[Az303] Azure Disk Encryption 구성

1. Azure 암호화 기술

SSE 

데이터 센터의 물리적 디스크에서 수행됨

다른 사람이 물리적 디스크에 직접 액세스하는 경우 데이터는 암호화됨

디스크에서 데이터에 액세스하면 해독되어 메모리에 로드됨.

미사용 데이터를 보호하는데 사용되는 AZure에 기본 제공된 암호화 서비스

Azure 저장소 플랫폼은 Azure 관리 디스크를 비롯한 여러 저장소 서비스에 저장되기 전에 데이터를 자동으로 암호화함.

기본적으로 256 비트 AES 암호화를 사용하여 활성돠되며 스토리지 계정 관리자가 관리함.

ADE

가상머신의 VHD를 암호화함.

VHD가 ADE로 보호되는 경우 디스크를 소유한 가상머신에서만 디스크 이미지에 액세스할 수 있음.

VM 소유자가 관리함.

Windows와 Linux VM-controlled disks의 암호화를 제어, Windows VM에 BitLocker를 사용하며 Linux VM에는 DM-Crypt를 사용함.

BitLocker Drive Encryption은 운영 체제와 통합되는 데이터 보호 기능, 분실, 도난 또는 부적절하게 폐기된 컴퓨터로 인한 데이터 도난, 노출 위협을 해결함.

DM-Crypt는 스토리지에 쓰기 전에 Linux의 미사용 데이터를 암호화함.

VM 디스크의 모든 데이터가 Azure Storage에서 미사용 상태로 암호화되고 복구 자격 증명 모음에 백업된 VM은 ADE가 필요함.

ADE를 사용하면 VM이 고객이 제어하는 키와 정책으로 부팅되며 이러한 디스크 암호화 키와 비밀 관리를 위한 Azure Key Vault와 통합됨

 

2. 기존 VM디스크 암호화

Azure Disk Encryption 필수 구성 조건

1. 키 자격 증명 모음 만들기.

2. 디스크 암호화를 지원하도록 키 자격 증명 모음 액세스 정책을 설정함.

3. 키 자격 증명 모음을 사용하여 ADE의 암호화 키를 저장함.

Azure Key Vault

암호화 키는 Azure Key Vault에 저장 할 수 있음.

Azure Key Vault는 비밀을 안전하게 저장하고 액세스하기 위한 도구

비밀은 API 키, 비밀 또는 인증서와 같은 액세스를 엄격하게 제어하려는 모든 것.