Azure Dedicated HSM은 Azure에서 암호화 키 스토리지를 제공하는 Azure 서비스입니다. 전용 HSM은 가장 엄격한 보안 요구 사항을 충족합니다. FIPS 140-2 수준 3 검증 디바이스가 필요하고 HSM 어플라이언스의 완전하고 독점적인 제어가 필요한 고객에게 이상적인 솔루션입니다.
HSM 디바이스는 여러 Azure 지역에 전역적으로 배포됩니다. 디바이스 쌍으로 쉽게 프로비전하고 고가용성을 위해 구성할 수 있습니다. HSM 디바이스는 지역 간 프로비전되어 지역 수준의 장애 조치 대비를 보장할 수 있습니다. Microsoft는 Thales Luna 7 HSM 모델 A790 어플라이언스를 사용하여 전용 HSM 서비스를 제공합니다. 이 디바이스는 최고 수준의 성능 및 암호화 통합 옵션을 제공합니다.
프로비전된 후 HSM 디바이스는 고객의 가상 네트워크에 직접 연결됩니다. 지점 및 사이트 간 또는 사이트 간 VPN 연결을 구성할 때 온-프레미스 애플리케이션 및 관리 도구에서 액세스할 수도 있습니다. 고객은 Thales 고객 지원 포털에서 HSM 디바이스를 구성하고 관리하는 소프트웨어 및 설명서를 받습니다.
Azure Dedicated HSM을 사용하는 이유는 무엇인가요?
FIPS 140-2 레벨 3 준수
많은 조직에서는 암호화 키를 FIPS 140-2 Level-3 유효성이 검사된 HSM에 저장해야 한다고 규정하는 엄격한 업계 규정을 가지고 있습니다. Azure Dedicated HSM 및 새로운 단일 테넌트 제품인 Azure Key Vault 관리형 HSM은 금융 서비스 산업, 정부 기관 등 다양한 산업 부문의 고객이 FIPS 140-2 수준-3 요구 사항을 충족하도록 지원합니다. Microsoft의 다중 테넌트 Azure Key Vault 서비스는 현재 FIPS 140-2 Level-2 유효성이 검사된 HSM을 사용합니다.
단일 테넌트 디바이스
대부분의 고객은 암호화 스토리지 디바이스의 단일 테넌트를 요구합니다. Azure Dedicated HSM 서비스를 사용하면 Microsoft의 전역적으로 분산된 데이터 센터 중 하나에서 물리적 디바이스를 프로비전할 수 있습니다. 고객에게 프로비전된 후에는 해당 고객만 디바이스에 액세스할 수 있습니다.
전체 관리 권한
많은 고객은 관리 목적으로 디바이스에 대한 모든 관리 제어 및 단독 액세스 권한이 필요합니다. 디바이스가 프로비저닝된 후에는 고객만 디바이스에 대한 관리 또는 애플리케이션 수준 액세스 권한을 가집니다.
Microsoft는 고객이 처음으로 디바이스에 액세스한 후에는 관리자 제어가 없으며, 이때 고객이 암호를 변경합니다. 이 시점부터 고객은 완전한 관리 제어 및 애플리케이션 관리 기능을 갖춘 진정한 단일 테넌트입니다. Microsoft는 직렬 포트 연결을 통해 원격 분석에 대한 모니터 수준 액세스(관리자 역할이 아님)를 유지 관리합니다. 이 액세스는 온도, 전원 공급 장치 상태 및 팬 상태와 같은 하드웨어 모니터를 포함합니다.
고객은 필요한 모니터링을 자유롭게 사용하지 않도록 설정할 수 있습니다. 그러나 기능을 비활성화하면 Microsoft에서 적극적인 건강 알림을 받지 못합니다.
고성능
Thales 디바이스는 여러 가지 이유로 이 서비스에 대해 선택되었습니다. 광범위한 암호화 알고리즘 지원, 다양한 지원 운영 체제 및 광범위한 API 지원을 제공합니다. 배포된 특정 모델은 RSA-2048에 대해 초당 10,000개의 작업으로 뛰어난 성능을 제공합니다. 고유한 애플리케이션 인스턴스에 사용할 수 있는 10개의 파티션을 지원합니다. 이 디바이스는 짧은 대기 시간, 대용량 및 높은 처리량 디바이스입니다.
고유한 클라우드 기반 제품
Microsoft는 고유한 고객 집합에 대한 특정 요구 사항을 인식했습니다. 신규 고객에게 FIPS 140-2 수준 3의 유효성을 검사하고 클라우드 기반 및 온-프레미스 애플리케이션 통합의 범위를 제공하는 전용 HSM 서비스를 제공하는 유일한 클라우드 공급자입니다.
Azure Dedicated HSM이 적합한가요?
Azure Dedicated HSM은 특정 유형의 대규모 조직에 대한 고유한 요구 사항을 해결하는 특수 서비스입니다. 따라서 대부분의 Azure 고객이 이 서비스에 대한 사용 프로필에 맞지 않을 것으로 예상됩니다. 많은 사람들이 Azure Key Vault 또는 Azure Managed HSM 서비스가 더 적절하고 비용 효율적일 것으로 예상합니다. 요구 사항에 적합한지 여부를 결정하는 데 도움이 되도록 다음 기준을 확인했습니다.
가장 적합한 경우
Azure Dedicated HSM은 HSM 디바이스에 직접 및 단독 액세스가 필요한 "리프트 앤 시프트" 시나리오에 가장 적합합니다. 예를 들면 다음과 같습니다.
- 온-프레미스에서 Azure Virtual Machines로 애플리케이션 마이그레이션
- Aws Cloud HSM 클래식 서비스를 사용하는 가상 머신으로 Amazon AWS EC2에서 애플리케이션 마이그레이션(Amazon은 새 고객에게 이 서비스를 제공하지 않음)
- Azure Virtual Machines에서 Apache/Ngnix SSL Offload, Oracle TDE 및 ADCS와 같은 축소 래핑된 소프트웨어 실행
적합하지 않음
Azure Dedicated HSM는 다음과 같은 유형의 시나리오에는 적합하지 않습니다. Azure Dedicated HSM과 통합되지 않은 고객 관리형 키로 암호화를 지원하는 Microsoft 클라우드 서비스(예: Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database 및 Office 365용 고객 키).
비고
고객은 할당된 Microsoft 계정 관리자가 있어야 하며 Azure Dedicated HSM의 온보딩 및 사용을 자격을 얻으려면 매년 커밋된 전체 Azure 수익에서 5백만 달러($5M) 이상의 현금 요구 사항을 충족해야 합니다.
그것은 사정 나름이에요
Azure Dedicated HSM이 적합한지 여부는 잠재적으로 요구 사항과 타협의 복잡한 조합에 따라 달라집니다. 예를 들어 FIPS 140-2 수준 3 요구 사항이 있습니다. 이 요구 사항은 일반적이며, Azure Dedicated HSM 및 새로운 단일 테넌트 제품인 Azure Key Vault 관리형 HSM 은 현재 이를 충족하기 위한 유일한 옵션입니다. 이러한 필수 요구 사항이 관련이 없는 경우 Azure Key Vault와 Azure Dedicated HSM 중에서 선택하는 경우가 많습니다. 결정을 내리기 전에 요구 사항을 평가합니다.
옵션을 계량해야 하는 상황에는 다음이 포함됩니다.
- 고객의 Azure 가상 머신에서 실행되는 새 코드
- Azure 가상 머신의 SQL Server TDE
- Azure Storage 클라이언트 쪽 암호화
- SQL Server 및 Azure SQL DB Always Encrypted (항상 암호화됨)
다음 단계
전용 HSM은 고도로 특수화된 서비스입니다. 따라서 가격 책정, 지원 및 서비스 수준 계약을 포함하여 이 설명서 집합의 주요 개념을 완전히 이해하는 것이 좋습니다.
Thales 통합 가이드를 사용하면 기존 가상 네트워크 환경에 HSM을 쉽게 프로비전할 수 있습니다. 배포 아키텍처를 설정하는 방법을 결정하는 데 도움이 되는 방법 가이드도 있습니다.