Microsoft Azure Cloud HSM은 업계 표준을 준수하는 고가용성 FIPS 140-3 수준 3 유효성을 검사한 단일 테넌트 서비스입니다. Azure Cloud HSM은 고객에게 HSM(하드웨어 보안 모듈)에 대한 완전한 관리 권한을 부여합니다. 암호화 키를 저장하고 암호화 작업을 수행하기 위한 보안 및 고객 소유 HSM 클러스터를 제공합니다.
Azure Cloud HSM은 PKCS#11, SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안) 처리, CA(인증 기관) 프라이빗 키 보호, TDE(투명한 데이터 암호화) 등의 다양한 애플리케이션을 지원합니다. 문서 및 코드 서명도 지원합니다.
Azure Cloud HSM을 사용하는 이유는 무엇인가요?
완전 관리형 솔루션
많은 고객은 HSM에 대한 관리 제어가 필요하지만 고가용성, 패치 및 유지 관리를 위해 클러스터 관리와 함께 발생하는 오버헤드 및 보조 비용을 원하지 않습니다. Azure 클라우드 HSM 고객은 가상 네트워크에서 프라이빗 전용 링크를 통해 HSM 클러스터의 HSM 노드에 대한 안전하고 직접적인 엔드 투 엔드 암호화된 액세스를 갖습니다.
고객이 Azure Cloud HSM 클러스터를 프로비전한 후 고객은 HSM에 대한 관리 액세스를 유지 관리합니다. Azure Cloud HSM 서비스는 고가용성, 패치 및 유지 관리를 처리합니다.
고객 소유, 고가용성, 단일 테넌트 HSM 서비스
Azure Cloud HSM은 여러 HSM을 HSM 클러스터로 그룹화하여 고가용성 및 중복성을 제공합니다. 서비스는 각 HSM 노드에서 키와 정책을 자동으로 동기화합니다.
각 HSM 클러스터는 3개의 HSM 노드로 구성됩니다. HSM 리소스를 사용할 수 없게 되면 HSM 클러스터의 멤버 노드가 자동으로 안전하게 정상 노드로 마이그레이션됩니다.
Azure Cloud HSM 클러스터는 암호화 작업의 부하 분산을 지원합니다. 정기적인 HSM 백업은 안전하고 간단한 데이터 복구를 보장하는 데 도움이 됩니다.
데이터 보존: 클라우드 HSM은 고객이 HSM 인스턴스를 배포하는 지역 외부에 고객 데이터를 저장하거나 처리하지 않습니다.
단일 테넌트 HSM 클러스터
각 Azure Cloud HSM 인스턴스는 단일 고객 전용입니다. 각 HSM 클러스터는 암호화를 통해 격리하는 별도의 고객별 보안 도메인을 사용합니다.
규정 준수 및 인증
Azure Cloud HSM은 고객이 규정 요구 사항을 충족하는 데 도움이 되는 여러 업계 규정 준수 표준 및 인증을 충족합니다.
FIPS 140-3 수준 3
많은 조직에서는 암호화 키를 FIPS 140-3 수준 3 유효성이 검사된 HSM에 저장해야 한다고 규정하는 엄격한 업계 규정을 가지고 있습니다. Azure Cloud HSM은 FIPS 140-3 수준 3 표준을 충족하도록 유효성이 검사된 HSM을 제공합니다. NIST에서 FIPS 140-3 수준 3 인증을 확인하는 등 HSM의 신뢰성을 확인하는 절차는 온보딩 가이드를 참조하세요. Azure Cloud HSM은 다양한 산업 부문(금융 서비스 산업, 정부 기관 등)의 고객이 이러한 FIPS 요구 사항을 충족하도록 지원합니다.
eIDAS
Azure Cloud HSM은 규정 준수를 보장하기 위해 정규화된 전자 서명 및 봉인에 대한 엄격한 요구 사항을 충족하기 위해 보안 키 관리, 암호화 작업 및 FIPS 140-3 수준 3 유효성 검사 하드웨어를 제공하여 오스트리아 제도에 따른 eIDAS 규정 준수를 지원합니다. QSCD 인증서에 대해 자세히 알아보세요.
PCI 및 PCI 3DS
Azure Cloud HSM은 PCI 및 PCI 3DS 표준을 충족하도록 유효성이 검사되는 HSM을 제공합니다. Azure Cloud HSM에 대한 PCI 규정 준수 인증에 대한 자세한 내용은 Microsoft 서비스 보안 센터의 AOC(PCI 3DS 준수 증명) 를 참조하세요.
Azure Cloud HSM 적합성
Azure Cloud HSM은 다음을 지원합니다.
- PKCS#11, OpenSSL, Java JCA(암호화 아키텍처), Java JCE(암호화 확장), 암호화 API: 차세대(CNG) 및 KSP(키 스토리지 공급자).
- Active Directory 인증서 서비스(AD CS).
- SSL/TLS 오프로드(Apache 또는 NGINX).
- TDE(Microsoft SQL Server 또는 Oracle).
- 인증서 스토리지
- 문서, 파일 및 코드 서명입니다.
Azure Cloud HSM은 아닙니다.
- 베어메탈 HSM 어플라이언스.
- 비밀 저장소입니다.
- 인증서 수명 주기 관리를 위한 제품입니다.
가장 적합한 경우
Azure Cloud HSM은 다음 유형의 시나리오에 가장 적합합니다.
- 온-프레미스에서 Azure Virtual Machines 애플리케이션 마이그레이션
- Azure Dedicated HSM 또는 AWS Cloud HSM에서 애플리케이션 마이그레이션
- PKCS#11이 필요한 애플리케이션 지원
- Azure Virtual Machines에서 Apache, NGINX의 SSL 오프로드, SQL Server 또는 Oracle의 TDE, AD CS 같은 패키지 소프트웨어를 실행할 수 있습니다.
적합하지 않음
Azure Cloud HSM은 다른 PaaS(Platform as a Service) 또는 SaaS(Software as a Service) Azure 서비스와 통합되지 않습니다. Azure Cloud HSM은 IaaS(Infrastructure as a Service)입니다.
Azure Cloud HSM은 고객 관리형 키로 암호화를 지원해야 하는 Microsoft 클라우드 서비스에 적합하지 않습니다. 이러한 서비스에는 Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage 및 Microsoft Purview 고객 키가 포함됩니다. 이러한 시나리오의 경우 고객은 Azure Key Vault 관리형 HSM 사용해야 합니다.
물리적 보안
Azure 데이터 센터에는 광범위한 물리적 및 절차적 보안 제어가 있습니다. Azure Cloud HSM의 HSM은 보안 강화를 위해 물리적 액세스 제어 및 비디오 감시를 통해 데이터 센터의 제한된 액세스 영역에서 호스트됩니다.
Azure Cloud HSM은 하드웨어의 키 삭제(제로화)를 시작하는 물리적 및 논리적 변조 감지 및 응답 메커니즘을 모두 통합합니다. 이러한 측정값은 물리적 장벽이 손상된 경우 변조를 감지하도록 설계되었습니다.
HSM은 무차별 암호 대입 공격으로부터 보호됩니다. 시스템은 설정된 수의 실패한 액세스 시도 후 CO(암호화 책임자)를 잠깁니다. 마찬가지로 CU(암호화 사용자) 자격 증명을 사용하여 HSM에 액세스하려고 반복적으로 시도하면 사용자가 잠금 상태가 됩니다. 그런 다음 CO는 CU의 잠금을 해제해야 합니다. CO 잠금을 해제하려면 명령이 getChallenge 필요하며, OpenSSL을 통해 파티션 소유자 키(PO.key)로 챌린지에 unlockCO 서명한 다음, 명령과 changePswd 명령을 실행해야 합니다.
서비스 작업
Azure Cloud HSM에는 예약된 유지 관리 기간이 없습니다. 그러나 Microsoft는 필요한 업그레이드 또는 결함이 있는 하드웨어 교체에 대한 유지 관리를 수행해야 할 수 있습니다. 영향을 예상하는 경우 고객에게 미리 알림을 받습니다.
다음 단계
이러한 리소스는 기존 가상 네트워크 환경에 HSM의 프로비전 및 구성을 용이하게 하는 데 도움이 됩니다.
- Azure Cloud HSM SDK
Azure - Azure 포털을 사용하여 Azure 클라우드 HSM을 배포
Azure PowerShell 을 사용하여 Azure 클라우드 HSM을 배포합니다.