관리되는 HSM의 보안 도메인 개요

  • 아티클

관리되는 HSM은 단일 테넌트, FIPS(Federal Information Processing Standard) 140-2 유효성 검사, 고가용성 HSM(하드웨어 보안 모듈)이며 고객이 제어하는 보안 도메인이 있습니다.

관리되는 HSM이 작동하려면 보안 도메인이 있어야 합니다. 보안 도메인은 HSM 백업, 사용자 자격 증명, 서명 키 및 관리되는 HSM에 고유한 데이터 암호화 키와 같은 아티팩트가 포함된 암호화된 Blob 파일입니다.

관리형 HSM 보안 도메인은 다음과 같은 용도로 사용됩니다.

  • 각 관리되는 HSM을 단독 제어 하에 있는 신뢰할 수 있는 루트 키에 암호화 방식으로 연결하여 "소유권"을 설정합니다. 이렇게 하면 Microsoft가 관리되는 HSM의 암호화 키 자료에 액세스할 수 없습니다.

  • 관리되는 HSM 인스턴스의 키 구성 요소에 대한 암호화 경계를 설정합니다.

  • 재해가 발생한 경우 관리되는 HSM 인스턴스를 완전히 복구할 수 있습니다. 다음과 같은 재해 시나리오가 적용됩니다.

    • 관리되는 HSM 인스턴스의 모든 멤버 HSM 인스턴스가 파괴되는 치명적인 오류입니다.
    • 관리되는 HSM 인스턴스가 고객에 의해 일시 제거되었으며 필수 보존 기간이 만료된 후 리소스가 제거되었습니다.
    • 고객은 관리되는 HSM 인스턴스와 모든 데이터가 포함된 백업을 수행하여 프로젝트를 보관한 다음 프로젝트와 연결된 모든 Azure 리소스를 삭제했습니다.

보안 도메인이 없으면 재해 복구가 불가능합니다. 그리고 Microsoft는 보안 도메인을 복구할 방법이 없으며 보안 도메인 없이 키에 액세스할 수 없습니다. 따라서 보안 도메인을 보호하는 것은 비즈니스 연속성을 위해 가장 중요하며 암호학적으로 잠겨 있지 않은지 확인합니다.

보안 도메인 보호 모범 사례

다음 모범 사례를 구현하여 보안 도메인의 보호를 보장합니다.

암호화된 보안 도메인 다운로드

보안 도메인은 초기화 중에 관리되는 HSM 하드웨어와 서비스 소프트웨어 엔클레이브에 생성됩니다. 관리되는 HSM이 프로비전되면 보안 도메인 다운로드를 요청할 때 최소 3개의 RSA 키 쌍을 만들고 공개 키를 서비스에 보내야 합니다. 나중에 보안 도메인의 암호를 해독하는 데 필요한 최소 키 수(쿼럼)도 지정해야 합니다.

관리되는 HSM은 보안 도메인을 초기화하고, 사용자가 Shamir 비밀 공유 알고리즘을 사용하여 제공하는 공개 키로 암호화합니다. 보안 도메인이 다운로드되면 관리되는 HSM이 활성화된 상태로 전환되고 사용할 준비가 됩니다.

보안 도메인 키 저장

보안 도메인에 대한 키는 암호화된 USB 드라이브와 같은 오프라인 스토리지에 보관해야 하며 각 쿼럼 분할은 별도의 스토리지 디바이스에 있어야 합니다. 스토리지 디바이스는 별도의 지리적 위치와 실제 금고 또는 잠금 상자에 보관해야 합니다. 매우 중요하고 높은 보증 사용 사례의 경우 보안 도메인 프라이빗 키를 온-프레미스 오프라인 HSM에 저장하도록 선택할 수도 있습니다.

관리되는 HSM 쿼럼에 대한 보안 정책을 주기적으로 검토하는 것이 특히 중요합니다. 보안 정책은 정확해야 하고 보안 도메인과 프라이빗 키가 저장된 위치에 대한 최신 기록이 있어야 하며 보안 도메인을 누가 제어하는지 알아야 합니다.

보안 도메인 키 처리 금지 사항은 다음과 같습니다.

  • 한 사람이 모든 쿼럼 키를 실제로 액세스할 수 없어야 합니다. 즉, m은 1보다 커야 하며 이상적으로는 >= 3이어야 합니다.
  • 보안 도메인 키는 인터넷에 연결된 컴퓨터에 저장하면 안 됩니다. 인터넷에 연결된 컴퓨터는 바이러스 및 악의적인 해커와 같은 다양한 위협에 노출되어 있습니다. 보안 도메인 키를 오프라인으로 저장하여 위험을 크게 줄입니다.

보안 도메인 쿼럼 설정

보안 도메인을 보호하고 암호화 잠금을 방지하는 가장 좋은 방법은 쿼럼이라는 관리되는 HSM 개념을 사용하여 다중 사용자 제어를 구현하는 것입니다. 쿼럼은 보안 도메인을 암호화하는 키를 여러 사람에게 분배하는 분할 비밀 임계값입니다. 쿼럼은 다중 사용자 제어를 적용합니다. 이러한 방식으로 보안 도메인은 조직을 떠나거나 악의적인 의도를 가질 수 있는 한 사람에게 의존하지 않습니다.

m명의 정족수를 구현하는 것이 좋습니다. 여기서 m은 3보다 크거나 같습니다. 관리되는 HSM에 대한 보안 도메인의 최대 쿼럼 크기는 10입니다.

더 큰(m) 크기는 추가 보안을 제공하지만 보안 도메인 처리 측면에서 추가 관리 오버헤드를 부과합니다. 따라서 최소한 m>= 3인 보안 도메인 쿼럼을 신중하게 선택해야 합니다.

보안 도메인 쿼럼 크기도 주기적으로 검토하고 업데이트해야 합니다(예: 인사 변경의 경우). 보안 도메인 소유자의 기록을 유지하는 것이 특히 중요합니다. 레코드는 모든 핸드오프 또는 소유 변경 내용을 문서화해야 합니다. 정책은 쿼럼 및 설명서 요구 사항을 엄격하게 준수해야 합니다.

키는 관리되는 HSM의 가장 민감하고 중요한 정보에 대한 액세스를 허용하므로 보안 도메인 프라이빗 키는 조직에서 신뢰할 수 있는 기본 직원이 보유해야 합니다. 보안 도메인 소유자는 조직 내에서 별도의 역할과 지리적으로 분리되어 있어야 합니다.

예를 들어 보안 도메인 쿼럼은 4개의 키 쌍으로 구성될 수 있으며 각 프라이빗 키는 다른 사람에게 주어집니다. 보안 도메인을 재구성하려면 최소 두 사람이 함께 해야 합니다. 부품은 다음과 같은 주요 직원에게 제공될 수 있습니다.

  • 사업부 기술 책임자
  • 보안 설계자
  • 보안 엔지니어
  • 애플리케이션 개발자

모든 조직은 다르며 필요에 따라 다른 보안 정책을 적용합니다. 규정 준수와 쿼럼 및 해당 크기 결정을 위해 보안 정책을 주기적으로 검토하는 것이 좋습니다. 조직이 검토 시기를 선택할 수 있지만, 적어도 분기마다 한 번 이상, 그리고 다음과 같은 경우에도 보안 도메인 검토를 수행하는 것이 좋습니다.

  • 쿼럼의 멤버가 조직을 떠나는 경우
  • 새로운 위협이나 새로운 위협으로 인해 쿼럼 크기를 늘리기로 결정한 경우
  • 정족수를 구현하는 과정에서 프로세스에 변경 내용이 있는 경우
  • 보안 도메인 쿼럼의 멤버에 속하는 USB 드라이브 또는 HSM이 손실되거나 손상된 경우

보안 도메인 손상 또는 손실

보안 도메인이 손상된 경우 악의적인 작업자가 이를 사용하여 자체 관리되는 HSM 인스턴스를 만들 수 있습니다. 악의적인 작업자는 키 백업에 대한 액세스를 사용하여 관리되는 HSM의 키로 보호되는 데이터의 암호 해독을 시작할 수 있습니다.

손실된 보안 도메인은 손상된 것으로 간주됩니다.

보안 도메인 손상 후 현재 관리되는 HSM 인스턴스로 암호화된 모든 데이터는 현재 키 자료를 사용하여 해독해야 합니다. Azure Key Vault 관리되는 HSM의 새 인스턴스를 프로비전해야 하며 새 URL을 가리키는 새 보안 도메인을 구현해야 합니다.

관리되는 HSM 인스턴스에서 다른 보안 도메인이 있는 다른 인스턴스로 키 자료를 마이그레이션할 수 있는 방법이 없기 때문에 보안 도메인 구현은 신중하게 고려되어야 하고 정확하고 주기적으로 검토되는 기록 보관으로 보호되어야 합니다.

요약

보안 도메인 및 해당 프라이빗 키는 관리되는 HSM 작업에서 중요한 역할을 합니다. 이러한 아티팩트는 금고의 조합과 유사하며, 관리가 부실하면 강력한 알고리즘과 시스템이 쉽게 손상될 수 있습니다. 안전한 조합이 악의적 사용자에게 알려지면 가장 강력한 안전에 보안이 제공되지 않습니다. 보안 도메인 및 해당 프라이빗 키의 적절한 관리는 관리되는 HSM을 효과적으로 사용하는 데 필수적입니다.

조직의 보안 목표를 달성하고 향상시키는 데 필요한 정책, 시스템 및 표준을 개발 및 구현하기 전에 주요 관리 모범 사례에 대해 NIST 특별 간행물 800-57을 검토하는 것이 좋습니다.

다음 단계