관리되는 HSM을 사용하여 클라우드의 데이터 제어

  • 아티클

Microsoft는 개인 정보를 소중히 여기고, 보호하고, 지킵니다. 사람들과 조직이 데이터를 제어하고 데이터 사용 방법에 대한 의미 있는 선택을 내릴 수 있으려면 투명성이 중요합니다. Microsoft는 제품 및 서비스를 사용하는 모든 사람이 개인 정보 보호를 선택하도록 역량을 부여하고 방어합니다.

이 문서에서는 암호화에 대한 Azure Key Vault 관리되는 HSM 보안 컨트롤에는 어떤 것이 있으며 이러한 컨트롤은 어떤 방식으로 고객이 규정 준수를 충족하는 데 도움이 되는 추가적인 안전 조치와 기술적 수단을 제공하는지 자세히 알아봅니다.

암호화는 데이터를 단독으로 제어할 수 있는 주요 기술적 수단 중 하나입니다. Azure는 미사용 데이터와 전송 중 데이터에 모두 사용할 수 있는 첨단 암호화 기술을 통해 데이터를 강화합니다. 한 레이어가 손상되어도 데이터를 보호할 수 있도록 서로 독립된 2개 이상의 암호화 계층을 포함하여 Microsoft의 암호화 제품은 데이터를 무단 액세스로부터 보호합니다. 또한 Azure는 고객에게 클라우드에서 데이터를 궁극적으로 제어할 수 있도록 명확하게 정의되고 잘 설정된 응답, 정책 및 프로세스, 강력한 계약 약정 및 엄격한 물리적, 운영 및 인프라 보안 제어를 제공합니다. Azure 키 관리 전략의 기본 전제는 고객에게 더 많은 데이터 제어권을 주는 것입니다. Microsoft는 고급 엔클레이브 기술, HSM(하드웨어 보안 모듈) 및 ID 격리를 통해 고객 키 및 데이터에 대한 Microsoft의 액세스를 줄이는 제로 트러스트 태세를 사용합니다.

미사용 데이터 암호화는 저장된 미사용 데이터와 데이터 거버넌스 및 규정 준수 요구 사항을 충족해야 하는 조직에 필요한 데이터 보호를 제공합니다. Microsoft의 규정 준수 포트폴리오는 HIPAA, 일반 데이터 보호 규정FIPS(Federal Information Processing Standards) 140-2 및 3과 같은 산업 표준과 정부 규정을 사용하며 전 세계 모든 퍼블릭 클라우드 중에서 가장 광범위합니다. 이러한 표준과 규정은 데이터 보호 및 암호화 요구 사항과 관련된 안전 장치를 마련합니다. 대부분의 경우 규정 준수를 위해 필수 조치가 요구됩니다.

미사용 데이터 암호화는 어떻게 작동하나요?

Diagram that demonstrates how encryption at rest works.

Azure Key Vault 서비스는 암호화 키, 인증서 및 클라우드 애플리케이션과 서비스가 미사용 시 암호화된 데이터를 보호하고 제어하는 데 사용하는 기타 비밀을 보호하는 암호화 및 키 관리 솔루션을 제공합니다.

안전한 키 관리는 클라우드에서 데이터를 보호하고 제어하기 위해 아주 중요합니다. Azure는 암호화 키에 대한 액세스를 관리하고 제어하는 다양한 솔루션을 제공하므로 엄격한 데이터 보호 및 규정 준수 요구 사항을 충족할 수 있는 방법을 유연하게 선택할 수 있습니다.

  • Azure Platform Encryption은 호스트 수준 암호화를 사용하여 암호화하는 플랫폼 관리형 암호화 솔루션입니다. 플랫폼 관리형 키는 전적으로 Azure에서 만들고, 저장하고, 관리하는 암호화 키입니다.
  • 고객 관리형 키는 전적으로 고객이 만들고, 읽고, 삭제하고, 업데이트하고, 관리하는 키입니다. 고객 관리형 키는 Azure Key Vault와 같은 클라우드 키 관리 서비스에 저장할 수 있습니다.
  • Azure Key Vault 표준은 암호화에 소프트웨어 키를 사용하며 FIPS 140-2 수준 1 규격입니다.
  • Azure Key Vault Premium 은 FIPS 140 유효성이 검사된 HSM으로 보호되는 키를 사용하여 암호화합니다.
  • Azure Key Vault 관리되는 HSM은 단일 테넌트 FIPS 140-2 수준 3 HSM 보호 키를 사용하여 암호화하며 전적으로 Microsoft에서 관리합니다.

고객이 더 안심할 수 있도록 Azure Key Vault 프리미엄과 Azure Key Vault 관리되는 HSM에서는 BYOK(Bring Your Own Key)를 사용하고 온-프레미스 HSM에서 HSM 보호 키를 가져올 수 있습니다.

Azure 키 관리 제품 포트폴리오

Azure Key Vault 표준 Azure Key Vault 프리미엄 Azure Key Vault 관리형 HSM
테넌시 다중 테넌트 다중 테넌트 단일 테넌트
규정 준수 FIPS 140-2 수준 1 FIPS 140-2 수준 2 FIPS 140-2 수준 3
고가용성 자동 자동 자동
사용 사례 미사용 데이터 암호화 미사용 데이터 암호화 미사용 데이터 암호화
키 컨트롤 고객 고객 고객
신뢰 제어의 루트 Microsoft Microsoft 고객

Azure Key Vault 비밀을 안전하게 저장하고 액세스하는 데 사용할 수 있는 클라우드 서비스입니다. API 키, 암호, 인증서, 암호화 키 등 액세스를 안전하게 제어하고 싶은 모든 것은 비밀이 될 수 있습니다.

Key Vault는 다음 두 가지 유형의 컨테이너를 지원합니다.

  • 자격 증명 모음

    • 표준 계층: 자격 증명 모음이 비밀, 인증서 및 소프트웨어 지원 키를 저장합니다.
    • 프리미엄 계층: 자격 증명 모음이 비밀, 인증서, 소프트웨어 지원 키 및 HSM 지원 키를 저장합니다.

  • 관리되는 HSM(하드웨어 보안 모듈)

    • 관리되는 HSM은 HSM 지원 키만 지원합니다.

자세한 내용은 Azure Key Vault 개념Azure Key Vault REST API 개요를 참조하세요.

Azure Key Vault 관리형 HSM이란?

Azure Key Vault HSM은 FIPS 140-2 수준 3 유효성 검사를 마친 HSM을 사용하여 클라우드 애플리케이션용 암호화 키를 저장할 수 있는 고객 제어 보안 도메인이 있는 완전 관리형, 고가용, 단일 테넌트, 표준 규격 클라우드 서비스입니다.

Azure Key Vault 관리되는 HSM은 키를 어떻게 보호하나요?

Azure Key Vault 관리되는 HSM은 물리적, 기술적 및 관리 보안 컨트롤을 포함한 여러 계층을 사용하여 데이터를 보호하는 심층 방어 및 제로 트러스트 보안 태세를 사용합니다.

Azure Key Vault 및 Azure Key Vault 관리되는 HSM은 Microsoft 및 해당 에이전트가 암호화 키를 포함하여 서비스에 저장된 데이터에 액세스, 사용 또는 추출하지 못하도록 설계, 배포 및 운영됩니다.

HSM 디바이스에 안전하게 만들었거나 안전하게 가져온 고객 키는 고객이 달리 설정하지 않는 한 추출할 수 없으며 Microsoft 시스템, 직원 또는 에이전트에 일반 텍스트로 표시되지 않습니다.

고객이 권한을 부여하더라도 Key Vault 팀은 Microsoft 및 해당 에이전트에 이러한 액세스 권한을 부여하는 명시적 운영 절차가 없습니다.

Microsoft는 Azure Key Vault 또는 Azure Key Vault 관리되는 HSM과 같은 고객 제어 암호화 기능을 없애려고 시도하지 않을 것입니다. 없애라는 법적 요구를 받게 되면 고객 약정에 따라 합법적인 방식으로 이러한 요구에 이의를 제기할 것입니다.

다음으로, 이러한 보안 컨트롤을 구현하는 방법을 자세히 살펴보겠습니다.

Azure Key Vault 관리되는 HSM의 보안 컨트롤

Azure Key Vault 관리되는 HSM은 다음과 같은 유형의 보안 컨트롤을 사용합니다.

  • 물리적
  • 기술적
  • 관리

물리적 보안 컨트롤

관리되는 HSM의 핵심은 HSM(하드웨어 보안 모듈)입니다. FIPS 140-2 수준 3 표준 유효성 검사를 마친 HSM은 특수하게 제작되고 강화되었으며, 변조 방지 기능을 갖추고 있고 높은 엔트로피를 제공하는 전용 암호화 프로세서입니다. HSM의 모든 구성 요소는 강화된 에폭시 및 금속 케이스로 더 자세히 다루어 공격자로부터 키를 안전하게 보호합니다. HSM은 여러 데이터 센터, 지역 및 지리적 위치의 서버 랙에 설치됩니다. 지리적으로 분산된 데이터 센터는 보안 및 신뢰성을 위해 ISO/IEC 27001:2013NIST SP 800-53과 같은 주요 산업 표준을 준수합니다.

Microsoft는 고객 키 및 데이터가 저장되어 있는 영역에 대한 물리적 액세스를 엄격하게 제어하는 방식으로 데이터 센터를 디자인, 구축 및 운영합니다. 콘크리트와 강철로 만든 높은 울타리, 데드 볼트 강철 문, 열 경보 시스템, 폐쇄 회로 실시간 카메라 모니터링, 24x7 보안 인력, 층마다 승인이 필요한 액세스 방식, 엄격한 직원 교육, 생체 인식, 배경 검사, 액세스 요청 및 승인과 같은 추가적인 물리적 보안 계층이 필수입니다. HSM 디바이스와 관련 서버는 잠긴 케이지 안에 보관되고, 카메라가 서버의 전면과 후면을 촬영합니다.

기술적 보안 컨트롤

관리되는 HSM의 여러 기술 컨트롤 계층은 키 자료를 더 안전하게 보호합니다. 하지만 가장 중요한 것은, 기술 컨트롤은 Microsoft가 키 자료에 액세스하지 못하게 차단한다는 것입니다.

  • 기밀성: 관리되는 HSM 서비스는 Intel SGX(Intel Software Guard Extensions) 기반의 신뢰할 수 있는 실행 환경 내에서 실행됩니다. Intel SGX는 사용 중인 데이터를 보호하는 엔클레이브에서 하드웨어 격리를 사용하여 내부 및 외부 공격자로부터 향상된 보호를 제공합니다.

    Enclave는 하드웨어의 프로세서 및 메모리에 대한 보안 부분입니다. 디버거를 사용하는 경우에도 enclave 내부의 데이터 또는 코드를 볼 수 없습니다. 신뢰할 수 없는 코드가 엔클레이브 메모리의 콘텐츠를 변경하려고 시도하면 Intel SGX는 환경을 비활성화하고 작업을 거부합니다.

    이러한 고유 기능은 암호화 키 자료를 일반 텍스트로 볼 수 없도록 차단하는 데 도움이 됩니다. 또한 Azure 기밀 컴퓨팅은 중요한 데이터가 클라우드에서 처리되는 동안 격리할 수 있는 솔루션을 제공합니다.

  • 보안 도메인: 보안 도메인은 매우 중요한 암호화 정보를 포함하는 암호화된 BLOB입니다. 보안 도메인은 HSM 백업, 사용자 자격 증명, 서명 키, 관리되는 HSM의 고유한 데이터 암호화 키와 같은 아티팩트를 포함하고 있습니다.

    보안 도메인은 초기화 중에 관리되는 HSM 하드웨어와 서비스 소프트웨어 엔클레이브에 생성됩니다. 관리되는 HSM이 프로비전된 후에는 RSA 키 쌍을 3개 이상 만들어야 합니다. 보안 도메인 다운로드를 요청할 때 서비스에 공개 키를 보냅니다. 보안 도메인이 다운로드되면 관리되는 HSM이 활성화 상태로 전환되어 사용 준비가 완료됩니다. Microsoft 직원은 보안 도메인을 복구할 방법이 없으며 보안 도메인 없이 키에 액세스할 수 없습니다.

  • 액세스 제어 및 권한 부여: 관리되는 HSM 액세스는 두 인터페이스, 즉 관리 평면과 데이터 평면을 통해 제어됩니다.

    관리 평면에서는 HSM 자체를 관리합니다. 이 평면의 작업에는 관리되는 HSM 만들기와 삭제 및 관리되는 HSM의 속성 검색이 포함됩니다.

    데이터 평면에서는 관리되는 HSM에 저장된 데이터, 즉 HSM 지원 암호화 키를 다룹니다. 데이터 평면 인터페이스에서는 키를 추가, 삭제, 수정, 사용하여 암호화 작업을 수행하고, 역할 할당을 관리하여 키에 대한 액세스를 제어하고, 전체 HSM 백업을 만들고, 전체 백업을 복원하고, 보안 도메인을 관리할 수 있습니다.

    두 평면에서 관리되는 HSM에 액세스하려면 모든 호출자가 적절한 인증을 보유하고 권한이 부여되어 있어야 합니다. 인증은 호출자의 ID를 설정합니다. 권한 부여는 호출자가 실행할 수 있는 작업을 결정합니다. 호출자는 Microsoft Entra ID에 정의된 보안 주체(사용자, 그룹, 서비스 주체 또는 관리 ID) 중 하나입니다.

    두 평면 모두 인증을 위해 Microsoft Entra ID를 사용합니다. 권한 부여에는 다음과 같이 서로 다른 시스템을 사용합니다.

    • 관리 평면은 Azure Resource Manager를 기반으로 하는 권한 부여 시스템인 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용합니다.
    • 데이터 평면에서는 관리되는 HSM 수준에서 구현 및 적용되는 권한 부여 시스템인 관리되는 HSM 수준 RBAC(관리되는 HSM 로컬 RBAC)를 사용합니다. 로컬 RBAC 제어 모델을 통해 지정된 HSM 관리자는 관리 그룹, 구독 또는 리소스 그룹 관리자도 재정의할 수 없는 HSM 풀을 완벽하게 제어할 수 있습니다.
    • 전송 중 암호화: 관리되는 HSM을 오가는 모든 트래픽은 항상 TLS(전송 계층 보안 버전 1.3 및 1.2 지원됨)로 암호화되어 TLS 종료가 SGX 엔클레이브 내에서 수행되고 신뢰할 수 없는 호스트가 아닌 데이터 변조 및 도청으로부터 보호합니다.
    • 방화벽: 관리되는 HSM은 처음에 서비스에 연결할 수 있는 사용자를 제한하도록 구성할 수 있으며, 이로 인해 공격 표면이 더욱 축소됩니다. 공용 인터넷의 액세스를 거부하고 신뢰할 수 있는 Azure 서비스의 트래픽만 허용하도록 관리되는 HSM을 구성할 수 있습니다(예: Azure Storage).
    • 프라이빗 엔드포인트: 프라이빗 엔드포인트를 활성화하면 관리되는 HSM 서비스를 가상 네트워크로 가져와 해당 서비스를 가상 네트워크와 Azure 서비스 같은 신뢰할 수 있는 엔드포인트로만 격리할 수 있습니다. 관리되는 HSM을 오가는 모든 트래픽은 공용 인터넷을 통과하지 않고도 보안 Microsoft 백본 네트워크를 따라 이동합니다.
    • 모니터링 및 로깅: 가장 바깥쪽 보호 계층은 관리되는 HSM의 모니터링 및 로깅 기능입니다. Azure Monitor 서비스를 사용하면 분석 및 경고에 대한 로그를 확인하여 액세스 패턴이 예상과 일치하는지 확인할 수 있습니다. 이렇게 하면 보안 팀의 구성원이 관리되는 HSM 서비스 내에서 발생하는 작업을 파악할 수 있습니다. 무언가가 잘못된 것 같으면 언제든지 키를 롤하거나 권한을 취소할 수 있습니다.
    • BYOK(Bring Your Own Key): BYOK를 사용하면 Azure 고객이 지원되는 온-프레미스 HSM을 사용하여 키를 생성한 다음, 관리되는 HSM으로 가져올 수 있습니다. 일부 고객은 규정 및 규정 준수 요구 사항을 충족하기 위해 온-프레미스 HSM을 사용하여 키를 생성하는 것을 선호합니다. 그 후 BYOK를 사용하여 HSM 보호 키를 관리되는 HSM으로 안전하게 전송합니다. 전송할 키는 절대로 HSM 외부에서 일반 텍스트 형식으로 존재하지 않습니다. 가져오기 프로세스 중에 키 자료는 관리되는 HSM에 보관된 키를 사용하여 보호됩니다.
    • 외부 HSM: 일부 고객이 Azure 클라우드 외부에서 HSM을 사용하는 방법과 관련하여, 타사 클라우드 또는 온-프레미스에서 외부 HSM을 사용하여 데이터와 키를 분리하는 방법이 있느냐고 질문했습니다. Azure 외부에서 타사 HSM을 사용하면 고객의 키 제어권이 강화되는 것처럼 보이지만 성능 문제를 일으키는 대기 시간, 타사 HSM 문제로 인한 SLA 악화, 유지 관리 및 교육 비용과 같은 여러 가지 문제가 발생합니다. 또한 타사 HSM은 일시 삭제 및 제거 보호와 같은 주요 Azure 기능을 사용할 수 없습니다. Microsoft는 고객이 복잡한 보안 및 규정 준수 환경을 헤쳐 나갈 수 있도록 고객과 함께 이 기술 옵션을 지속적으로 평가할 것입니다.

관리 보안 컨트롤

Azure Key Vault 관리되는 HSM에는 다음과 같은 관리 보안 컨트롤이 있습니다.

  • 데이터 보호. Microsoft는 최선을 다해 정부의 요청에 이의를 제기하고 데이터를 보호합니다.
  • 계약상 의무. Microsoft 보안 센터에서 설명했듯이 보안 및 고객 데이터 보호와 관련된 계약상 의무가 있습니다.
  • 지역 간 복제. 관리형 HSM에서 다중 지역 복제를 사용하여 보조 지역에 HSM을 배포할 수 있을 것입니다.
  • 재해 복구. Azure는 간단하고 안전하며 확장 가능하고 비용 효율적인 엔드투엔드 백업 및 재해 복구 솔루션을 제공합니다.
  • MSRC(Microsoft 보안 대응 센터). 관리되는 HSM 서비스 관리는 MSRC와 긴밀하게 통합됩니다.
    • 전체 24/7 보안 응답을 사용하여 예기치 않은 관리 작업에 대한 보안 모니터링
  • 클라우드 복원력 및 안전한 공급망. 관리되는 HSM은 복원력 있는 클라우드 공급망을 통해 안정성을 향상합니다.
  • 규정 준수 기본 제공 이니셔티브 Azure Policy 규정 준수는 책임(고객 책임, Microsoft 책임, 공동 책임)에 따라 컨트롤 및 규정 준수 도메인 목록을 볼 수 있도록 기본 제공 이니셔티브 정의를 제공합니다. Microsoft에서 담당하는 시각적 개체를 위해 타사 증명을 기반으로 하는 감사 결과와 해당 규정 준수를 실현하는 구현 세부 정보를 추가로 제공합니다.
  • 감사 보고서. 정보 보안 및 규정 준수 전문가가 클라우드 기능을 이해하고 기술 규정 준수 및 제어 요구 사항을 확인하는 데 도움이 되는 리소스입니다.
  • 위반 가정 철학. Microsoft는 언제든지 모든 구성 요소가 손상될 수 있다고 가정하고, 적절하게 설계 및 테스트합니다. Microsoft에서는 정기적으로 레드 팀/블루 팀 연습(공격 시뮬레이션)을 수행합니다.

관리되는 HSM은 견고한 물리적, 기술적 및 관리 보안 컨트롤을 제공합니다. 관리되는 HSM을 사용하면 증가하는 규정 준수, 보안 및 개인 정보 보호 요구 사항을 충족하는 데 도움이 되는 확장 가능한 중앙 집중식 클라우드 키 관리 솔루션의 키 자료를 단독으로 제어할 수 있습니다. 가장 중요한 점으로, 관리되는 HSM은 규정 준수에 필요한 암호화 안전 조치를 제공합니다. 고객은 Microsoft EU 데이터 경계를 구현하는 Microsoft의 투명한 작업 방식을 통해 Microsoft가 고객 데이터 보호에 최선을 다하고 있다는 것을 믿을 수 있습니다.

자세한 내용은 Azure 계정 팀에 문의하여 Azure Key Management 제품 팀과 논의하세요.