AWS - CloudHSM Enum

HSM - 하드웨어 보안 모듈

Cloud HSM은 안전한 암호화 키 저장을 위한 FIPS 140 레벨 2 검증된 하드웨어 장치입니다 (CloudHSM은 하드웨어 장치이며, 가상화된 서비스가 아닙니다). 이는 5.3.13이 미리 로드된 SafeNetLuna 7000 장치입니다. 두 가지 펌웨어 버전이 있으며, 선택하는 것은 귀하의 정확한 필요에 따라 다릅니다. 하나는 FIPS 140-2 준수를 위한 것이며, 사용할 수 있는 최신 버전이 있습니다.

CloudHSM의 특이한 점은 물리적 장치라는 것이며, 따라서 다른 고객과 공유되지 않습니다, 또는 일반적으로 다중 테넌트라고 불립니다. 이는 귀하의 작업 부하에 독점적으로 제공되는 전용 단일 테넌트 장치입니다.

일반적으로 장치는 용량이 있는 경우 15분 이내에 사용할 수 있지만, 일부 지역에서는 그렇지 않을 수 있습니다.

이것은 귀하에게 전용된 물리적 장치이므로, 키는 장치에 저장됩니다. 키는 다른 장치로 복제되거나, 오프라인 저장소에 백업되거나, 대기 장치로 내보내져야 합니다. 이 장치는 S3 또는 KMS와 같은 AWS의 다른 서비스에 의해 백업되지 않습니다.

CloudHSM에서는 서비스를 스스로 확장해야 합니다. 귀하의 솔루션을 위해 구현하기로 선택한 암호화 알고리즘에 따라 암호화 요구 사항을 처리할 수 있도록 충분한 CloudHSM 장치를 프로비저닝해야 합니다. 키 관리 서비스 확장은 AWS에 의해 수행되며, 수요에 따라 자동으로 확장됩니다. 따라서 사용량이 증가함에 따라 필요한 CloudHSM 장치의 수도 증가할 수 있습니다. 솔루션을 확장할 때 이를 염두에 두고, 솔루션에 자동 확장이 있는 경우, 솔루션을 서비스할 수 있는 충분한 CloudHSM 장치로 최대 확장을 고려해야 합니다.

확장과 마찬가지로, CloudHSM의 성능은 귀하에게 달려 있습니다. 성능은 사용되는 암호화 알고리즘과 데이터를 암호화하기 위해 키에 접근하거나 검색해야 하는 빈도에 따라 달라집니다. 키 관리 서비스 성능은 Amazon에 의해 처리되며, 수요에 따라 자동으로 확장됩니다. CloudHSM의 성능은 더 많은 장치를 추가함으로써 달성되며, 더 높은 성능이 필요하면 장치를 추가하거나 더 빠른 알고리즘으로 암호화 방법을 변경해야 합니다.

귀하의 솔루션이 다중 지역인 경우, 두 번째 지역에 여러 CloudHSM 장치를 추가하고, 전용 VPN 연결을 통해 지역 간 연결을 설정해야 합니다. 이렇게 하면 연결의 모든 계층에서 장치 간의 트래픽이 항상 보호됩니다. 다중 지역 솔루션이 있는 경우, 키를 복제하고 운영하는 지역에 추가 CloudHSM 장치를 설정하는 방법에 대해 생각해야 합니다. 여러 지역에 걸쳐 여섯 개 또는 여덟 개의 장치가 분산되어 암호화 키의 완전한 중복성을 가능하게 하는 시나리오에 빠르게 들어갈 수 있습니다.

CloudHSM은 안전한 키 저장을 위한 기업급 서비스이며, 기업의 신뢰의 근원으로 사용될 수 있습니다. PKI 및 인증 기관 키를 X509 구현에서 개인 키로 저장할 수 있습니다. AES와 같은 대칭 알고리즘에서 사용되는 대칭 키 외에도, KMS는 대칭 키만 저장하고 물리적으로 보호합니다 (인증 기관으로 작용할 수 없음). 따라서 PKI 및 CA 키를 저장해야 하는 경우, 하나 또는 두 개의 CloudHSM이 귀하의 솔루션이 될 수 있습니다.

CloudHSM은 키 관리 서비스보다 상당히 비쌉니다. CloudHSM은 하드웨어 장치이므로 CloudHSM 장치를 프로비저닝하기 위한 고정 비용이 있으며, 장치를 운영하는 데 시간당 비용이 발생합니다. 이 비용은 귀하의 특정 요구 사항을 충족하기 위해 필요한 CloudHSM 장치 수에 의해 곱해집니다. 또한, SafeNet ProtectV 소프트웨어 제품군과 같은 타사 소프트웨어 구매 시 교차 고려가 필요하며, 통합 시간과 노력이 필요합니다. 키 관리 서비스는 사용량 기반이며, 보유한 키 수와 입력 및 출력 작업에 따라 달라집니다. 키 관리가 많은 AWS 서비스와 원활하게 통합되므로, 통합 비용은 상당히 낮아야 합니다. 비용은 암호화 솔루션에서 두 번째 요소로 고려되어야 합니다. 암호화는 일반적으로 보안 및 규정 준수를 위해 사용됩니다.

CloudHSM에서는 오직 귀하만 키에 접근할 수 있습니다. 너무 많은 세부 사항에 들어가지 않고, CloudHSM에서는 귀하가 자신의 키를 관리합니다. KMS에서는 귀하와 Amazon이 키를 공동 관리합니다. AWS는 남용에 대한 많은 정책 보호 장치를 가지고 있으며, 어느 솔루션에서도 귀하의 키에 접근할 수 없습니다. 주요 구분점은 키 소유권 및 관리와 관련된 준수이며, CloudHSM은 귀하가 관리하고 유지하며 오직 귀하만 접근할 수 있는 하드웨어 장치입니다.

CloudHSM 제안

1. 항상 HA 설정에서 CloudHSM을 배포하고, 별도의 가용성 영역에 최소 두 개의 장치를 배포하며, 가능하다면 AWS의 다른 지역에 세 번째 장치를 배포하십시오.

2. CloudHSM을 초기화할 때 주의하십시오. 이 작업은 키를 파괴합니다, 따라서 키의 다른 복사본을 보유하거나 이 키가 데이터를 복호화하는 데 필요하지 않다는 것을 확실히 하십시오.

3. CloudHSM은 특정 버전의 펌웨어와 소프트웨어만 지원합니다. 업데이트를 수행하기 전에 펌웨어 및 소프트웨어가 AWS에서 지원되는지 확인하십시오. 업그레이드 가이드가 불명확한 경우 항상 AWS 지원에 문의할 수 있습니다.

4. 네트워크 구성은 절대 변경해서는 안 됩니다. AWS 데이터 센터에 있으며 AWS가 기본 하드웨어를 모니터링하고 있습니다. 이는 하드웨어가 고장 나면 AWS가 이를 교체해 주지만, 고장 났다는 것을 알아야만 가능합니다.

5. SysLog 포워드는 제거하거나 변경해서는 안 됩니다. 항상 추가 SysLog 포워더를 추가하여 로그를 자신의 수집 도구로 전송할 수 있습니다.

6. SNMP 구성은 네트워크 및 SysLog 폴더와 동일한 기본 제한이 있습니다. 이는 변경하거나 제거해서는 안 됩니다. 추가 SNMP 구성은 괜찮지만, 이미 장치에 있는 구성을 변경하지 않도록 하십시오.

7. AWS의 또 다른 흥미로운 모범 사례는 NTP 구성을 변경하지 않는 것입니다. 변경 시 어떤 일이 발생할지 명확하지 않으므로, 솔루션의 나머지 부분에서 동일한 NTP 구성을 사용하지 않으면 두 개의 시간 소스가 있을 수 있습니다. 이를 염두에 두고 CloudHSM이 기존 NTP 소스를 유지해야 한다는 것을 아십시오.

CloudHSM의 초기 시작 비용은 귀하의 사용을 위해 전용 하드웨어 장치를 할당하는 데 $5,000이며, 이후 CloudHSM을 운영하는 데 시간당 $1.88의 비용이 발생하며, 월 약 $1,373입니다.

CloudHSM을 사용하는 가장 일반적인 이유는 규제상의 이유로 충족해야 하는 준수 기준입니다. KMS는 비대칭 키에 대한 데이터 지원을 제공하지 않습니다. CloudHSM은 비대칭 키를 안전하게 저장할 수 있습니다.

공개 키는 프로비저닝 중 HSM 장치에 설치됩니다. 따라서 SSH를 통해 CloudHSM 인스턴스에 접근할 수 있습니다.

하드웨어 보안 모듈이란

하드웨어 보안 모듈(HSM)은 암호화 키를 생성, 저장 및 관리하고 민감한 데이터를 보호하는 데 사용되는 전용 암호화 장치입니다. 이는 암호화 기능을 시스템의 나머지 부분과 물리적 및 전자적으로 분리하여 높은 수준의 보안을 제공하도록 설계되었습니다.

HSM의 작동 방식은 특정 모델 및 제조업체에 따라 다를 수 있지만, 일반적으로 다음 단계가 발생합니다:

1. 키 생성: HSM은 안전한 난수 생성기를 사용하여 무작위 암호화 키를 생성합니다.

2. 키 저장: 키는 HSM 내에서 안전하게 저장되며, 승인된 사용자 또는 프로세스만 접근할 수 있습니다.

3. 키 관리: HSM은 키 회전, 백업 및 폐기와 같은 다양한 키 관리 기능을 제공합니다.

4. 암호화 작업: HSM은 암호화, 복호화, 디지털 서명 및 키 교환을 포함한 다양한 암호화 작업을 수행합니다. 이러한 작업은 HSM의 안전한 환경 내에서 수행되며, 무단 접근 및 변조로부터 보호됩니다.

5. 감사 로그: HSM은 모든 암호화 작업 및 접근 시도를 기록하며, 이는 준수 및 보안 감사 목적으로 사용될 수 있습니다.

HSM은 안전한 온라인 거래, 디지털 인증서, 안전한 통신 및 데이터 암호화 등 다양한 응용 프로그램에 사용될 수 있습니다. 이들은 금융, 의료 및 정부와 같이 높은 수준의 보안이 요구되는 산업에서 자주 사용됩니다.

전반적으로 HSM이 제공하는 높은 수준의 보안은 원시 키를 추출하기 매우 어렵게 만들며, 이를 시도하는 것은 종종 보안 위반으로 간주됩니다. 그러나 특정 시나리오에서는 원시 키가 특정 목적을 위해 승인된 직원에 의해 추출될 수 있습니다, 예를 들어 키 복구 절차의 경우입니다.

열거

TODO