암호화

암호화

• 데이터를 읽을 수 없고 사용할 수 없게 만드는 프로세스
• 암호화된 데이터를 사용하거나 읽으려면 암호를 해독해야 하며, 비밀키를 사용해야 한다.
• 방식
  • 대칭암호화
    • 데이터 암호화 및 암호 해독에 동일한 키를 사용
  • 비대칭암호화
    • 퍼블릭 키와 프라이빗 키 쌍을 사용
    • 각 키를 데이터 암호화에 사용할 수 있지만, 암호화된 데이터를 암호 해독하는데 사용할 수 없음.
    • 암호 해독을 위해서는 쌍으로 연결된 키가 필요함.
    • 비대칭 암호화는 TLS, 데이터 서명 등에 사용됨.
• 데이터를 적절히 보호함.

접근 방법

1. 미사용 암호화

• 미사용 데이터 : 물리적 매체에 저장된 데이터, 서버 디스크에 저장된 데이터, 데이터베이스에 저장된 데이터, 스토리지 계정에 저장된 데이터가 포함됨.
• 미사용 데이터 암호화 ⇒ 암호 해독에 필요한 키와 비밀이 없이 저장된 데이터를 읽을 수 없음. ⇒ 공격자가 암호화된 데이터가 있는 하드 드라이브를 손에 넣더라도 암호화 키에 액세스 할 수 없음, 데이터가 쉽게 손상되지 않음. ⇒ 공격자가 하드 드라이브에서 암호화되지 않은 데이터에 액세스하는 것보다 훨씬 더 복잡하고 리소스를 많이 소비하는 암호화된 데이터에 대해 공격을 시도해야 함.

2. 전송 중 암호화

• 전송 중인 데이터 : 인터넷을 통해 , 프라이빗 네트워크를 통해 한 위치에서 다른 위치로 능동적으로 이동하는 데이터, 네트워크를 통해 데이터를 보내기 전에 암호화하여 두 시스템간에 암호화되지 않은 데이터를 전송하는 보안 채널을 설정하여 데이터를 안전하게 전송할 수 있음.
• 외부 관찰자로부터 데이터를 보호하며 노출 위험을 제한, 데이터를 전송하는 매커니즘이 제공됨.

데이터 식별, 분류

1.제한

→ 심각한 위험. ex_ 신용 카드 정보등

2. 프라이빗

→ 보통 수준의 위험

3. 공용

→ 보호가 불필요

Azure 암호화

1. 원시 스토리지 암호화

• 조직의 보안, 규정 준수 약정에 맞게 데이터 보호 가능
• Azure 스토리지 플랫폼 : 256 비트 AES 암호화⇒ 데이터 자동으로 암호화 ⇒ 디스크 보관 ⇒ 검색 중 데이터 해독
• Azure Storage 암호화 처리, 미사용 암호화, 암호 해독 및 키 관리는 서비스를 사용하는 애플리케이션에 투명하게 처리됨.

자동암호화

• Azure Storage 서비스
• 두 성능 계층(Standard, Premium)
• 두 배포 모델(Azure Resource Manager, classic)

2. 데이터베이스 암호화

• 데이터가 데이터베이스에서 암호화되는지 확인
• 투명한 데이터 암호화⇒ 악의적인 활동 위협으로부터 Azure SQL Database, Azure Data Warehouse 보호할 수 있음, 새로배포된 모든 Azure SqL 데이터베이스 까지 활성화됨.
• 데이터베이스 암호화 키라는 대칭 키를 사용하여 전체 데이터베이스의 스토리지를 암호화함.
• Azure는 논리적 SQL Server 인스턴스마다 고유한 암호화 키를 제공하고 모든 세부 정보를 처리함.
• 조직은 데이터베이스에 저장된 데이터가 적절하게 보호된다고 확신할 수 있음.
• 조직은 온프레미스 SQL server 데이터베이스에서 SQL Server Always Encrypted 기능을 설정함.
• Encrypted는 클라이언트 개인 정보 및 재무 데이터와 같은 중요 데이터를 보호하도록 설계됨.
• 설치된 드라이버를 통해 SQL Server데이터베이스 외부에서 클라이언트 애플리케이션이 암호화 및 암호 해독을 처리하도록 하여 전송 중인 미사용 열 데이터를 보호

3. 백업 암호화

• Azure Backup을 사용하여 온프레미스 머신, Azure VM에서 데이터를 백업함.
• AES256과 관리자가 구성한 암호에서 생성된 키를 사용하여 로컬 백업을 암호화
• 데이터가 HTTPS를 통해 Azure로 안전하게 전송 ⇒ 암호화된 데이터 디스크에 저장됨 (Azure VM은 디스크에 Azure Storage를 사용하므로 미사용시 자동으로 암호화됨.)