고객 관리: 테넌트 키 수명 주기 작업

Azure Information Protection(Bring Your Own Key 또는 BYOK 시나리오)에 대한 테넌트 키를 관리하는 경우 이 토폴로지와 관련된 수명 주기 작업에 대한 자세한 내용은 다음 섹션을 사용합니다.

테넌트 키 해지

키를 다시 입력하는 대신 키를 해지해야 하는 시나리오는 거의 없습니다. 키를 해지하면 복원할 수 있는 키의 백업이 없는 한, 해당 키를 사용하여 테넌트에 의해 보호된 모든 콘텐츠에 액세스할 수 없게 됩니다(Microsoft, 전역 관리자 및 슈퍼 사용자 포함). 키를 해지한 후에는 Azure Information Protection에 대한 새 테넌트 키를 만들고 구성할 때까지 새 콘텐츠를 보호할 수 없습니다.

고객 관리 테넌트 키를 해지하려면 Azure Key Vault에서 Azure Rights Management 서비스가 더 이상 키에 액세스할 수 없도록 Azure Information Protection 테넌트 키가 포함된 키 자격 증명 모음에 대한 권한을 변경합니다. 이 작업은 Azure Information Protection의 테넌트 키를 효과적으로 해지합니다.

Azure Information Protection에 대한 구독을 취소하면 Azure Information Protection이 테넌트 키 사용을 중지하고 사용자에게서 아무런 조치도 필요하지 않습니다.

테넌트 키 키 다시 입력

키 다시 입력을 키 롤링이라고도 합니다. 이 작업을 수행하면 Azure Information Protection에서 기존 테넌트 키를 사용하여 문서 및 전자 메일을 보호하는 작업을 중지하고 다른 키를 사용하기 시작합니다. 정책 및 템플릿은 즉시 사임하지만 Azure Information Protection을 사용하는 기존 클라이언트 및 서비스에 대해서는 이 변경이 점진적으로 수행됩니다. 따라서 일부 새 콘텐츠는 이전 테넌트 키로 계속 보호됩니다.

키를 다시 입력하려면 테넌트 키 개체를 구성하고 사용할 대체 키를 지정해야 합니다. 그런 다음, 이전에 사용한 키는 Azure Information Protection에 대해 보관된 것으로 자동으로 표시됩니다. 이 구성을 사용하면 이 키를 사용하여 보호된 콘텐츠에 액세스할 수 기본.

Azure Information Protection의 키를 다시 입력해야 하는 경우의 예:

• 회사에서 두 개 이상의 회사로 나뉘어 있습니다. 테넌트 키를 다시 입력하면 새 회사는 직원이 게시하는 새 콘텐츠에 액세스할 수 없습니다. 이전 테넌트 키의 복사본이 있는 경우 이전 콘텐츠에 액세스할 수 있습니다.

• 한 키 관리 토폴로지에서 다른 키 관리 토폴로지로 이동하려고 합니다.

• 테넌트 키의 마스터 복사본(소유의 복사본)이 손상되었습니다.

관리하는 다른 키로 키를 다시 지정하려면 Azure Key Vault에서 새 키를 만들거나 Azure Key Vault에 이미 있는 다른 키를 사용할 수 있습니다. 그런 다음 Azure Information Protection에 대한 BYOK를 구현하기 위해 수행한 것과 동일한 절차를 따릅니다.

1. 새 키가 Azure Information Protection에서 이미 사용 중인 키 자격 증명 모음과 다른 키 자격 증명 모음에 있는 경우에만: Set-AzKeyVaultAccessPolicy cmdlet을 사용하여 Azure Information Protection이 키 자격 증명 모음을 사용하도록 승인합니다.

2. Azure Information Protection에서 사용하려는 키를 아직 모르는 경우 Use-AipServiceKeyVaultKey cmdlet을 실행합니다.

3. Set-AipServiceKeyProperties cmdlet 실행을 사용하여 테넌트 키 개체를 구성합니다.

이러한 각 단계에 대한 자세한 내용은 다음을 수행합니다.

• 관리하는 다른 키로 키를 다시 지정하려면 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.

  온-프레미스를 만들고 Key Vault로 전송하는 HSM 보호 키의 키를 다시 만드는 경우 현재 키에 사용한 것과 동일한 보안 세계를 사용하고 카드 액세스할 수 있습니다.

• 키를 다시 입력하려면 Microsoft에서 관리하는 키로 변경하려면 Microsoft 관리 작업에 대한 테넌트 키 키 다시 만들기 섹션을 참조하세요.

테넌트 키 백업 및 복구

테넌트 키를 관리하므로 Azure Information Protection에서 사용하는 키를 백업해야 합니다.

nCipher HSM의 온프레미스에서 테넌트 키를 생성한 경우: 키를 백업하려면 토큰화된 키 파일, 세계 파일 및 관리자 카드를 백업합니다. Azure Key Vault로 키를 전송할 때 서비스는 모든 서비스 노드의 오류로부터 보호하기 위해 토큰화된 키 파일을 저장합니다. 이 파일은 특정 Azure 지역 또는 인스턴스의 보안 세계에 바인딩됩니다. 그러나 이 토큰화된 키 파일은 전체 백업으로 간주하지 마세요. 예를 들어 nCipher HSM 외부에서 사용하기 위해 키의 일반 텍스트 복사본이 필요한 경우 Azure Key Vault에는 복구할 수 없는 복사본만 있기 때문에 검색할 수 없습니다.

Azure Key Vault에는 키를 다운로드하고 파일에 저장하여 키를 백업하는 데 사용할 수 있는 백업 cmdlet 이 있습니다. 다운로드한 콘텐츠는 암호화되므로 Azure Key Vault 외부에서 사용할 수 없습니다.

테넌트 키 내보내기

BYOK를 사용하는 경우 Azure Key Vault 또는 Azure Information Protection에서 테넌트 키를 내보낼 수 없습니다. Azure Key Vault의 복사본은 복구할 수 없습니다.

위반에 대응

보안 시스템이 아무리 강력하더라도 위반 대응 프로세스 없이는 완전하지 않습니다. 테넌트 키가 손상되거나 도난당할 수 있습니다. 잘 보호되는 경우에도 취약성은 현재 세대 키 기술 또는 현재 키 길이 및 알고리즘에서 찾을 수 있습니다.

Microsoft에는 제품 및 서비스의 보안 인시던트에 대응하는 전담 팀이 있습니다. 인시던트에 대한 신뢰할 수 있는 보고서가 있는 즉시 이 팀은 범위, 근본 원인 및 완화 방법을 조사합니다. 이 인시던트가 자산에 영향을 미치는 경우 Microsoft는 테넌트 전역 관리자에게 이메일로 알립니다.

위반이 있는 경우 사용자 또는 Microsoft가 수행할 수 있는 최선의 조치는 위반 범위에 따라 달라집니다. Microsoft는 이 프로세스를 통해 사용자와 함께 작업합니다. 다음 표에서는 정확한 응답이 조사 중에 표시되는 모든 정보에 따라 달라지지만 몇 가지 일반적인 상황과 가능성이 있는 응답을 보여 줍니다.