AWS CloudHSM은 AWS 애플리케이션에 손쉽게 안전한 키 스토리지와 고성능 암호화 작업을 추가할 수 있는 클라우드 기반 하드웨어 보안 모듈(HSM)입니다. CloudHSM은 선결제 비용이 없으며 온디맨드로 HSM을 시작하고 중단하는 기능을 제공하므로, 필요할 때 필요한 곳에 신속하고 비용 효율적으로 용량을 프로비저닝할 수 있습니다. CloudHSM은 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간 소모적인 관리 작업을 자동화하는 완전관리형 서비스입니다.

CloudHSM은 AWS Key Management Service(KMS)를 비롯하여 암호화 키에 대한 높은 수준의 보안을 제공하는 몇 가지 AWS 서비스 중 하나입니다. KMS는 AWS에서 고객 데이터 대부분의 보안 요구 사항을 충족하며 암호화 키를 관리하는 간편하고 비용 효율적인 방법을 제공합니다. CloudHSM은 고객에게 자신의 HSM에 대한 단일 테넌트 액세스 및 제어 옵션을 제공합니다.

AWS CloudHSM 시작하기

AWS CloudHSM에 가입
CloudHSM
Introducing the new AWS CloudHSM
100x100_benefit_ecryption-lock

AWS CloudHSM은 미국 정부의 암호화 모듈에 대한 FIPS 140-2 레벨 3 표준을 준수하는 변조 방지 HSM에 대해 단일 테턴트 액세스를 제공합니다.

100x100_benefit_increase-upward2

AWS CloudHSM을 사용하면 HSM 용량을 손쉽게 확장/축소할 수 있습니다. AWS Management Console과 AWS API를 사용하여 온디맨드로 HSM을 추가하고 제거할 수 있습니다.

100x100_benefit_transparency

AWS CloudHSM은 특정 공급업체에 종속되지 않는 개방형 솔루션입니다. CloudHSM에서는 키를 다른 상용 HSM 솔루션으로 전송할 수 있으므로 AWS에서 또는 AWS로 키를 손쉽게 마이그레이션할 수 있습니다.

100x100_benefit_ingergration

AWS CloudHSM은 업계 표준 API를 통해 사용자 지정 애플리케이션과 통합할 수 있고, PKCS#11, Java Cryptography Extensions(JCE) 및 Microsoft CryptoNG(CNG) 비롯한 다양한 프로그래밍 언어를 지원합니다.

100x100_benefit_secure

AWS CloudHSM은 중요한 관리 및 키 관리 기능에 대해 quorum 인증을 지원합니다. CloudHSM은 또한 고객이 제공하는 토큰을 사용한 Multi-Factor Authentication(MFA)도 지원합니다.

100x100_benefit_management2

AWS CloudHSM은 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간 소모적인 관리 작업을 자동화하는 완전관리형 서비스입니다.

AWS CloudHSM은 자체 Amazon Virtual Private Cloud(VPC)에서 실행되므로, Amazon EC2 인스턴스에서 실행되는 애플리케이션에 손쉽게 HSM을 사용할 수 있습니다. CloudHSM에서는 표준 VPC 보안 제어 기능을 사용하여 HSM에 대한 액세스를 관리할 수 있습니다. 애플리케이션은 HSM 클라이언트 소프트웨어가 설정한 상호 인증된 SSL 채널을 사용하여 HSM에 연결됩니다. HSM은 고객의 EC2 인스턴스와 가까운 Amazon 데이터 센터에 위치하므로, 온프레미스 HSM과 비교하여 애플리케이션과 HSM 간 네트워크 지연 시간을 줄일 수 있습니다.

A: AWS에서 하드웨어 보안 모듈(HSM) 어플라이언스를 관리하지만, 고객의 키에 대한 액세스 권한은 없습니다.

B: 고객이 자체 키를 제어하고 관리합니다.

C: 애플리케이션 성능이 개선됩니다(AWS 워크로드와 거리가 가깝기 때문).

D: 다중 가용 영역(AZ)에서 변조 방지 하드웨어에 안전하게 키를 저장할 수 있습니다.

E: 고객의 HSM은 고객의 Virtual Private Cloud(VPC)에 상주하며 다른 AWS 워크로드와 격리되어 있습니다.

CloudHSM_Diagrams_2-final

업무 분리 및 역할 기반 액세스 제어는 AWS CloudHSM의 설계에 포함되어 있습니다. AWS는 HSM의 상태와 네트워크 가용성을 모니터링하지만, HSM에 저장된 키 자료를 생성 및 관리하는 데는 관여하지 않습니다. 고객이 HSM과 암호화 키의 생성 및 사용을 제어합니다.

CloudHSM_Diagrams_3 copy

AWS CloudHSM은 요청을 자동으로 로드 밸런싱하고 HSM에 저장된 키를 클러스터의 다른 모든 HSM으로 안전하게 복제합니다. 이를 통해 암호화 용량을 추가로 제공하고 키의 내구성을 개선할 수 있습니다. 여러 개의 키 사본을 다른 가용 영역(AZ)에 위치한 여러 HSM에 저장함으로써, HSM 하나를 사용할 수 없게 된 경우에도 사용자 키를 사용하고 보호할 수 있습니다. Amazon에서는 가용성과 내구성을 위해 여러 AZ에서 2개 이상의 HSM을 사용하는 구성을 권장합니다.

CloudHSM_Diagrams_1-b

AWS CloudHSM 클라이언트는 요청을 로드 밸런싱하고 클러스터의 참여 HSM 간에 키 자료를 안전하게 복제합니다.