다음을 통해 공유


고객 관리형 키를 사용하여 Azure Cache for Redis 인스턴스에 대한 디스크 암호화 구성

Redis 서버의 데이터는 기본값으로 메모리에 저장됩니다. 데이터는 암호화되지 않습니다. 캐시에 쓰기 전에 데이터에 고유한 암호화를 구현할 수 있습니다. 운영 체제의 작업 또는 내보내기 또는 데이터 지속성을 사용하여 데이터를 유지하기 위한 의도적인 작업으로 인해 데이터가 디스크에 상주하는 경우가 있습니다.

Azure Cache for Redis는 기본값으로 모든 계층에서 디스크의 데이터를 암호화하기 위해 MMK(Microsoft 관리형 키)라고도 하는 PMK(플랫폼 관리형 키)를 제공합니다. Azure Cache for Redis의 Enterprise 및 Enterprise Flash 계층은 CMK(고객 관리형 키)를 사용하여 OS 및 데이터 지속성 디스크를 암호화하는 기능도 제공합니다. 고객 관리형 키를 사용하여 MMK를 래핑하면 이러한 키에 대한 액세스를 제어할 수 있습니다. 이를 통해 CMK가 ‘키 암호화 키’ 또는 KEK가 됩니다. 자세한 내용은 Azure 키 관리를 참조하세요.

CMK 디스크 암호화에 대한 가용성 범위

서비스 계층 Basic, Standard, Premium Enterprise, Enterprise Flash
MMK(Microsoft 관리형 키)
CMK(고객 관리형 키)

Warning

기본값으로 모든 Azure Cache for Redis 계층은 Microsoft 관리형 키를 사용하여 캐시 인스턴스에 탑재된 디스크를 암호화합니다. 그러나 기본 및 표준 계층에서 C0 및 C1 SKU는 디스크 암호화를 지원하지 않습니다.

Important

프리미엄 계층에서는 데이터 지속성이 데이터를 Azure Storage로 직접 스트리밍하므로 디스크 암호화가 덜 중요합니다. Azure Storage는 대신 사용할 다양한 암호화 방법을 제공합니다.

암호화 적용 범위

Enterprise 계층

Enterprise 계층에서 디스크 암호화는 지속성 디스크, 임시 파일 및 OS 디스크를 암호화하는 데 사용됩니다.

  • 지속성 디스크: 데이터 지속성의 일부로 지속형 RDB 또는 AOF 파일을 보유합니다.
  • ‘내보내기’에서 사용되는 임시 파일: 내보낸 임시 데이터가 암호화됩니다. 데이터를 내보낼 때 마지막으로 내보낸 데이터의 암호화는 스토리지 계정의 설정이 제어합니다.
  • OS 디스크

MMK가 기본값으로 이러한 디스크를 암호화하는 데 사용되지만 CMK를 사용할 수도 있습니다.

Enterprise Flash 계층에서 키 및 값은 NVMe(비휘발성 메모리 Express) 플래시 스토리지를 사용하여 디스크에 부분적으로 저장됩니다. 그러나 이 디스크는 지속형 데이터에 사용되는 디스크와 동일하지 않습니다. 대신 이 디스크는 임시이며 캐시가 중지, 할당 취소 또는 다시 부팅된 후에는 데이터가 유지되지 않습니다. 이 데이터는 일시적이고 임시적이기 때문에 MMK는 이 디스크에서만 지원됩니다.

저장된 데이터 용량 디스크 암호화 옵션
지속성 파일 지속성 디스크 MMK 또는 CMK
내보내기를 기다리는 RDB 파일 OS 디스크 및 지속성 디스크 MMK 또는 CMK
키 및 값(Enterprise Flash 계층에만 해당) 임시 NVMe 디스크 MMK

기타 계층

기본, 표준 및 프리미엄 계층에서 OS 디스크는 기본값으로 MMK를 사용하여 암호화됩니다. 탑재된 지속성 디스크가 없으며 Azure Storage가 대신 사용됩니다. C0 및 C1 SKU는 디스크 암호화를 사용하지 않습니다.

필수 구성 요소 및 제한 사항

일반적인 필수 구성 요소 및 제한 사항

  • 기본 및 표준 계층에서는 C0 또는 C1 SKU에 대한 디스크 암호화를 사용할 수 없습니다.
  • 사용자가 할당한 관리 ID만 Azure Key Vault에 연결할 수 있습니다. 시스템이 할당한 관리 ID는 지원되지 않습니다.
  • 기존 캐시 인스턴스에서 MMK와 CMK 간에 변경하면 장기 실행 유지 관리 작업이 트리거됩니다. 서비스 중단이 발생하기 때문에 프로덕션 사용에는 권장되지 않습니다.

Azure Key Vault 필수 구성 요소 및 제한 사항

  • 고객 관리형 키를 포함하는 Azure Key Vault 리소스는 캐시 리소스와 동일한 지역에 있어야 합니다.
  • Azure Key Vault 인스턴스에서 제거 보호 및 일시 삭제를 사용하도록 설정해야 합니다. 제거 보호는 기본값으로 사용되지 않습니다.
  • Azure Key Vault 방화벽 규칙을 사용하는 경우 신뢰할 수 있는 서비스를 허용하도록 Key Vault 인스턴스를 구성해야 합니다.
  • RSA 키만 지원됩니다
  • 사용자가 할당한 관리 ID에는 Key Vault 액세스 정책에서 ‘키 가져오기’, ‘키 래핑 해제’ 및 ‘키 래핑’ 권한 또는 Azure 역할 기반 액세스 컨트롤 내의 동등한 권한을 부여해야 합니다. 이 시나리오에 필요한 최소 권한을 가진 권장되는 기본 제공 역할 정의를 KeyVault 암호화 서비스 암호화 사용자라고 합니다.

Enterprise 캐시에서 CMK 암호화를 구성하는 방법

포털을 사용하여 CMK를 사용하도록 설정된 새 캐시 만들기

  1. Azure Portal에 로그인하고 Redis Enterprise 캐시 만들기 빠른 시작 가이드를 시작합니다.

  2. 고급 페이지에서 미사용 고객 관리형 키 암호화 섹션으로 이동하여 고객 관리형 키 사용 옵션을 사용하도록 설정합니다.

    고객 관리형 키 암호화를 선택하고 빨간색 상자에 있는 고급 설정의 스크린샷

  3. 추가를 선택하여 사용자가 할당한 관리 ID를 리소스에 할당합니다. 이 관리 ID는 고객 관리형 키를 보유하는 Azure Key Vault 인스턴스에 연결하는 데 사용됩니다.

    작업 창에서 사용자 관리 ID를 보여 주는 스크린샷

  4. 선택한 사용자가 할당한 관리 ID를 선택한 다음 사용할 키 입력 방법을 선택합니다.

  5. Azure 키 자격 증명 모음 선택 및 키 입력 방법을 사용하는 경우 고객 관리형 키를 보유하는 Key Vault 인스턴스를 선택합니다. 이 인스턴스는 캐시와 동일한 지역에 있어야 합니다.

    참고 항목

    Azure Key Vault 인스턴스를 설정하는 방법에 대한 지침은 Azure Key Vault 빠른 시작 가이드를 참조하세요. Key Vault 선택 영역 아래에서 ‘키 자격 증명 모음 만들기’ 링크를 선택하여 새 Key Vault 인스턴스를 만들 수도 있습니다. Key Vault 인스턴스에서 제거 보호 및 일시 삭제를 모두 사용하도록 설정해야 합니다.

  6. RSA(고객 관리형 키)버전 드롭다운을 사용하여 특정 키 및 버전을 선택합니다.

    완료된 ID 및 키 필드 선택을 보여 주는 스크린샷

  7. URI 입력 방법을 사용하는 경우 Azure Key Vault에서 선택한 키에 대한 키 식별자 URI를 입력합니다.

  8. 캐시에 대한 모든 정보를 입력한 경우 검토 + 만들기를 선택합니다.

기존 엔터프라이즈 캐시에 CMK 암호화 추가

  1. 캐시 인스턴스 리소스 메뉴의 암호화로 이동합니다. CMK가 이미 설정된 경우 키 정보가 표시됩니다.

  2. CMK를 설정하지 않았거나 설정을 변경하려면 암호화 설정 변경엔터프라이즈 계층 캐시의 리소스 메뉴에서 선택한 암호화 스크린샷을 선택합니다.

  3. 고객 관리형 키 사용을 선택하여 구성 옵션을 확인합니다.

  4. 추가를 선택하여 사용자가 할당한 관리 ID를 리소스에 할당합니다. 이 관리 ID는 고객 관리형 키를 보유하는 Azure Key Vault 인스턴스에 연결하는 데 사용됩니다.

  5. 선택한 사용자가 할당한 관리 ID를 선택한 다음 사용할 키 입력 방법을 선택합니다.

  6. Azure 키 자격 증명 모음 선택 및 키 입력 방법을 사용하는 경우 고객 관리형 키를 보유하는 Key Vault 인스턴스를 선택합니다. 이 인스턴스는 캐시와 동일한 지역에 있어야 합니다.

    참고 항목

    Azure Key Vault 인스턴스를 설정하는 방법에 대한 지침은 Azure Key Vault 빠른 시작 가이드를 참조하세요. Key Vault 선택 영역 아래에서 ‘키 자격 증명 모음 만들기’ 링크를 선택하여 새 Key Vault 인스턴스를 만들 수도 있습니다.

  7. RSA(고객 관리형 키) 드롭다운을 사용하여 특정 키를 선택합니다. 선택할 키 버전이 여러 가지인 경우 버전 드롭다운을 사용합니다. 암호화에 대해 완료된 선택 ID 및 키 필드를 보여 주는 스크린샷

  8. URI 입력 방법을 사용하는 경우 Azure Key Vault에서 선택한 키에 대한 키 식별자 URI를 입력합니다.

  9. 저장을 선택합니다.

다음 단계

Azure Cache for Redis 기능에 대해 자세히 알아보세요.