Azure Key Vault 살펴보기
Azure Key Vault 서비스는 자격 증명 모음 및 관리형 HSM(하드웨어 보안 모듈) 풀이라는 두 가지 유형의 컨테이너를 지원합니다. 자격 증명 모음은 소프트웨어 및 HSM 지원 키, 암호 및 인증서를 저장하도록 지원합니다. 관리형 HSM 풀은 HSM 지원 키만 지원합니다.
Azure Key Vault는 다음 문제를 해결하는 데 도움이 됩니다.
비밀 관리: Azure Key Vault를 사용하여 토큰, 암호, 인증서, API 키 및 기타 비밀에 대한 액세스를 안전하게 저장하고 엄격하게 제어할 수 있습니다.
키 관리: Azure Key Vault를 키 관리 솔루션으로 사용할 수도 있습니다. Azure Key Vault를 사용하면 데이터를 암호화하는 데 사용되는 암호화 키를 쉽게 만들고 제어할 수 있습니다.
인증서 관리: Azure Key Vault는 Azure 및 내부 연결된 리소스에서 사용할 수 있도록 공용 및 프라이빗 SSL/TLS(보안 소켓 계층/전송 계층 보안) 인증서를 쉽게 프로비전, 관리 및 배포할 수 있는 서비스이기도 합니다.
Azure Key Vault에는 소프트웨어 키로 암호화되는 표준과 HSM(하드웨어 보안 모듈)으로 보호되는 키를 포함하는 프리미엄 계층의 두 가지 서비스 계층이 있습니다. 표준 계층과 프리미엄 계층 간의 비교를 보려면 Azure Key Vault 가격 책정 페이지참조하세요.
Azure Key Vault 사용의 주요 이점
중앙 집중식 애플리케이션 비밀: Azure Key Vault에서 애플리케이션 비밀의 스토리지를 중앙 집중화하면 배포를 제어할 수 있습니다. 예를 들어 연결 문자열을 앱 코드에 저장하는 대신 Key Vault에 안전하게 저장할 수 있습니다. 애플리케이션은 URI를 사용하여 필요한 정보에 안전하게 액세스할 수 있습니다. 이러한 URI를 사용하면 애플리케이션에서 특정 버전의 비밀을 검색할 수 있습니다.
비밀 및 키를 안전하게 저장하는 : 키 자격 증명 모음에 액세스하려면 호출자(사용자 또는 애플리케이션)가 액세스하기 전에 적절한 인증 및 권한 부여가 필요합니다. 인증은 Microsoft Entra ID를 통해 수행됩니다. 권한 부여는 Azure RBAC(Azure 역할 기반 액세스 제어) 또는 Key Vault 액세스 정책을 통해 수행할 수 있습니다. Azure RBAC는 자격 증명 모음의 관리와 자격 증명 모음에 저장된 데이터에 액세스하는 데 모두 사용할 수 있습니다. 키 자격 증명 저장소 액세스 정책은 저장소에 저장된 데이터에 액세스하려고 할 때만 사용할 수 있습니다. Azure Key Vault는 소프트웨어로 보호되거나 Azure Key Vault 프리미엄 계층을 사용하여 하드웨어로 HSM(하드웨어 보안 모듈)으로 보호될 수 있습니다.
액세스 및 사용 모니터링: 자격 증명 모음에 로깅을 사용하도록 설정하여 활동을 모니터링할 수 있습니다. 로그를 제어할 수 있으며 액세스를 제한하여 로그를 보호할 수 있으며 더 이상 필요하지 않은 로그를 삭제할 수도 있습니다. Azure Key Vault 진단 로그 및 메트릭은 다음으로 구성할 수 있습니다.
- 스토리지 계정에 보관합니다.
- 이벤트 허브로 스트리밍합니다.
- 로그를 Azure Monitor 로그로 보냅니다.
애플리케이션 비밀의 간소화된 관리: 보안 정보를 보호해야 하며 수명 주기를 따라야 하며 고가용성이어야 합니다. Azure Key Vault는 다음을 통해 이러한 요구 사항을 충족하는 프로세스를 간소화합니다.
- 하드웨어 보안 모듈에 대한 사내 지식 필요 제거
- 조직의 사용량 급증에 맞춰 신속하게 확장합니다.
- 지역 내 및 보조 지역에 Key Vault의 콘텐츠를 복제합니다. 데이터 복제는 고가용성을 보장하고 장애 조치(failover)를 트리거하기 위한 관리자의 작업 필요를 제거합니다.
- 포털, Azure CLI 및 PowerShell을 통해 표준 Azure 관리 옵션을 제공합니다.
- 등록 및 갱신과 같이 공용 CA에서 구매한 인증서에 대한 특정 작업을 자동화합니다.