다음을 통해 공유

빠른 시작: Azure Portal을 사용하여 Azure Cloud HSM 배포

Azure Cloud HSM 은 다양한 방법을 사용하여 HSM(하드웨어 보안 모듈)을 배포할 수 있는 고가용성 FIPS 140-3 수준 3의 유효성을 검사한 단일 테넌트 서비스입니다. 이러한 방법에는 Azure CLI, Azure PowerShell, ARM 템플릿(Azure Resource Manager 템플릿), Terraform 또는 Azure Portal이 포함됩니다. 이 빠른 시작에서는 Azure Portal의 배포 프로세스를 안내합니다.

필수 조건

  • 활성 구독이 있는 Azure 계정. 계정이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
  • 리소스를 생성하기 위한 적절한 권한, 여기에는 HSM 리소스와 관리 ID를 생성할 수 있는 권한이 포함됩니다.
  • 프로덕션 환경의 경우 프라이빗 엔드포인트를 구성하기 위한 기존 가상 네트워크 및 서브넷입니다.

비고

가상 네트워크 및 서브넷이 준비되지 않은 경우 HSM을 먼저 만들고 나중에 네트워크 연결을 추가할 수 있습니다. Azure Cloud HSM에 대한 네트워크 보안에 설명된 대로 프로덕션 환경에 프라이빗 엔드포인트를 사용하는 것이 좋습니다.

Azure Cloud HSM 리소스 만들기

Azure Portal을 통해 Azure Cloud HSM 리소스를 만들려면 다음을 수행합니다.

  1. Azure Portal에 로그인 합니다.

  2. Azure Cloud HSM을 검색하고 선택합니다.

  3. 선택하고생성합니다.

클라우드 HSM 리소스를 만들기 위한 선택 항목을 보여 주는 Azure Portal의 스크린샷

기본 설정을 구성하다

기본 사항 탭에서 다음을 수행합니다.

  1. Azure 구독을 선택합니다.

  2. 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.

    클라우드 HSM 리소스를 관련 클라이언트 VM(가상 네트워크 및 가상 머신) 리소스와는 별도의 리소스 그룹에 배포하는 것이 좋습니다. 이러한 분리는 더 나은 관리 및 보안 격리를 제공합니다.

  3. HSM 이름, 지역Sku (제품 계층) 값을 지정합니다.

    HSM 이름은 고유해야 합니다. 선택한 지역에 이미 있는 HSM 리소스 이름을 지정하면 배포가 실패합니다.

  4. 기본 도메인 이름 재사용 설정을 테넌트 재사용으로 유지합니다. 이 설정을 사용하면 악의적인 하위 도메인 인수를 방지하고 FQDN(정규화된 도메인 이름)을 테넌트 내에서만 다시 사용할 수 있습니다.

구독, 리소스 그룹, 이름, 지역 및 제품 계층에 대한 클라우드 HSM 기본 구성 설정의 스크린샷

관리 ID 구성(선택 사항)

관리 ID 탭에서 다음 옵션을 고려합니다.

  • ID 없음: 백업 및 복원 작업을 사용하지 않으려면 이 옵션을 선택합니다.

    기본적으로 Azure Cloud HSM은 HSM에서 직접 처리되는 사용자 관리와 암호 기반 인증을 주로 사용하므로 ID 없음 으로 설정됩니다. 그러나 백업 및 복원 작업의 경우 관리 ID가 필요합니다.

    클라우드 HSM에 대해 선택된 기본 ID 없음 옵션을 보여 주는 ID 구성 탭의 스크린샷

  • User-Assigned ID: BCDR(비즈니스 연속성 및 재해 복구)을 위해 이 옵션을 선택하는 것이 좋습니다. 각 클라우드 HSM 클러스터에는 하나의 관리 ID만 있을 수 있지만 여러 HSM에 대해 동일한 관리 ID를 사용하거나 다른 ID를 할당할 수 있습니다.

    클라우드 HSM 백업 및 복원 작업에 대해 선택된 User-Assigned ID 옵션을 보여 주는 ID 구성 탭의 스크린샷

백업 및 복원 작업을 위해 사용자 할당 ID를 구성하는 방법에 대한 자세한 지침은 관리 ID 적용 및 스토리지 계정 만들기를 참조하세요.

보안 연결을 위해 Azure Cloud HSM에 프라이빗 엔드포인트를 설정합니다. 이 작업에는 기존 가상 네트워크가 필요합니다.

네트워킹 탭에서:

  1. 가상 네트워크가 포함된 구독을 선택합니다.

  2. 가상 네트워크 및 서브넷을 선택합니다.

  3. 필요에 따라 DNS(도메인 이름 시스템) 통합 설정을 구성합니다.

클라우드 HSM에 대한 보안 연결을 위해 프라이빗 엔드포인트를 설정하는 섹션이 있는 네트워크 구성 탭의 스크린샷

팁 (조언)

프라이빗 엔드포인트는 보안에 매우 중요합니다. 프라이빗 링크를 통해 Azure Cloud HSM에 대한 보안 연결을 사용하도록 설정합니다. 이러한 연결을 통해 가상 네트워크와 서비스 간의 트래픽이 Microsoft 백본 네트워크를 트래버스합니다. 이 구성은 Azure Cloud HSM에 대한 네트워크 보안에 설명된 대로 공용 인터넷에 대한 노출을 제거합니다.

태그 추가(선택 사항)

태그는 관리 및 보고를 위해 리소스를 구성하고 분류하는 데 도움이 되는 이름/값 쌍입니다. 태그 탭에서 세부 정보를 입력하여 태그를 만들 수 있습니다. 이 단계는 선택 사항이지만 리소스 조직, 특히 엔터프라이즈 환경에서 권장됩니다.

이름/값 쌍을 사용하여 클라우드 HSM 리소스를 구성하는 태그를 만드는 탭의 스크린샷

클라우드 HSM 리소스 배포

검토 + 제출 탭에서 다음을 수행합니다.

  1. 관리 ID 및 네트워크 설정을 포함하여 모든 HSM 세부 정보를 검토합니다.

  2. 만들기를 선택하여 Azure Cloud HSM 리소스 프로비저닝을 시작합니다.

만들기 단추와 함께 리소스 세부 정보를 검토하기 위한 탭을 보여 주는 Azure Portal의 스크린샷

포털은 리소스를 만드는 동안 배포가 진행 중임을 표시합니다. 배포가 완료되면 포털에 배포가 완료됨이 표시됩니다.

클라우드 HSM 리소스의 성공적으로 완료된 배포를 보여 주는 Azure Portal 창의 스크린샷

HSM 초기화 및 구성

포털을 통해 Azure Cloud HSM을 활성화하거나 구성할 수 없습니다. Azure Cloud HSM SDK 및 클라이언트 도구를 사용해야 합니다.

클라우드 HSM 리소스를 배포한 후 다음 단계를 수행합니다.

  1. HSM에 대한 네트워크 연결이 있는 VM의 GitHub 에서 Azure Cloud HSM SDK를 다운로드하여 설치합니다.

  2. Azure Cloud HSM 온보딩 가이드의 자세한 단계에 따라 HSM을 초기화하고 구성합니다.

  3. Azure Cloud HSM의 사용자 관리에 설명된 대로 적절한 암호화 관리자 및 사용자를 사용하여 사용자 관리를 설정합니다.

  4. Azure Cloud HSM의 키 관리에 설명된 대로 최적의 보안 및 성능을 보장하는 데 도움이 되는 적절한 키 관리 사례를 구현합니다.

자원을 정리하세요

이 빠른 시작에 대해서만 리소스 그룹을 만들었으며 이러한 리소스를 유지할 필요가 없는 경우 전체 리소스 그룹을 삭제할 수 있습니다.

  1. Azure Portal에서 클라우드 HSM 리소스가 포함된 리소스 그룹으로 이동합니다.

  2. 리소스 그룹 삭제를 선택합니다.

  3. 리소스 그룹 이름을 입력하여 삭제를 확인한 다음 삭제를 선택합니다.

일반적인 배포 문제 해결

배포 중에 문제가 발생하는 경우:

  • 리소스 이름 충돌: HSM 이름이 지역에서 고유해야 합니다. 명명 충돌로 배포가 실패하는 경우 다른 이름을 사용해 보세요.
  • 네트워크 연결 문제: VM에 HSM에 대한 적절한 네트워크 액세스 권한이 있는지 확인합니다. 모범 사례는 Azure Cloud HSM에 대한 네트워크 보안을 검토합니다.
  • 인증 실패: Azure Cloud HSM의 인증에 자세히 설명된 대로 자격 증명에 올바른 형식을 사용하고 있는지 확인합니다.
  • 클라이언트 연결 오류: Azure Cloud HSM 클라이언트가 실행 중이고 올바르게 구성되어 있는지 확인합니다. 일반적인 클라이언트 연결 문제는 Azure Cloud HSM 문제 해결을 참조하세요.

관련 콘텐츠