Azure 결제 HSM이란?

  • 아티클

Azure Payment HSM은 Thales payShield 10K 결제 HSM(하드웨어 보안 모듈)(Azure 클라우드에서 중요한 실시간 결제 트랜잭션을 위한 암호화 키 작업을 제공하는 실제 디바이스)을 사용하여 제공되는 "BareMetal" 서비스입니다. Azure Payment HSM은 서비스 공급자와 개별 금융 기관이 결제 시스템의 디지털 변환 전략을 가속화하고 퍼블릭 클라우드를 채택할 수 있도록 특별히 설계되었습니다. PCI(Payment Card Industry)에서 가장 엄격한 보안, 감사 규정 준수, 낮은 대기 시간 및 고성능 요구 사항을 충족합니다.

결제 HSM은 프로비전되어 사용자의 가상 네트워크에 직접 연결되며 HSM은 사용자의 단독 관리 제어를 받습니다. HSM은 한 쌍의 디바이스로 손쉽게 프로비전하고 고가용성을 위해 구성할 수 있습니다. 서비스 사용자는 Azure 기반 구독의 일부로 HSM에 대한 보안 원격 액세스를 위해 Thales payShield Manager를 활용합니다. 최종 사용자 비즈니스 성장에 따라 신속하게 업그레이드할 수 있는 광범위한 성능 및 여러 애플리케이션 요구 사항을 충족하기 위해 여러 구독 옵션을 사용할 수 있습니다. Azure 결제 HSM 서비스는 최고 성능 수준인 2500 CPS를 제공합니다.

Azure Payment HSM 솔루션은 Thales의 하드웨어를 공급업체로 사용합니다. 고객은 Payment HSM에 대한 모든 권한과 단독 액세스가 있습니다.

Important

Azure Payment HSM은 고도로 전문화된 서비스입니다. Azure Payment HSM 가격 책정 페이지Azure Payment HSM 시작을 검토하는 것이 좋습니다.

Azure 지불결제용 HSM의 개략적 아키텍처

Payment HSM이 프로비전되면 HSM 디바이스는 Thales payShield Manager와 payShield TMD(신뢰할 수 있는 관리 디바이스)를 통해 전체 원격 HSM 관리 기능을 사용하여 고객의 가상 네트워크에 직접 연결됩니다.

HSM 프로비전 시 호스트 네트워크 인터페이스 2개와 관리 네트워크 인터페이스 1개가 만들어집니다.

프로비전된 Payment HSM와 네트워크 인터페이스를 표시하는 아키텍처 다이어그램.

Azure Payment HSM 프로비전 서비스를 통해 고객은 지불결제용 HSM에서 두 개의 호스트 네트워크 인터페이스와 하나의 관리 인터페이스에 대한 네이티브 액세스 권한을 갖습니다. 이 스크린샷은 리소스 그룹 내의 Azure Payment HSM 리소스를 표시합니다.

지불결제용 HSM의 소유자가 두 개의 호스트 네트워크 인터페이스와 하나의 관리 인터페이스에 액세스할 수 있음을 보여 주는 스크린샷.

Azure 결제 HSM을 사용하는 이유는 무엇인가요?

금융 기관이 레거시 온-프레미스 애플리케이션 및 HSM에서 일반적으로 직접 제어할 수 없는 클라우드 기반 인프라로 마이그레이션해야 하는 결제 애플리케이션의 일부 또는 전부를 클라우드로 이동함에 따라 모멘텀이 빌드되고 있습니다. 실제 장비 및 소프트웨어의 영구적인 소유권이 아닌 구독 서비스를 의미하는 경우가 많습니다. 효율성을 위한 기업 이니셔티브와 크기 조정된 실제 존재가 이러한 변화의 원동력입니다. 반대로 클라우드 네이티브 조직에서는 온-프레미스 없이 클라우드 우선을 채택하는 것이 근본적인 비즈니스 모델입니다. 이유가 무엇이든 클라우드 기반 결제 인프라의 최종 사용자는 IT 복잡성 감소, 간소화된 보안 규정 준수, 비즈니스 성장에 따라 솔루션을 원활하게 크기 조정할 수 있는 유연성이 필요합니다.

클라우드는 상당한 이점을 제공하지만 레거시 온-프레미스 결제 애플리케이션(결제 HSM 포함)을 클라우드로 마이그레이션할 때 다음과 같은 문제를 해결해야 합니다.

  • 공동 책임 및 신뢰 - 일부 영역에서 어떤 잠재적인 제어력 상실이 허용되나요?
  • 대기 시간 – 애플리케이션과 HSM 간의 효율적인 고성능 링크는 어떻게 달성할 수 있나요?
  • 원격으로 모두 수행 – 어떤 기존 프로세스와 절차를 조정해야 하나요?
  • 보안 인증 및 감사 규정 준수 – 현재의 엄격한 요구 사항을 어떻게 충족하나요?

Azure Payment HSM은 이러한 문제를 해결하고 다음 기능을 통해 서비스 사용자에게 매력적인 가치 제안을 제공합니다.

향상된 보안 및 규정 준수

서비스의 최종 사용자는 Microsoft Security 및 규정 준수 투자를 통해 보안 태세를 강화할 수 있습니다. Microsoft는 Azure 결제 HSM 솔루션이 있는 데이터 센터를 포함하여 PCI DSS 및 PCI 3DS 호환 Azure 데이터 센터를 유지 관리합니다. Azure Payment HSM 솔루션은 유효성 검사된 PCI P2PE/PCI PIN 구성 요소 또는 솔루션의 일부로 배포할 수 있으므로 지속적인 보안 감사 규정 준수를 간소화할 수 있습니다. 보안 인프라에 배치된 Thales payShield 10K HSM은 FIPS 140-2 수준 3 및 PCI HSM v3 인증을 받았습니다.

Azure의 고객 관리되는 HSM

Azure Payment HSM은 서비스 고객이 HSM에 대한 완전한 관리 제어 및 배타적 액세스 권한을 갖도록 단일 테넌트 HSM을 제공하는 구독 서비스의 일부입니다. 고객은 Azure Payment HSM 서비스에 직접 액세스하려는 여러 금융 기관 또는 금융 기관의 역할을 대신하는 결제 서비스 공급자일 수 있습니다. HSM이 고객에게 할당되면 Microsoft는 고객 데이터에 액세스할 수 없습니다. 마찬가지로 HSM이 더 이상 필요하지 않은 경우 HSM이 릴리스되는 즉시 고객 데이터가 0이 되고 지워져 완전한 개인 정보 보호 및 보안이 유지됩니다. 고객은 온-프레미스 HSM에서 사용할 수 있는 것과 동일한 성능을 달성하기 위해 백업, 재해 복구 및 복원력에 대한 요구 사항을 충족하기에 충분한 HSM 구독이 활성 상태인지 확인할 책임이 있습니다.

클라우드에서 디지털 변환 및 혁신 가속화

클라우드 옵션을 추가하려는 기존 Thales payShield 고객을 위해 Azure Payment HSM 솔루션은 온-프레미스 payShield HSM을 통해 익숙한 짧은 대기 시간을 계속 경험하면서 "리프트 앤 시프트"를 위해 Azure의 결제 HSM에 대한 네이티브 액세스를 제공합니다. 이 솔루션은 중요 업무용 결제 애플리케이션을 위한 고성능 트랜잭션도 제공합니다.

고객은 클라우드에서 기술 변환을 사용하여 디지털 변환 전략을 계속할 수 있습니다. 기존 Thales payShield 고객은 기존 원격 관리 솔루션(관련 스마트 카드 판독기 및 스마트 카드를 사용하는 payShield Manager 및 payShield TMD가 적절함)을 활용하여 Azure Payment HSM 서비스를 사용할 수 있습니다. payShield를 처음 사용하는 고객은 구독 서비스의 일부로 HSM을 배포하기 전에 Thales 또는 파트너 중 한 곳에서 하드웨어 액세서리를 소싱할 수 있습니다.

일반적인 사용 사례

짧은 대기 시간과 필요에 따라 더 많은 HSM 용량을 신속하게 추가할 수 있는 기능 등의 이점을 갖춘 클라우드 서비스는 다음과 같은 광범위한 사용 사례에 적합합니다.

  • 결제 처리
  • 카드 및 모바일 결제 권한 부여
  • PIN 및 EMV 암호 유효성 검사
  • 3D 보안 인증

결제 자격 증명 발급:

  • 카드
  • 모바일 보안 요소
  • 착용식 컴퓨터
  • 연결된 디바이스
  • HCE(호스트 카드 에뮬레이션) 애플리케이션

보안 키 및 인증 데이터:

  • POS, mPOS 및 SPOC 키 관리
  • 원격 키 로딩(ATM 및 POS/mPOS 디바이스용)
  • PIN 생성 및 인쇄
  • PIN 라우팅

중요한 데이터 보호

  • 지점 간 암호화(P2PE)
  • 보안 토큰화(PCI DSS 준수용)
  • EMV 결제 토큰화

기존 및 신규 결제 HSM 사용자 모두에게 적합

이 솔루션은 레거시 온-프레미스 HSM 공간이 있는 Payment HSM 사용자와 지원할 레거시 인프라가 없고 처음부터 클라우드 네이티브 방식을 선택할 수 있는 새로운 결제 에코시스템 진입자 모두에게 분명한 이점을 제공합니다.

기존 온-프레미스 HSM 사용자를 위한 이점:

  • 기존 애플리케이션을 Azure 솔루션으로 마이그레이션하기 위해 결제 애플리케이션 또는 HSM 소프트웨어를 수정할 필요가 없습니다.
  • HSM 활용의 유연성과 효율성 향상
  • 지리적으로 분산된 여러 팀 간의 HSM 공유 간소화
  • 레거시 데이터 센터의 실제 HSM 설치 공간 감소
  • 신규 프로젝트의 현금 흐름 개선

신규 결제 참가자를 위한 혜택:

  • 온-프레미스 HSM 인프라 도입 방지
  • Azure 구독 모델을 통해 초기 투자 비용 절감
  • 주문형 최신 인증 하드웨어 및 소프트웨어에 대한 액세스 제공

용어

용어 정의
3DS 3D 보안
ATM 현금 자동 인출기
EMV Euro Mastercard Visa
FIPS Federal Information Processing Standard
HCE 호스트 카드 에뮬레이션
HSM 하드웨어 보안 모듈
mPOS 모바일 POS(Point of Sale)
P2PE 지점 간 암호화
PCI PCI
PIN 개인 식별 번호
POS POS(Point of Sale)
SPOC COTS(Commercial Off the Shelf) 솔루션의 소프트웨어 기반 PIN 입력
TMD payShield 신뢰할 수 있는 관리 디바이스

다음 단계