상 가동 중지 시간: 주 지역에 대규모 중단이 발생하는 경우 Microsoft가 보조 지역으로 장애 조치(failover)를 시작할 때까지 키 자격 증명 모음을 몇 시간 동안 사용할 수 없을 수 있습니다.

  Private Link를 사용하여 키 자격 증명 모음에 연결하는 경우 지역 장애 조치(failover) 후 연결이 다시 설정되는 데 최대 20분이 걸릴 수 있습니다.

• 트래픽 경로 변경: 지역 장애 조치(failover)가 완료되면 고객의 개입 없이 요청이 쌍을 이루는 지역으로 자동으로 라우팅됩니다.

복원력을 위한 사용자 지정 다중 지역 솔루션

Key Vault의 Microsoft 관리 지역 간 장애 조치(failover) 기능이 적합하지 않은 시나리오가 있습니다.

• 키 자격 증명 모음이 페어링되지 않은 지역에 있습니다.

• 키 자격 증명 모음이 브라질 남부, 브라질 남동부, 미국 서부 3 지역에서 Microsoft가 관리하는 지역 간 복제 및 장애 조치(failover)를 지원하지 않는 쌍을 이루는 지역에 있습니다.

• 비즈니스 가동 시간 목표는 Microsoft에서 관리하는 지역 간 장애 조치(failover)가 제공하는 복구 시간 또는 데이터 손실로 인해 충족되지 않습니다.

• 주 지역의 쌍이 아닌 지역으로 장애 조치(failover)를 취해야 합니다.

다음 단계를 수행하여 사용자 지정 지역 간 장애 조치(failover) 솔루션을 디자인할 수 있습니다.

1. 다른 지역에 별도의 키 자격 증명 저장소를 만듭니다.

2. 백업 및 복원 기능을 사용하여 지역 간에 일관된 비밀을 유지 관리합니다.

3. 키 자격 증명 모음 간 장애 조치(failover)를 위해 애플리케이션 수준 논리를 구현합니다.

백업 및 복원

Key Vault는 개별 비밀, 키 및 인증서를 백업하고 복원할 수 있습니다. 백업은 키 자격 증명 모음에 대한 접근 권한을 잃는 드문 경우를 대비하여 비밀의 오프라인 복사본을 제공하도록 의도된 것입니다.

백업 기능과 관련된 다음 주요 요소를 고려합니다.

• 백업은 Azure 외부에서 암호 해독할 수 없는 암호화된 Blob을 만듭니다.

• 백업은 동일한 Azure 구독 및 Azure 지역 내의 키 볼트로만 복원할 수 있습니다.

• 키, 비밀 또는 인증서 개체의 이전 버전이 500개 이하인 백업에는 제한이 있습니다.

• 백업은 지정 시간 스냅샷이며 비밀이 변경되면 자동으로 업데이트되지 않습니다.

대부분의 솔루션의 경우 백업에만 의존해서는 안 됩니다. 대신 이 가이드에 설명된 다른 기능을 사용하여 복원력 요구 사항을 지원합니다. 그러나 백업은 다른 방식에서는 볼 수 없는 특정 비밀의 우발적 삭제와 같은 일부 위험으로부터 보호해줍니다. 자세한 내용은 Key Vault 백업을 참조하세요.

복구 기능

Key Vault는 우발적이거나 악의적인 삭제를 방지하기 위한 두 가지 주요 복구 기능을 제공합니다.

• 소프트 삭제: 이 기능을 활성화하면, 구성 가능한 보존 기간 동안 삭제된 금고 및 객체를 복구할 수 있습니다. 이 기간은 기본값인 90일입니다. 소프트 삭제를 키 보관소 리소스의 휴지통처럼 생각해보세요.

• 제거 보호: 제거 보호를 사용하도록 설정하면 보존 기간이 경과할 때까지 키 자격 증명 모음 및 해당 개체를 영구적으로 삭제할 수 없습니다. 이 보호 장치는 악의적인 행위자가 비밀을 영구적으로 파괴하는 것을 방지합니다.

프로덕션 환경에는 두 기능을 모두 사용하는 것이 좋습니다. 자세한 내용은 Key Vault 복구 관리 설명서의 일시 삭제 및 제거 보호를 참조하세요.

서비스 수준 약정

Azure 서비스의 SLA(서비스 수준 계약)는 각 서비스의 예상 가용성과 해당 가용성 예상 결과치를 달성하기 위해 솔루션이 충족해야 하는 조건을 설명합니다. 자세한 내용은 온라인 서비스 SLA를 참조하세요.

관련 콘텐츠

• Key Vault 백업
• Key Vault 복구 관리
• Azure의 안정성