AWS CloudHSM

AWS 클라우드상의 관리형 하드웨어 보안 모듈(HSM).

AWS CloudHSM은 AWS 클라우드에서 자체 암호화 키를 손쉽게 생성 및 사용할 수 있도록 지원하는 클라우드 기반 하드웨어 보안 모듈(HSM)입니다. CloudHSM에서는 FIPS 140-2 레벨 3 인증 HSM을 사용하여 자체 암호화 키를 관리할 수 있습니다. CloudHSM은 PKCS#11, Java Cryptography Extensions(JCE) 및 Microsoft CryptoNG(CNG) 라이브러리와 같은 업계 표준 API를 사용하여 애플리케이션과 통합할 수 있는 유연성을 제공합니다.

CloudHSM은 표준을 준수하며 구성에 따라 모든 키를 대부분의 상용 HSM으로 내보낼 수 있습니다. 사용자를 위해 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간 소모적인 관리 작업을 자동화하는 완전관리형 서비스입니다. 또한, CloudHSM을 사용하면 선결제 비용 없이 온디맨드로 HSM 용량을 추가 및 제거하여 신속하게 확장/축소할 수 있습니다.

Introducing AWS CloudHSM

이점

FIPS 140-2 레벨 3 인증 HSM에서 암호화된 키를 생성 및 사용

AWS CloudHSM을 사용하면 FIPS 140-2 레벨 3 인증 하드웨어에서 암호화 키를 생성하여 사용할 수 있습니다. CloudHSM은 자체 Amazon Virtual Private Cloud(VPC)에서 변조 방지 HSM 인스턴스에 대한 독점적 단일 테넌트 액세스를 통해 키를 보호합니다.

안전하고 규정을 준수하는 워크로드 배포

HSM을 신뢰할 수 있는 루트로 사용하면 HIPAA, FedRAMP 및 PCI와 같은 보안, 개인 정보 및 변조 방지 규제를 준수함을 입증하는 데 도움이 됩니다. AWS CloudHSM을 사용하면 AWS 클라우드에서 HSM 인스턴스를 사용하여 뛰어난 안정성과 짧은 지연 시간으로 안전하고 규정을 준수하는 워크로드를 구축할 수 있습니다.

업계 표준을 기반으로 구축된 개방형 HSM 사용

AWS CloudHSM을 사용하면 PKCS#11, Java Cryptography Extensions(JCE) 및 Microsoft CryptoNG(CNG) 라이브러리와 같은 업계 표준 API를 통해 사용자 지정 애플리케이션과 통합할 수 있습니다. 또한, 키를 다른 상용 HSM 솔루션으로 전송할 수 있으므로 AWS에서 또는 AWS로 키를 손쉽게 마이그레이션할 수 있습니다.

암호화 키에 대한 제어 유지

AWS CloudHSM은 사용자를 생성하고 HSM 정책을 설정할 수 있도록 안전한 채널을 통해 HSM에 대한 액세스를 제공합니다. CloudHSM을 통해 생성하고 사용하는 암호화 키는 고객이 지정한 HSM 사용자만 액세스할 수 있습니다. AWS는 고객의 암호화 키를 볼 수도 액세스할 수도 없습니다.

로드 밸런싱 및 고가용성

AWS CloudHSM은 요청을 자동으로 로드 밸런싱하고 HSM에 저장된 키를 클러스터의 다른 모든 HSM으로 안전하게 복제합니다. Amazon에서는 가용성과 내구성을 위해 여러 AZ에서 2개 이상의 HSM을 사용하는 구성을 권장합니다.

간편한 관리

AWS CloudHSM은 사용자를 위해 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간 소모적인 관리 작업을 자동화하는 완전관리형 서비스입니다. 온디맨드로 클러스터에서 HSM을 추가하고 제거함으로써 신속하게 HSM 용량을 조정할 수 있습니다.

작동 방식

CloudHSM_Diagrams_2-final

AWS CloudHSM은 자체 Amazon Virtual Private Cloud(VPC)에서 실행되므로, Amazon EC2 인스턴스에서 실행되는 애플리케이션에 손쉽게 HSM을 사용할 수 있습니다. CloudHSM에서는 표준 VPC 보안 제어 기능을 사용하여 HSM에 대한 액세스를 관리할 수 있습니다. 애플리케이션은 HSM 클라이언트 소프트웨어가 설정한 상호 인증된 SSL 채널을 사용하여 HSM에 연결됩니다. HSM은 고객의 EC2 인스턴스와 가까운 Amazon 데이터 센터에 위치하므로, 온프레미스 HSM과 비교하여 애플리케이션과 HSM 간 네트워크 지연 시간을 줄일 수 있습니다.

A: AWS에서 하드웨어 보안 모듈(HSM) 어플라이언스를 관리하지만, 고객의 키에 대한 액세스 권한은 없습니다.

B: 고객이 자체 키를 제어하고 관리합니다.

C: 애플리케이션 성능이 개선됩니다(AWS 워크로드와 거리가 가깝기 때문).

D: 다중 가용 영역(AZ)에 제공되는 변조 방지 하드웨어에 키를 안전하게 저장할 수 있습니다.

E: 고객의 HSM은 고객의 Virtual Private Cloud(VPC)에 상주하며 다른 AWS 워크로드와 격리되어 있습니다.

업무 분리 및 역할 기반 액세스 제어는 AWS CloudHSM의 설계에 내제되어 있습니다. AWS는 HSM의 상태와 네트워크 가용성을 모니터링하지만, HSM에 저장된 키 자료를 생성 및 관리하는 데는 관여하지 않습니다. 고객이 HSM과 암호화 키의 생성 및 사용을 제어합니다.

사용 사례

웹 서버용 SSL 처리를 오프로드

웹 서버의 자격 증명을 확인하고 인터넷을 통한 안전한 HTTPS 연결을 설정하는 데 Secure Sockets Layer(SSL)와 TLS(전송 계층 보안)이 사용됩니다. AWS CloudHSM을 사용하여 웹 서버용 SSL/TLS 처리를 오프로드할 수 있습니다. 이러한 처리 작업에 CloudHSM을 사용하면 웹 서버에 대한 부담이 줄어들고 웹 서버의 프라이빗 키를 CloudHSM에 저장함으로써 추가적인 보안을 제공하게 됩니다.

product-page-diagram_CloudHSM_offload-ssl

발행 인증 기관(CA)의 프라이빗 키 보호

PKI(Public Key Infrastructure)에서 인증 기관(CA)은 디지털 인증서를 발행하는 신뢰할 수 있는 엔터티입니다. 이러한 디지털 인증서는 개인 또는 조직을 식별하는 데 사용됩니다. AWS CloudHSM을 사용하여 프라이빗 키를 저장하고 인증서 요청에 서명할 수 있으므로 조직의 인증서를 발행하는 발행 CA의 역할을 안전하게 수행할 수 있습니다.

product-page-diagram_CloudHSM_ca-1

Oracle 데이터베이스에 대해 Transparent Data Encryption(TDE) 지원

AWS CloudHSM을 사용하여 TDE를 지원하는 Oracle 데이터베이스 서버용 Transparent Data Encryption(TDE) 마스터 암호화 키를 저장할 수 있습니다. SQL Server에 대한 지원도 곧 제공될 예정입니다. TDE를 사용하면, 지원되는 데이터베이스 서버에서 디스크에 저장하기 전에 데이터를 암호화할 수 있습니다. Amazon RDS for Oracle에서는 CloudHSM을 통한 TDE를 지원하지 않으므로, 이러한 사용 사례에서는 AWS Key Management Service를 사용해야 합니다.

product-page-diagram_CloudHSM_database

AWS 시작하기

icon1

AWS 계정 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다.
icon2

10분 자습서로 알아보기

간단한 자습서를 통해 자세히 알아보십시오
icon3

AWS를 사용하여 구축 시작

AWS 프로젝트를 시작하는 데 도움이 되는 단계별 안내서를 통해 구축을 시작하십시오.

AWS CloudHSM에 대해 자세히 알아보십시오

구축할 준비가 되셨습니까?
CloudHSM 시작하기
추가 질문이 있으십니까?
문의하기