Azure Cloud HSM에 대한 FAQ

Microsoft Azure Cloud HSM에 대한 일반적인 질문에 대한 답변을 찾습니다.

일반적인 질문

Azure Cloud HSM이란?

Microsoft Azure Cloud HSM은 FIPS 140-3 수준 3 보안 표준을 충족하는 HSM(하드웨어 보안 모듈)을 사용하여 암호화 키에 대한 보안 스토리지를 제공하는 서비스입니다. 업계 표준을 준수하는 고객 관리형 단일 테넌트 고가용성 서비스입니다.

Azure Cloud HSM은 PKCS#11, SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안) 처리 오프로드, CA(인증 기관) 프라이빗 키 보호 및 TDE(투명한 데이터 암호화)를 비롯한 다양한 애플리케이션을 지원합니다. 문서 및 코드 서명도 지원합니다.

Azure Cloud HSM은 여러 HSM을 클러스터로 그룹화하고 3개의 HSM 인스턴스에서 자동으로 동기화하여 고가용성 및 중복성을 제공합니다. HSM 클러스터는 암호화 작업의 부하 분산을 지원합니다. 정기적인 HSM 백업은 안전하고 간단한 데이터 복구를 보장하는 데 도움이 됩니다. 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

HSM이란?

HSM(하드웨어 보안 모듈)은 암호화 키를 보호하고 관리하도록 설계된 물리적 컴퓨팅 디바이스입니다. HSM 내에서 키는 안전하게 저장되고 암호화 작업에 사용됩니다. 변조 방지 및 변조 방지 하드웨어 모듈은 해당 키의 기밀성과 무결성을 보장하는 데 도움이 됩니다. 키에 대한 액세스는 인증되고 권한이 부여된 애플리케이션으로 제한되므로 키 자료는 항상 HSM의 보호된 경계 내에 유지됩니다. 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

Azure Cloud HSM에 사용되는 하드웨어는 무엇인가요?

Azure Cloud HSM은 Marvell LiquidSecurity 하드웨어 보안 모듈을 사용합니다. 서비스 사양에 대한 자세한 내용은 Azure Cloud HSM 서비스 제한을 참조하세요.

Azure Cloud HSM과 함께 제공되는 소프트웨어는 무엇인가요?

Microsoft는 SDK를 통해 Azure Cloud HSM에 대한 모든 소프트웨어 및 도구를 제공합니다. GitHub에서 Azure Cloud HSM SDK를 다운로드할 수 있습니다. 통합 옵션에 대한 자세한 내용은 Azure Cloud HSM 통합 가이드를 참조하세요.

HSM에서 펌웨어를 관리해야 하나요?

아니요, Microsoft는 하드웨어의 펌웨어를 감독합니다. 타사(HSM 제조업체)는 하드웨어를 유지 관리합니다. NIST는 펌웨어를 평가하고 FIPS 140-3 수준 3 표준을 준수하도록 서명해야 합니다. 하드웨어 관리에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

Azure Cloud HSM 또는 Azure Managed HSM을 사용할지 여부를 결정하려면 어떻게 해야 하나요?

Azure는 클라우드의 암호화 키 스토리지 및 관리를 위한 여러 솔루션인 Azure Key Vault(표준 및 프리미엄 제품), Azure Managed HSM, Azure Cloud HSM 및 Azure Payment HSM을 제공합니다. 고객이 가장 적합한 솔루션을 결정하는 것은 압도적일 수 있습니다. 일반적인 상위 수준 요구 사항 및 주요 관리 시나리오를 기반으로 하는 순서도를 사용하여 고객이 이 결정을 내릴 수 있습니다. 올바른 키 관리 솔루션을 선택하는 방법을 참조하세요.

Azure Cloud HSM에 가장 적합한 사용 시나리오는 무엇인가요?

Azure Cloud HSM은 이미 HSM을 사용하는 온-프레미스 애플리케이션을 Azure로 마이그레이션하는 경우 마이그레이션 시나리오에 가장 적합합니다. Azure Cloud HSM은 애플리케이션을 최소한의 변경으로 Azure로 마이그레이션하는 낮은 마찰 옵션을 제공합니다.

Azure 가상 머신 또는 웹앱에서 실행되는 애플리케이션의 코드에서 암호화 작업을 수행하는 경우 조직은 Cloud HSM을 사용할 수 있습니다. 일반적으로 HSM을 키 저장소로 지원하는 IaaS(Infrastructure as a Service) 모델에서 실행되는 축소 래핑된 소프트웨어는 클라우드 HSM을 사용할 수 있습니다. 이 소프트웨어에는 다음이 포함됩니다.

• AD CS(Active Directory Certificate Services).
• NGINX 및 Apache에 대한 SSL/TLS 오프로드.
• 문서 서명에 사용되는 도구 및 응용 프로그램입니다.
• 코드 서명.
• JCE(Java Cryptography Extension) 공급자가 필요한 Java 애플리케이션.
• EKM(Extensible Key Management)을 통한 Microsoft SQL Server TDE(IaaS).
• Oracle TDE.

이러한 시나리오를 구현하는 방법에 대한 자세한 내용은 Azure Cloud HSM 통합 가이드를 참조하세요.

Azure Cloud HSM에서 내 HSM을 호스트할 수 있나요?

아니요. Microsoft는 "사용자 고유의 HSM 가져오기"를 지원하지 않습니다. Azure Cloud HSM은 고객이 제공한 디바이스를 호스트할 수 없습니다. 서비스 아키텍처에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

Azure Dedicated HSM의 키를 Azure Cloud HSM으로 마이그레이션할 수 있나요?

예, 하지만 아키텍처 및 구성에 따라 다릅니다. 전용 HSM 배포가 HA(고가용성) 그룹으로 구성된 경우 키를 마이그레이션할 수 없습니다. 그 이유는 키 복제(HA 그룹화)를 허용하도록 키 내보내기를 사용하지 않도록 설정하여 해당 특성을 변경하는 것은 파괴적인 프로세스이기 때문입니다. HA 그룹화에서 전용 HSM 배포가 구성된 경우 Azure Cloud HSM으로 마이그레이션할 때 새 키를 만들어야 합니다. 키 관리에 대한 자세한 내용은 Azure Cloud HSM의 키 관리를 참조하세요.

고객 온보딩

Azure Cloud HSM에는 온보딩을 위한 통화 정책이 있나요?

아니요, Azure Cloud HSM에는 통화 정책이 없습니다. Azure Cloud HSM 온보딩은 모든 고객에게 열려 있습니다. 시작에 대한 자세한 내용은 Azure Cloud HSM 온보딩 가이드를 참조하세요.

청구서 발행

Azure Cloud HSM 사용에 대한 요금 및 요금은 어떻게 청구하나요?

세 개의 노드로 구성된 각 Azure Cloud HSM 클러스터에 대해 시간당 요금이 부과됩니다. 클라우드 HSM 리소스를 프로비전한 후에는 계속 활성 상태로 유지됩니다(항상 켜기). 청구는 HSM 리소스 초기화를 완료하는 대신 리소스를 프로비전할 때 시작됩니다. 배포 옵션에 대한 자세한 내용은 PowerShell을 사용하여 Azure Cloud HSM 배포 또는 Azure Portal을 사용하여 Azure Cloud HSM 배포를 참조하세요.

Azure Cloud HSM 서비스에 어떤 추가 비용이 발생할 수 있나요?

Azure Cloud HSM에는 가상 네트워크 및 프라이빗 엔드포인트와 같은 네트워크 인프라가 필요합니다. 또한 디바이스 구성을 위해 가상 머신과 같은 리소스가 필요합니다. 이러한 리소스는 추가 비용이 발생하며 Azure Cloud HSM 서비스 가격 책정에 포함되지 않습니다. 네트워크 요구 사항에 대한 자세한 내용은 Azure Cloud HSM에 대한 네트워크 보안을 참조하세요.

Azure Cloud HSM 서비스에 무료 계층이 있나요?

아니요, Azure Cloud HSM에는 무료 계층을 사용할 수 없습니다. 서비스 제공에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

상호 운용성

Azure Cloud HSM SDK는 어떤 운영 체제를 지원하나요?

• Windows Server 2016, 2019 및 2022
• Linux(Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 및 RHEL 9)
• CBL 마리너 2

호환성 및 문제 해결에 대한 자세한 내용은 Azure Cloud HSM 문제 해결을 참조하세요.

Azure Cloud HSM을 관리하려면 어떻게 해야 하나요?

GitHub에서 SSH(Secure Shell) 및 Azure Cloud HSM SDK를 통해 Azure Cloud HSM 클러스터에 액세스하여 서비스 배포를 관리합니다. 관리 작업에 대한 자세한 내용은 Azure Cloud HSM의 사용자 관리를 참조하세요.

내 애플리케이션은 Azure Cloud HSM에 어떻게 연결하나요?

Azure Cloud HSM SDK에는 애플리케이션 내에서 암호화 작업을 실행하는 소프트웨어 및 도구가 포함되어 있습니다. Azure Cloud HSM은 PKCS#11, OpenSSL, JCE, KSP(키 스토리지 공급자) 및 암호화 API: 차세대(CNG)를 비롯한 다양한 인터페이스를 지원합니다. SDK의 도구 범위를 통해 HSM과 원활하게 상호 작용할 수 있습니다.

GitHub에서 Azure Cloud HSM SDK를 다운로드할 수 있습니다. 연결 방법에 대한 자세한 내용은 Azure Cloud HSM의 인증을 참조하세요.

Azure Cloud HSM은 암호 기반 및 PED 기반 인증을 지원하나요?

Azure Cloud HSM은 암호 기반 인증만 지원합니다. PED(PIN 항목 디바이스)를 통한 인증은 지원하지 않습니다. 인증 방법에 대한 자세한 내용은 Azure Cloud HSM의 인증을 참조하세요.

애플리케이션이 지역 내 또는 지역 간에 다른 가상 네트워크에서 Azure Cloud HSM에 연결할 수 있나요?

예. 지역 내 의 가상 네트워크 피어링을 사용하여 가상 네트워크 간에 연결을 설정합니다. 지역 간 연결의 경우 글로벌 가상 네트워크 피어링 또는 VPN 게이트웨이를 사용합니다. 네트워크 구성에 대한 자세한 내용은 Azure Cloud HSM에 대한 네트워크 보안을 참조하세요.

Azure Cloud HSM은 온-프레미스 HSM에서 작동하나요?

아니요. Azure Cloud HSM은 온-프레미스 HSM과 직접 상호 운용되지는 않지만 지원되는 여러 키 래핑 방법 중 하나를 사용하여 내보내기 가능한 키를 Azure Cloud HSM과 대부분의 상용 HSM 간에 안전하게 전송할 수 있습니다. 키 관리에 대한 자세한 내용은 Azure Cloud HSM의 키 관리를 참조하세요.

Azure Cloud HSM에 저장된 키를 사용하여 다른 Azure 서비스에서 사용하는 데이터를 암호화할 수 있나요?

아니요. Azure Cloud HSM 클러스터는 가상 네트워크 내부에서만 액세스할 수 있습니다. 서비스 제한 사항에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

Microsoft Purview 고객 키, Azure Information Protection, Azure Data Lake Storage, Azure Disk Encryption 또는 Azure Storage 암호화와 함께 Azure Cloud HSM을 사용할 수 있나요?

아니요. Azure Cloud HSM은 개인 IP 주소 공간에 직접 프로비전되므로 다른 Azure 또는 Microsoft 서비스에서 액세스할 수 없습니다. 서비스 기능 및 제한 사항에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

기존 온-프레미스 HSM에서 Azure Cloud HSM으로 키를 가져올 수 있나요?

예. BYOK(Bring Your Own Key)를 가져오고 키 내보내기(키 래핑)를 허용하는 온-프레미스 HSM이 있는 방법에는 여러 가지가 있습니다. 키 가져오기 작업에 대한 자세한 내용은 Azure Cloud HSM의 키 관리를 참조하세요.

Azure Cloud HSM에 기능 모듈을 설치할 수 있나요?

아니요. Azure Cloud HSM 서비스는 기능 모듈을 지원하지 않습니다. 서비스 기능에 대한 자세한 내용은 Azure Cloud HSM 서비스 제한을 참조하세요.

업로드한 후 파티션 소유자 인증서를 업데이트할 수 있나요?

아니요. 파티션 소유자 인증서를 업로드한 후에는 변경할 수 없습니다. 오류로 업로드 PO.crt 하는 경우 Azure Cloud HSM 리소스를 삭제하고 다시 배포해야 합니다.

비즈니스 연속성

원본 Azure Cloud HSM 리소스에 백업을 복원할 수 있나요?

아니요. 백업이 활성화된 상태이므로 원본 Azure Cloud HSM 리소스로 백업을 복원할 수 없습니다. 백업 및 복원 작업에 대한 자세한 내용은 Azure Cloud HSM의 백업 및 복원을 참조하세요.

활성화된 상태의 다른 대상 Azure Cloud HSM 리소스로 백업을 복원할 수 있나요?

아니요. Azure Cloud HSM은 원본 HSM 또는 이미 활성화된 클라우드 HSM 리소스에 대한 백업 복원을 지원하지 않습니다. 그렇지 않으면 복원 작업이 실패하고 대상 클라우드 HSM 리소스가 비기능 상태로 전환됩니다. 복원 프로세스에 대한 자세한 내용은 Azure Cloud HSM에 대한 복원 지침을 참조하세요.

다른 지역의 다른 Azure Cloud HSM 리소스에 백업을 복원할 수 있나요?

예. 대상 클라우드 HSM 리소스가 활성화되지 않은 경우 모든 지역의 다른 Azure Cloud HSM 리소스로 백업을 복원할 수 있습니다. 지역 간 복원에 대한 자세한 내용은 Azure Cloud HSM에 대한 지역 간 복구를 참조하세요.

Azure Cloud HSM 클러스터당 둘 이상의 관리 ID를 만들 수 있나요?

아니요. Azure Cloud HSM 클러스터당 하나의 관리 ID만 허용됩니다. ID 및 액세스 관리에 대한 자세한 내용은 관리 ID 적용 및 스토리지 계정 만들기를 참조하세요.

백업의 원본 및 대상에 대해 더 제한적인 읽기/쓰기 권한을 적용할 수 있나요?

예. 필요한 최소 RBAC(역할 기반 액세스 제어) 역할은 Storage Blob 데이터 기여자입니다. 원본을 읽기 전용으로 제한할 수 있지만 대상에 대한 읽기/쓰기 권한이 필요합니다. 액세스 제어에 대한 자세한 내용은 관리 ID 적용 및 스토리지 계정 만들기를 참조하세요.

보안 및 규정 준수

Azure Cloud HSM 리소스를 다른 Azure 고객과 공유하나요?

아니요. Azure Cloud HSM을 사용하면 HSM에 대한 단독 관리 액세스 권한을 단일 테넌트로 사용할 수 있습니다. 서비스 아키텍처에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

Microsoft 또는 Microsoft의 모든 사용자가 Azure Cloud HSM 리소스의 키에 액세스할 수 있나요?

아니요. Microsoft는 고객이 할당한 HSM에 저장된 키에 액세스할 수 없습니다. 보안 제어에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

Microsoft는 암호화 키에 액세스하지 않고 HSM을 어떻게 관리하나요?

Azure Cloud HSM 아키텍처에서 업무 분리 및 역할 기반 액세스 제어는 기본 원칙입니다. Microsoft는 고객이 할당한 HSM에 대한 암호화 제어 또는 HSM 사용자에 대한 제어가 없으며, 어플라이언스 사용자로서의 제한된 역할 외에는 어떠한 암호화도 제어할 수 없습니다.

Microsoft는 HSM에 대한 권한을 제한했습니다. 이러한 권한을 통해 모니터링, 상태 및 가용성 유지 관리, 암호화된 백업, 변경할 수 없는 감사 로그를 고객의 지정된 스토리지에 추출 및 게시할 수 있습니다. 이러한 권한은 Microsoft가 암호화 사용자가 소유한 키를 사용하여 암호화 작업을 수행하는 것을 허용하지 않습니다. 운영 로깅에 대한 자세한 내용은 Azure Cloud HSM에 대한 작업 이벤트 로깅 구성 및 쿼리를 참조하세요.

Azure Cloud HSM은 고객 데이터를 저장하나요?

아니요, Azure Cloud HSM은 고객 데이터를 유지하지 않습니다. 모든 주요 자료와 데이터는 고객의 HSM 내에 보관됩니다. 각 Azure Cloud HSM 클러스터는 관리 제어가 있는 단일 고객을 위해 독점적으로 지정됩니다. 데이터 보호에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

Azure Cloud HSM은 FIPS 140-3 수준 3을 지원하나요?

예, Azure Cloud HSM은 FIPS 140-3 수준 3 표준을 충족하도록 유효성이 검사된 HSM을 제공합니다. NIST에서 FIPS 140-3 수준 3 인증을 확인하는 등 HSM의 신뢰성을 확인하는 절차는 온보딩 가이드를 참조하세요. 규정 준수에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

Azure Cloud HSM은 eIDAS를 지원하나요?

예. Azure Cloud HSM은 규정 준수를 보장하기 위해 정규화된 전자 서명 및 봉인에 대한 엄격한 요구 사항을 충족하기 위해 보안 키 관리, 암호화 작업 및 FIPS 140-3 수준 3 유효성 검사 하드웨어를 제공하여 오스트리아 제도에 따른 eIDAS 규정 준수를 지원합니다. QSCD 인증서에 대해 자세히 알아보세요. 보안 표준에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

누군가가 HSM 하드웨어를 변조하면 어떻게 되나요?

Azure Cloud HSM은 하드웨어의 키 삭제(제로화)를 시작하는 물리적 및 논리적 변조 감지 및 응답 메커니즘을 모두 통합합니다. 이러한 측정값은 물리적 장벽이 손상된 경우 변조를 감지하도록 설계되었습니다.

또한 HSM은 무차별 암호 대입 공격으로부터 보호됩니다. 시스템은 설정된 수의 실패한 액세스 시도 후 CO(암호화 책임자)를 잠깁니다. 마찬가지로 CU(암호화 사용자) 자격 증명을 사용하여 HSM에 액세스하려고 반복적으로 시도하면 사용자가 잠깁니다. 그런 다음 CO는 CU의 잠금을 해제해야 합니다. CO 잠금을 해제하려면 OpenSSL을 통해 챌린지에 PO.key 서명한 다음 unlockCO 명령이 changePswd 필요합니다getChallenge. 보안 기능에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

지원

Azure Cloud HSM에 대한 지원을 받으려면 어떻게 해야 하나요?

Microsoft는 Azure Cloud HSM에 대한 모든 지원을 지원합니다. 하드웨어, 소프트웨어, HSM 구성 또는 네트워크 액세스와 관련된 문제가 발생하는 경우 Microsoft에 지원 요청을 제출합니다. 일반적인 문제 및 솔루션에 대한 자세한 내용은 Azure Cloud HSM 문제 해결을 참조하세요.

Azure Cloud HSM에서 사용되는 HSM은 어떻게 보호하나요?

Azure 데이터 센터에는 광범위한 물리적 및 절차적 보안 제어가 있습니다. 또한 Azure Cloud HSM의 HSM은 보안 강화를 위해 물리적 액세스 제어 및 비디오 감시를 통해 데이터 센터의 제한된 액세스 영역에서 호스트됩니다. 물리적 보안에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

내 HSM에 대한 자격 증명이 손실된 경우 Microsoft에서 키를 복구할 수 있나요?

아니요. Microsoft는 키 또는 자격 증명에 액세스할 수 없으며 자격 증명을 분실한 경우 키를 복구할 수 없습니다. 자격 증명 관리에 대한 자세한 내용은 Azure Cloud HSM의 사용자 관리를 참조하세요.

Azure Cloud HSM에 예약된 유지 관리 기간이 있나요?

아니요. Microsoft는 필요한 업그레이드 또는 결함이 있는 하드웨어에 대한 유지 관리를 수행해야 할 수도 있습니다. 영향을 예상하는 경우 고객에게 미리 알립니다. 운영 고려 사항에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

Azure Cloud HSM용 SLA란?

서비스 수준 계약의 경우 온라인 서비스에 대한 SLA(서비스 수준 계약)를 참조하세요. 서비스 안정성에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

Microsoft Azure Cloud HSM에 대한 일반적인 질문에 대한 답변을 찾습니다.

Microsoft Azure Cloud HSM은 FIPS 140-3 수준 3 보안 표준을 충족하는 HSM(하드웨어 보안 모듈)을 사용하여 암호화 키에 대한 보안 스토리지를 제공하는 서비스입니다. 업계 표준을 준수하는 고객 관리형 단일 테넌트 고가용성 서비스입니다.

Azure Cloud HSM은 PKCS#11, SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안) 처리 오프로드, CA(인증 기관) 프라이빗 키 보호 및 TDE(투명한 데이터 암호화)를 비롯한 다양한 애플리케이션을 지원합니다. 문서 및 코드 서명도 지원합니다.

Azure Cloud HSM은 여러 HSM을 클러스터로 그룹화하고 3개의 HSM 인스턴스에서 자동으로 동기화하여 고가용성 및 중복성을 제공합니다. HSM 클러스터는 암호화 작업의 부하 분산을 지원합니다. 정기적인 HSM 백업은 안전하고 간단한 데이터 복구를 보장하는 데 도움이 됩니다. 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

HSM(하드웨어 보안 모듈)은 암호화 키를 보호하고 관리하도록 설계된 물리적 컴퓨팅 디바이스입니다. HSM 내에서 키는 안전하게 저장되고 암호화 작업에 사용됩니다. 변조 방지 및 변조 방지 하드웨어 모듈은 해당 키의 기밀성과 무결성을 보장하는 데 도움이 됩니다. 키에 대한 액세스는 인증되고 권한이 부여된 애플리케이션으로 제한되므로 키 자료는 항상 HSM의 보호된 경계 내에 유지됩니다. 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

Azure Cloud HSM은 Marvell LiquidSecurity 하드웨어 보안 모듈을 사용합니다. 서비스 사양에 대한 자세한 내용은 Azure Cloud HSM 서비스 제한을 참조하세요.

Microsoft는 SDK를 통해 Azure Cloud HSM에 대한 모든 소프트웨어 및 도구를 제공합니다. GitHub에서 Azure Cloud HSM SDK를 다운로드할 수 있습니다. 통합 옵션에 대한 자세한 내용은 Azure Cloud HSM 통합 가이드를 참조하세요.

아니요, Microsoft는 하드웨어의 펌웨어를 감독합니다. 타사(HSM 제조업체)는 하드웨어를 유지 관리합니다. NIST는 펌웨어를 평가하고 FIPS 140-3 수준 3 표준을 준수하도록 서명해야 합니다. 하드웨어 관리에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

Azure는 클라우드의 암호화 키 스토리지 및 관리를 위한 여러 솔루션인 Azure Key Vault(표준 및 프리미엄 제품), Azure Managed HSM, Azure Cloud HSM 및 Azure Payment HSM을 제공합니다. 고객이 가장 적합한 솔루션을 결정하는 것은 압도적일 수 있습니다. 일반적인 상위 수준 요구 사항 및 주요 관리 시나리오를 기반으로 하는 순서도를 사용하여 고객이 이 결정을 내릴 수 있습니다. 올바른 키 관리 솔루션을 선택하는 방법을 참조하세요.

Azure Cloud HSM은 이미 HSM을 사용하는 온-프레미스 애플리케이션을 Azure로 마이그레이션하는 경우 마이그레이션 시나리오에 가장 적합합니다. Azure Cloud HSM은 애플리케이션을 최소한의 변경으로 Azure로 마이그레이션하는 낮은 마찰 옵션을 제공합니다.

Azure 가상 머신 또는 웹앱에서 실행되는 애플리케이션의 코드에서 암호화 작업을 수행하는 경우 조직은 Cloud HSM을 사용할 수 있습니다. 일반적으로 HSM을 키 저장소로 지원하는 IaaS(Infrastructure as a Service) 모델에서 실행되는 축소 래핑된 소프트웨어는 클라우드 HSM을 사용할 수 있습니다. 이 소프트웨어에는 다음이 포함됩니다.

• AD CS(Active Directory Certificate Services).
• NGINX 및 Apache에 대한 SSL/TLS 오프로드.
• 문서 서명에 사용되는 도구 및 응용 프로그램입니다.
• 코드 서명.
• JCE(Java Cryptography Extension) 공급자가 필요한 Java 애플리케이션.
• EKM(Extensible Key Management)을 통한 Microsoft SQL Server TDE(IaaS).
• Oracle TDE.

이러한 시나리오를 구현하는 방법에 대한 자세한 내용은 Azure Cloud HSM 통합 가이드를 참조하세요.

아니요. Microsoft는 "사용자 고유의 HSM 가져오기"를 지원하지 않습니다. Azure Cloud HSM은 고객이 제공한 디바이스를 호스트할 수 없습니다. 서비스 아키텍처에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

예, 하지만 아키텍처 및 구성에 따라 다릅니다. 전용 HSM 배포가 HA(고가용성) 그룹으로 구성된 경우 키를 마이그레이션할 수 없습니다. 그 이유는 키 복제(HA 그룹화)를 허용하도록 키 내보내기를 사용하지 않도록 설정하여 해당 특성을 변경하는 것은 파괴적인 프로세스이기 때문입니다. HA 그룹화에서 전용 HSM 배포가 구성된 경우 Azure Cloud HSM으로 마이그레이션할 때 새 키를 만들어야 합니다. 키 관리에 대한 자세한 내용은 Azure Cloud HSM의 키 관리를 참조하세요.

아니요, Azure Cloud HSM에는 통화 정책이 없습니다. Azure Cloud HSM 온보딩은 모든 고객에게 열려 있습니다. 시작에 대한 자세한 내용은 Azure Cloud HSM 온보딩 가이드를 참조하세요.

세 개의 노드로 구성된 각 Azure Cloud HSM 클러스터에 대해 시간당 요금이 부과됩니다. 클라우드 HSM 리소스를 프로비전한 후에는 계속 활성 상태로 유지됩니다(항상 켜기). 청구는 HSM 리소스 초기화를 완료하는 대신 리소스를 프로비전할 때 시작됩니다. 배포 옵션에 대한 자세한 내용은 PowerShell을 사용하여 Azure Cloud HSM 배포 또는 Azure Portal을 사용하여 Azure Cloud HSM 배포를 참조하세요.

Azure Cloud HSM에는 가상 네트워크 및 프라이빗 엔드포인트와 같은 네트워크 인프라가 필요합니다. 또한 디바이스 구성을 위해 가상 머신과 같은 리소스가 필요합니다. 이러한 리소스는 추가 비용이 발생하며 Azure Cloud HSM 서비스 가격 책정에 포함되지 않습니다. 네트워크 요구 사항에 대한 자세한 내용은 Azure Cloud HSM에 대한 네트워크 보안을 참조하세요.

아니요, Azure Cloud HSM에는 무료 계층을 사용할 수 없습니다. 서비스 제공에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

• Windows Server 2016, 2019 및 2022
• Linux(Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 및 RHEL 9)
• CBL 마리너 2

호환성 및 문제 해결에 대한 자세한 내용은 Azure Cloud HSM 문제 해결을 참조하세요.

GitHub에서 SSH(Secure Shell) 및 Azure Cloud HSM SDK를 통해 Azure Cloud HSM 클러스터에 액세스하여 서비스 배포를 관리합니다. 관리 작업에 대한 자세한 내용은 Azure Cloud HSM의 사용자 관리를 참조하세요.

Azure Cloud HSM SDK에는 애플리케이션 내에서 암호화 작업을 실행하는 소프트웨어 및 도구가 포함되어 있습니다. Azure Cloud HSM은 PKCS#11, OpenSSL, JCE, KSP(키 스토리지 공급자) 및 암호화 API: 차세대(CNG)를 비롯한 다양한 인터페이스를 지원합니다. SDK의 도구 범위를 통해 HSM과 원활하게 상호 작용할 수 있습니다.

GitHub에서 Azure Cloud HSM SDK를 다운로드할 수 있습니다. 연결 방법에 대한 자세한 내용은 Azure Cloud HSM의 인증을 참조하세요.

Azure Cloud HSM은 암호 기반 인증만 지원합니다. PED(PIN 항목 디바이스)를 통한 인증은 지원하지 않습니다. 인증 방법에 대한 자세한 내용은 Azure Cloud HSM의 인증을 참조하세요.

예. 지역 내 의 가상 네트워크 피어링을 사용하여 가상 네트워크 간에 연결을 설정합니다. 지역 간 연결의 경우 글로벌 가상 네트워크 피어링 또는 VPN 게이트웨이를 사용합니다. 네트워크 구성에 대한 자세한 내용은 Azure Cloud HSM에 대한 네트워크 보안을 참조하세요.

아니요. Azure Cloud HSM은 온-프레미스 HSM과 직접 상호 운용되지는 않지만 지원되는 여러 키 래핑 방법 중 하나를 사용하여 내보내기 가능한 키를 Azure Cloud HSM과 대부분의 상용 HSM 간에 안전하게 전송할 수 있습니다. 키 관리에 대한 자세한 내용은 Azure Cloud HSM의 키 관리를 참조하세요.

아니요. Azure Cloud HSM 클러스터는 가상 네트워크 내부에서만 액세스할 수 있습니다. 서비스 제한 사항에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

아니요. Azure Cloud HSM은 개인 IP 주소 공간에 직접 프로비전되므로 다른 Azure 또는 Microsoft 서비스에서 액세스할 수 없습니다. 서비스 기능 및 제한 사항에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

예. BYOK(Bring Your Own Key)를 가져오고 키 내보내기(키 래핑)를 허용하는 온-프레미스 HSM이 있는 방법에는 여러 가지가 있습니다. 키 가져오기 작업에 대한 자세한 내용은 Azure Cloud HSM의 키 관리를 참조하세요.

아니요. Azure Cloud HSM 서비스는 기능 모듈을 지원하지 않습니다. 서비스 기능에 대한 자세한 내용은 Azure Cloud HSM 서비스 제한을 참조하세요.

아니요. 파티션 소유자 인증서를 업로드한 후에는 변경할 수 없습니다. 오류로 업로드 PO.crt 하는 경우 Azure Cloud HSM 리소스를 삭제하고 다시 배포해야 합니다.

아니요. 백업이 활성화된 상태이므로 원본 Azure Cloud HSM 리소스로 백업을 복원할 수 없습니다. 백업 및 복원 작업에 대한 자세한 내용은 Azure Cloud HSM의 백업 및 복원을 참조하세요.

아니요. Azure Cloud HSM은 원본 HSM 또는 이미 활성화된 클라우드 HSM 리소스에 대한 백업 복원을 지원하지 않습니다. 그렇지 않으면 복원 작업이 실패하고 대상 클라우드 HSM 리소스가 비기능 상태로 전환됩니다. 복원 프로세스에 대한 자세한 내용은 Azure Cloud HSM에 대한 복원 지침을 참조하세요.

예. 대상 클라우드 HSM 리소스가 활성화되지 않은 경우 모든 지역의 다른 Azure Cloud HSM 리소스로 백업을 복원할 수 있습니다. 지역 간 복원에 대한 자세한 내용은 Azure Cloud HSM에 대한 지역 간 복구를 참조하세요.

아니요. Azure Cloud HSM 클러스터당 하나의 관리 ID만 허용됩니다. ID 및 액세스 관리에 대한 자세한 내용은 관리 ID 적용 및 스토리지 계정 만들기를 참조하세요.

예. 필요한 최소 RBAC(역할 기반 액세스 제어) 역할은 Storage Blob 데이터 기여자입니다. 원본을 읽기 전용으로 제한할 수 있지만 대상에 대한 읽기/쓰기 권한이 필요합니다. 액세스 제어에 대한 자세한 내용은 관리 ID 적용 및 스토리지 계정 만들기를 참조하세요.

아니요. Azure Cloud HSM을 사용하면 HSM에 대한 단독 관리 액세스 권한을 단일 테넌트로 사용할 수 있습니다. 서비스 아키텍처에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

아니요. Microsoft는 고객이 할당한 HSM에 저장된 키에 액세스할 수 없습니다. 보안 제어에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

Azure Cloud HSM 아키텍처에서 업무 분리 및 역할 기반 액세스 제어는 기본 원칙입니다. Microsoft는 고객이 할당한 HSM에 대한 암호화 제어 또는 HSM 사용자에 대한 제어가 없으며, 어플라이언스 사용자로서의 제한된 역할 외에는 어떠한 암호화도 제어할 수 없습니다.

Microsoft는 HSM에 대한 권한을 제한했습니다. 이러한 권한을 통해 모니터링, 상태 및 가용성 유지 관리, 암호화된 백업, 변경할 수 없는 감사 로그를 고객의 지정된 스토리지에 추출 및 게시할 수 있습니다. 이러한 권한은 Microsoft가 암호화 사용자가 소유한 키를 사용하여 암호화 작업을 수행하는 것을 허용하지 않습니다. 운영 로깅에 대한 자세한 내용은 Azure Cloud HSM에 대한 작업 이벤트 로깅 구성 및 쿼리를 참조하세요.

아니요, Azure Cloud HSM은 고객 데이터를 유지하지 않습니다. 모든 주요 자료와 데이터는 고객의 HSM 내에 보관됩니다. 각 Azure Cloud HSM 클러스터는 관리 제어가 있는 단일 고객을 위해 독점적으로 지정됩니다. 데이터 보호에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

예, Azure Cloud HSM은 FIPS 140-3 수준 3 표준을 충족하도록 유효성이 검사된 HSM을 제공합니다. NIST에서 FIPS 140-3 수준 3 인증을 확인하는 등 HSM의 신뢰성을 확인하는 절차는 온보딩 가이드를 참조하세요. 규정 준수에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.

예. Azure Cloud HSM은 규정 준수를 보장하기 위해 정규화된 전자 서명 및 봉인에 대한 엄격한 요구 사항을 충족하기 위해 보안 키 관리, 암호화 작업 및 FIPS 140-3 수준 3 유효성 검사 하드웨어를 제공하여 오스트리아 제도에 따른 eIDAS 규정 준수를 지원합니다. QSCD 인증서에 대해 자세히 알아보세요. 보안 표준에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

Azure Cloud HSM은 하드웨어의 키 삭제(제로화)를 시작하는 물리적 및 논리적 변조 감지 및 응답 메커니즘을 모두 통합합니다. 이러한 측정값은 물리적 장벽이 손상된 경우 변조를 감지하도록 설계되었습니다.

또한 HSM은 무차별 암호 대입 공격으로부터 보호됩니다. 시스템은 설정된 수의 실패한 액세스 시도 후 CO(암호화 책임자)를 잠깁니다. 마찬가지로 CU(암호화 사용자) 자격 증명을 사용하여 HSM에 액세스하려고 반복적으로 시도하면 사용자가 잠깁니다. 그런 다음 CO는 CU의 잠금을 해제해야 합니다. CO 잠금을 해제하려면 OpenSSL을 통해 챌린지에 PO.key 서명한 다음 unlockCO 명령이 changePswd 필요합니다getChallenge. 보안 기능에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

Microsoft는 Azure Cloud HSM에 대한 모든 지원을 지원합니다. 하드웨어, 소프트웨어, HSM 구성 또는 네트워크 액세스와 관련된 문제가 발생하는 경우 Microsoft에 지원 요청을 제출합니다. 일반적인 문제 및 솔루션에 대한 자세한 내용은 Azure Cloud HSM 문제 해결을 참조하세요.

Azure 데이터 센터에는 광범위한 물리적 및 절차적 보안 제어가 있습니다. 또한 Azure Cloud HSM의 HSM은 보안 강화를 위해 물리적 액세스 제어 및 비디오 감시를 통해 데이터 센터의 제한된 액세스 영역에서 호스트됩니다. 물리적 보안에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

아니요. Microsoft는 키 또는 자격 증명에 액세스할 수 없으며 자격 증명을 분실한 경우 키를 복구할 수 없습니다. 자격 증명 관리에 대한 자세한 내용은 Azure Cloud HSM의 사용자 관리를 참조하세요.

아니요. Microsoft는 필요한 업그레이드 또는 결함이 있는 하드웨어에 대한 유지 관리를 수행해야 할 수도 있습니다. 영향을 예상하는 경우 고객에게 미리 알립니다. 운영 고려 사항에 대한 자세한 내용은 Azure Cloud HSM 배포 보안을 참조하세요.

서비스 수준 계약의 경우 온라인 서비스에 대한 SLA(서비스 수준 계약)를 참조하세요. 서비스 안정성에 대한 자세한 내용은 Azure Cloud HSM이란?을 참조하세요.