AWS CloudHSM 서비스는 AWS 클라우드 내의 전용 HSM(Hardware Security Module) 어플라이언스를 사용하여 데이터 보안에 대한 기업의 계약 및 규제 준수 요구 사항을 충족할 수 있도록 지원합니다. CloudHSM을 사용하여 암호화 키 및 HSM이 수행하는 암호화 작업을 제어할 수 있습니다.

AWS와 AWS Marketplace 파트너는 AWS 플랫폼의 중요한 데이터를 보호하기 위한 다양한 솔루션을 제공합니다. 하지만 암호화 키 관리에 대한 엄격한 계약 또는 규제 요구 사항에 따라 애플리케이션과 데이터에 대해 추가 보호가 필요한 경우가 있습니다. 현재까지는 온프레미스 데이터센터에 중요 데이터(또는 중요 데이터를 보호하는 암호화 키)를 저장하는 것이 유일한 방법이었습니다. 하지만 이 방법은 이러한 애플리케이션을 클라우드로 마이그레이션하는 것을 방지하거나 애플리케이션 성능을 현저하게 저하시켰습니다. AWS CloudHSM 서비스로 사용자는 안전한 키 관리를 위한 정부 표준에 따라 설계되고 검증된 HSM 내의 암호화 키를 보호할 수 있습니다. 데이터 암호화에 사용한 암호화 키를 안전하게 생성, 저장 및 관리할 수 있으며 이 경우, 사용자만 자신의 암호화 키를 사용할 수 있습니다. AWS CloudHSM은 애플리케이션 성능에 지장을 주지 않고 엄격한 키 관리 요건을 준수하는데 도움이 됩니다.

AWS CloudHSM 서비스는 Amazon Virtual Private Cloud(VPC)와 작동합니다. CloudHSM 인스턴스는 사용자가 지정한 IP 주소로 VPC에 프로비저닝되어 Amazon Elastic Compute Cloud(EC2) 인스턴스에 대한 간편하고 프라이빗한 네트워크 연결을 제공합니다. EC2 인스턴스 근처에 CloudHSM 인스턴스를 배치하면 네트워크 지연 시간이 짧아져 애플리케이션 성능을 개선할 수 있습니다. AWS는 다른 AWS 고객으로부터 격리된, CloudHSM 인스턴스에 대한 독점 및 전용(단일 테넌트) 액세스 권한을 제공합니다. 여러 리전 및 AZ(가용 영역)에서 사용 가능한 AWS CloudHSM으로 안전하고 내구성 있는 키 스토리지를 애플리케이션에 추가할 수 있습니다.

무료로 AWS 시작하기

무료 계정 생성
또는 콘솔에 로그인

Amazon Web Services에 가입하면 AWS 프리 티어에 12개월 동안 액세스할 수 있습니다. 연중무휴 24시간 고객 서비스, 지원 포럼 등을 비롯한 AWS Basic Support 기능을 사용해 보십시오.

서비스의 일환으로 사용자는 클라우드의 HSM 기능에 독점적으로 액세스할 수 있습니다. AWS CloudHSM은 국제(Common Criteria EAL4+) 및 미국 정부(NIST FIPS 140-2)의 암호화 모듈을 위한 규제 표준을 준수하도록 만들어진 변조 방지 HSM 어플라이언스로 사용자의 암호화 키를 보호합니다. 사용자는 HSM에서 키와 암호화 작업을 완전히 제어하고 Amazon은 사용자 키에 액세스하지 않고도 하드웨어를 관리 및 유지 보수합니다.

하드웨어의 사용자 키를 보호하고 제3자가 키에 액세스하는 것을 방지함으로써 AWS CloudHSM는 키 보호를 위한 가장 엄격한 규제 및 계약 요건을 준수할 수 있도록 돕습니다.

CloudHSM API, CLI(명령줄 인터페이스) 도구, SDK를 사용하면 전용 CloudHSM 인스턴스를 원하는 때에 시작하고 중단할 수 있습니다.

AWS CloudHSM은 여러 AZ(가용 영역)와 리전에서 사용 가능하여 강력한 키 보호가 필요한 고가용성 애플리케이션을 구축할 수 있도록 지원합니다. CloudHSM CLI(명령줄 인터페이스) 도구를 사용하여 여러 가용 영역에 걸쳐 있는 HA(고가용성) 그룹을 구성할 수 있습니다. 이를 통해 복원력이 뛰어난 애플리케이션을 구축할 수 있습니다. 예기치 못한 하드웨어 고장이 발생하는 경우 몇 가지 명령으로 새 CloudHSM 인스턴스를 시작하고 새 HSM으로 키를 복제할 수 있습니다. 또한, AWS CloudHSM을 호환 가능한 온프레미스 HSM과 함께 사용하여 데이터센터에 키를 안전하게 저장할 수 있습니다. 이렇게 하면 키 내구성이 향상되고 AWS 내외부로 키를 안전하게 마이그레이션하는 유연성을 얻을 수 있습니다.

CloudHSM 인스턴스는 VPC에 있으므로 Amazon EC2 애플리케이션에서 쉽게 사용할 수 있습니다. 표준 Amazon VPC 보안 메커니즘을 사용하여 CloudHSM 인스턴스로의 액세스를 제어합니다.

EC2 인스턴스 근처의 VPC에 CloudHSM 인스턴스를 배치하면 네트워크 지연 시간을 줄이고 HSM을 사용하는 AWS 애플리케이션의 성능을 개선할 수 있습니다.

CloudHSM은 Amazon Redshift, Amazon Relational Database Service(RDS) Oracle 또는 신뢰할 수 있는 루트의 역할을 하는 SafeNet Virtual KeySecure, Apache(SSL 종료) 또는 Microsoft SQL Server(투명한 데이터 암호)와 같은 타사 애플리케이션과 함께 사용할 수 있습니다. 자체 애플리케이션을 작성할 때도 CloudHSM을 사용할 수 있으며 PKCS#11, Java JCA/JCE, Microsoft CAPI 및 CNG와 같은 익숙한 표준 암호화 라이브러리를 사용할 수 있습니다.

리소스 변경 추적이 필요하거나 보안 및 규제 준수를 위해 활동을 감사해야 하는 경우 CloudTrail을 통해 계정에서 이루어진 모든 CloudHSM API 호출을 검토할 수 있습니다. 또한, syslog를 사용하거나 자체 수집기로 syslog 메시지를 보내 HSM 어플라이언스에서의 작업을 감사할 수 있습니다.