AWS CloudHSM

AWS 클라우드상의 관리형 하드웨어 보안 모듈(HSM).

AWS CloudHSM은 AWS 클라우드에서 자체 암호화 키를 손쉽게 생성 및 사용할 수 있도록 지원하는 클라우드 기반 하드웨어 보안 모듈(HSM)입니다. CloudHSM에서는 FIPS 140-2 레벨 3 인증 HSM을 사용하여 자체 암호화 키를 관리할 수 있습니다. CloudHSM은 PKCS#11, Java Cryptography Extensions(JCE) 및 Microsoft CryptoNG(CNG) 라이브러리와 같은 업계 표준 API를 사용하여 애플리케이션과 통합할 수 있는 유연성을 제공합니다.

CloudHSM은 표준을 준수하며 구성에 따라 모든 키를 대부분의 상용 HSM으로 내보낼 수 있습니다. 사용자를 위해 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간 소모적인 관리 작업을 자동화하는 완전관리형 서비스입니다. 또한, CloudHSM을 사용하면 선결제 비용 없이 온디맨드로 HSM 용량을 추가 및 제거하여 신속하게 확장/축소할 수 있습니다.

Introducing AWS CloudHSM

이점

FIPS 140-2 레벨 3 인증 HSM에서 암호화된 키를 생성 및 사용

AWS CloudHSM을 사용하면 FIPS 140-2 레벨 3 인증 하드웨어에서 암호화 키를 생성하여 사용할 수 있습니다. CloudHSM은 자체 Amazon Virtual Private Cloud(VPC)에서 변조 방지 HSM 인스턴스에 대한 독점적 단일 테넌트 액세스를 통해 키를 보호합니다.

안전하고 규정을 준수하는 워크로드 배포

HSM을 신뢰할 수 있는 루트로 사용하면 HIPAA, FedRAMP 및 PCI와 같은 보안, 개인 정보 및 변조 방지 규정을 준수함을 입증할 수 있습니다. AWS CloudHSM을 사용하면 AWS 클라우드에서 HSM 인스턴스를 사용하여 뛰어난 안정성과 짧은 지연 시간으로 안전하고 규정을 준수하는 워크로드를 구축할 수 있습니다.

업계 표준을 기반으로 구축된 개방형 HSM 사용

AWS CloudHSM을 사용하면 PKCS#11, Java Cryptography Extensions(JCE) 및 Microsoft CryptoNG(CNG) 라이브러리와 같은 업계 표준 API를 통해 사용자 지정 애플리케이션과 통합할 수 있습니다. 또한, 키를 다른 상용 HSM 솔루션으로 전송할 수 있으므로 AWS에서 또는 AWS로 키를 손쉽게 마이그레이션할 수 있습니다.

암호화 키에 대한 제어 유지

AWS CloudHSM은 사용자를 생성하고 HSM 정책을 설정할 수 있도록 안전한 채널을 통해 HSM에 대한 액세스를 제공합니다. CloudHSM을 통해 생성하고 사용하는 암호화 키는 고객이 지정한 HSM 사용자만 액세스할 수 있습니다. AWS는 고객의 암호화 키를 볼 수도 액세스할 수도 없습니다.

간편한 관리 및 확장

AWS CloudHSM은 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간 소모적인 관리 작업을 자동화해 줍니다. 클러스터에서 온디맨드로 HSM을 추가하고 제거함으로써 신속하게 HSM 용량을 확장할 수 있습니다. AWS CloudHSM은 요청을 자동으로 로드 밸런싱하고 HSM에 저장된 키를 클러스터의 다른 모든 HSM으로 안전하게 복제합니다.

AWS KMS 키 제어

AWS CloudHSM 클러스터를 기본 KMS 키 스토어가 아닌 사용자 지정 키 스토어로 사용하도록 AWS Key Management Service(KMS)를 구성할 수 있습니다. KMS 사용자 지정 키 스토어를 이용하면, KMS 마스터 키를 보호하는 HSM을 유지하면서 데이터를 암호화하는 AWS 서비스와 KMS 간의 통합 기능의 이점을 활용할 수 있습니다. KMS 사용자 지정 키 스토어는 쉽게 제어 가능한 단일 테넌트 HSM와 AWS KMS 통합 기능을 결합하므로 두 가지 기능을 모두 활용할 수 있습니다.

사용 방법

CloudHSM_Diagrams_2-final

AWS CloudHSM은 자체 Amazon Virtual Private Cloud(VPC)에서 실행되므로, Amazon EC2 인스턴스에서 실행되는 애플리케이션에 손쉽게 HSM을 사용할 수 있습니다. CloudHSM에서는 표준 VPC 보안 제어 기능을 사용하여 HSM에 대한 액세스를 관리할 수 있습니다. 애플리케이션은 HSM 클라이언트 소프트웨어가 설정한 상호 인증된 SSL 채널을 사용하여 HSM에 연결됩니다. HSM은 고객의 EC2 인스턴스와 가까운 Amazon 데이터 센터에 위치하므로, 온프레미스 HSM과 비교하여 애플리케이션과 HSM 간 네트워크 지연 시간을 줄일 수 있습니다.

A: AWS에서 하드웨어 보안 모듈(HSM) 어플라이언스를 관리하지만, 고객의 키에 대한 액세스 권한은 없습니다.

B: 고객이 자체 키를 제어하고 관리합니다.

C: 애플리케이션 성능이 개선됩니다(AWS 워크로드와 거리가 가깝기 때문).

D: 다중 AZ(가용 영역)에 제공되는 변조 방지 하드웨어에 키를 안전하게 저장합니다.

E: 고객의 HSM은 고객의 Virtual Private Cloud(VPC)에 상주하며 다른 AWS 워크로드와 격리되어 있습니다.

업무 분리 및 역할 기반 액세스 제어는 AWS CloudHSM의 설계에 내제되어 있습니다. AWS는 HSM의 상태와 네트워크 가용성을 모니터링하지만, HSM에 저장된 키 자료를 생성 및 관리하는 데는 관여하지 않습니다. 고객이 HSM과 암호화 키의 생성 및 사용을 제어합니다.

사용 사례

웹 서버용 SSL 처리를 오프로드

웹 서버의 자격 증명을 확인하고 인터넷을 통한 안전한 HTTPS 연결을 설정하는 데 Secure Sockets Layer(SSL)와 TLS(전송 계층 보안)이 사용됩니다. AWS CloudHSM을 사용하여 웹 서버용 SSL/TLS 처리를 오프로드할 수 있습니다. 이러한 처리 작업에 CloudHSM을 사용하면 웹 서버에 대한 부담이 줄어들고 웹 서버의 프라이빗 키를 CloudHSM에 저장함으로써 추가적인 보안을 제공하게 됩니다.

product-page-diagram_CloudHSM_offload-ssl

발행 인증 기관(CA)의 프라이빗 키 보호

PKI(Public Key Infrastructure)에서 인증 기관(CA)은 디지털 인증서를 발행하는 신뢰할 수 있는 엔터티입니다. 이러한 디지털 인증서는 개인 또는 조직을 식별하는 데 사용됩니다. AWS CloudHSM을 사용하여 프라이빗 키를 저장하고 인증서 요청에 서명할 수 있으므로 조직의 인증서를 발행하는 발행 CA의 역할을 안전하게 수행할 수 있습니다.

product-page-diagram_CloudHSM_ca-1

Oracle 데이터베이스에 대해 Transparent Data Encryption(TDE) 지원

AWS CloudHSM을 사용하여 TDE를 지원하는 Oracle 데이터베이스 서버용 Transparent Data Encryption(TDE) 마스터 암호화 키를 저장할 수 있습니다. SQL Server에 대한 지원도 곧 제공될 예정입니다. TDE를 사용하면, 지원되는 데이터베이스 서버에서 디스크에 저장하기 전에 데이터를 암호화할 수 있습니다. Amazon RDS for Oracle에서는 CloudHSM을 통한 TDE를 지원하지 않으므로, 이러한 사용 사례에서는 AWS Key Management Service를 사용해야 합니다.

product-page-diagram_CloudHSM_database

블로그 게시물 및 기사

반환된 항목이 없습니다.

Product-Page_Standard-Icons_01_Product-Features_SqInk
제품 기능 알아보기

AWS 클라우드의 관리형 HSM(하드웨어 보안 모듈)에 대해 자세히 알아봅니다.

자세히 알아보기 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입하기 
Product-Page_Standard-Icons_03_Start-Building_SqInk
콘솔에서 구축 시작

AWS Management Console에서 AWS CloudHSM을 사용하여 구축을 시작하십시오.

로그인