올바른 키 관리 솔루션을 선택하는 방법
Azure는 클라우드에서 암호화 키 저장 및 관리를 위한 여러 솔루션인 Azure Key Vault(표준 및 프리미엄 제품), Azure Managed HSM, Azure Dedicated HSM 및 Azure Payment HSM을 제공합니다. 고객이 어떤 키 관리 솔루션이 올바른지 결정하는 것은 부담스러운 결정일 수 있습니다. 이 문서는 시나리오, 요구 사항 및 산업의 세 가지 고려 사항에 따라 다양한 솔루션을 제시하여 고객이 이 의사 결정 프로세스를 탐색할 수 있도록 돕는 것을 목표로 합니다.
키 관리 솔루션의 범위를 좁히려면 일반적인 상위 수준 요구 사항 및 키 관리 시나리오를 기반으로 한 순서도를 따릅니다. 또는 바로 다음에 나오는 특정 고객 요구 사항을 기반으로 하는 표를 사용합니다. 여러 제품을 솔루션으로 제공하는 경우 순서도와 표의 조합을 사용하여 최종 결정을 내릴 수 있습니다. 동일한 업계의 다른 고객이 무엇을 사용하고 있는지 궁금한 경우 업계 세그먼트별 공통 키 관리 솔루션 표를 읽어 보세요. 특정 솔루션에 대해 자세히 알아보려면 문서 끝에 있는 링크를 사용합니다.
시나리오별 키 관리 솔루션 선택
다음 차트에서는 일반적인 요구 사항 및 사용 사례 시나리오와 권장되는 Azure 키 관리 솔루션에 대해 설명합니다.
차트는 다음과 같은 일반적인 요구 사항을 참조합니다.
- FIPS-140은 다양한 수준의 보안 요구 사항이 있는 미국 정부 표준입니다. 자세한 내용은 FIPS(Federal Information Processing Standard) 140을 참조하세요.
- 키 주권은 고객의 조직이 키와 키 관리 정책에 액세스할 수 있는 사용자와 서비스에 대한 제어를 포함하여 키에 대한 완전하고 배타적인 제어권을 갖는 경우입니다.
- 단일 테넌시는 여러 고객 간의 공유 인스턴스가 아니라 각 고객을 위해 배포된 애플리케이션의 단일 전용 인스턴스를 나타냅니다. 단일 테넌트 제품에 대한 필요성은 금융 서비스 산업의 내부 규정 준수 요구 사항으로 자주 발견됩니다.
또한 다음과 같은 다양한 키 관리 사용 사례도 참조합니다.
- 미사용 암호화는 일반적으로 Azure IaaS, PaaS 및 SaaS 모델에 대해 사용하도록 설정됩니다. Microsoft 365와 같은 애플리케이션, Microsoft Purview Information Protection, 스토리지, 분석, 서비스 버스 기능에 클라우드를 사용하는 플랫폼 서비스, 운영 체제와 애플리케이션이 클라우드에서 호스팅 및 배포되는 인프라 서비스는 미사용 암호화를 사용합니다. 미사용 암호화를 위한 고객 관리형 키는 Azure Storage 및 Microsoft Entra ID와 함께 사용됩니다. 가장 높은 수준의 보안을 위해 키는 HSM 지원, 3k 또는 4k RSA 키여야 합니다. 미사용 암호화에 대한 자세한 내용은 Azure 미사용 데이터 암호화를 참조하세요.
- SSL/TLS 오프로드는 Azure Managed HSM 및 Azure Dedicated HSM에서 지원됩니다. 고객은 F5 및 Nginx용 Azure Managed HSM에서 고가용성, 보안 및 최상의 가격대를 개선했습니다.
- 리프트 앤 시프트는 PKCS11 애플리케이션 온-프레미스가 Azure Virtual Machines로 마이그레이션되고 Azure Virtual Machines의 Oracle TDE와 같은 소프트웨어를 실행하는 시나리오를 나타냅니다. 결제 PIN 처리가 필요한 리프트 앤 시프트는 Azure Payment HSM에서 지원됩니다. 다른 모든 시나리오는 Azure Dedicated HSM에서 지원됩니다. 레거시 API 및 라이브러리(예: PKCS11, JCA/JCE 및 CNG/KSP)는 Azure Dedicated HSM에서만 지원됩니다.
- 결제 PIN 처리에는 카드 및 모바일 결제 권한 부여 및 3D 보안 인증 허용, PIN 생성, 관리 및 유효성 검사, 카드, 웨어러블 및 연결된 디바이스에 대한 결제 자격 증명 발급, 키 및 인증 데이터 보안, 지점 간 암호화, 보안 토큰화, EMV 결제 토큰화를 위한 민감한 데이터 보호가 포함됩니다. 여기에는 PCI DSS, PCI 3DS 및 PCI PIN과 같은 인증도 포함되며 Azure Payment HSM에서 지원됩니다.
순서도 결과는 요구 사항에 가장 적합한 솔루션을 식별하기 위한 시작점입니다.
다른 고객 요구 사항 비교
Azure는 고객이 높은 수준의 요구 사항과 관리 책임에 따라 제품을 선택할 수 있도록 여러 키 관리 솔루션을 제공합니다. 고객 책임이 적은 Azure Key Vault 및 Azure Managed HSM부터 고객 책임이 가장 많은 Azure Dedicated HSM 및 Azure Payment HSM까지 다양한 관리 책임이 있습니다.
고객과 Microsoft 간의 관리 책임과 기타 요구 사항 간의 장단점은 아래 표에 자세히 설명되어 있습니다.
프로비전 및 호스팅은 모든 솔루션에서 Microsoft에 의해 관리됩니다. 키 생성 및 관리, 역할 및 권한 부여, 모니터링 및 감사는 모든 솔루션에서 고객의 책임입니다.
표를 사용하여 모든 솔루션을 나란히 비교합니다. 관리 오버헤드와 비용을 포함하여 모든 요구 사항을 충족하는 솔루션을 선택하는 데 도움이 되도록 맨 왼쪽 열에 있는 각 질문에 답하면서 위에서부터 아래로 진행합니다.
| AKV 표준 | AKV 프리미엄 | Azure 관리형 HSM | Azure Dedicated HSM | Azure 결제 HSM | |
|---|---|---|---|---|---|
| 어떤 수준의 규정 준수가 필요한가요? | FIPS 140-2 수준 1 | FIPS 140-2 level 3, PCI DSS, PCI 3DS** | FIPS 140-2 level 3, PCI DSS, PCI 3DS | FIPS 140-2 level 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 level 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| 키 주권이 필요한가요? | 아니요 | 없음 | 네 | 네 | 예 |
| 어떤 종류의 테넌시를 찾고 있나요? | 다중 테넌트 | 다중 테넌트 | 단일 테넌트 | 단일 테넌트 | 단일 테넌트 |
| 사용 사례는 무엇인가요? | 미사용 암호화, CMK, 사용자 지정 | 미사용 암호화, CMK, 사용자 지정 | 미사용 암호화, TLS 오프로드, CMK, 사용자 지정 | PKCS11, TLS 오프로드, 코드/문서 서명, 사용자 지정 | 결제 PIN 처리, 사용자 지정 |
| HSM 하드웨어 보호를 원하시나요? | 예 | 네 | 네 | 네 | 예 |
| 예산은 얼마나 되나요? | $ | $$ | $$$ | $$$$ | $$$$ |
| 패치 및 유지 관리에 대한 책임은 누구에게 있나요? | Microsoft | Microsoft | Microsoft | 고객 | 고객 |
| 서비스 상태 및 하드웨어 장애 조치(failover)에 대한 책임은 누구에게 있나요? | Microsoft | Microsoft | 공유됨 | 고객 | 고객 |
| 어떤 종류의 개체를 사용하고 있나요? | 비대칭 키, 비밀, 인증서 | 비대칭 키, 비밀, 인증서 | 비대칭/대칭 키 | 비대칭/대칭 키, 인증서 | 로컬 기본 키 |
| 신뢰 제어의 루트 | Microsoft | Microsoft | 고객 | 고객 | 고객 |
업계 세그먼트별 공통 키 관리 솔루션 사용
다음은 업계에 따라 일반적으로 활용되는 키 관리 솔루션의 목록입니다.
| 산업 | 추천 Azure 솔루션 | 추천 서비스에 대한 고려 사항 |
|---|---|---|
| 엄격한 보안 및 규정 준수 요구 사항을 갖춘 기업 또는 조직입니다(예: 은행, 정부, 규제가 엄격한 산업). 고객의 신용 카드를 외부 결제 프로세서/게이트웨이에 저장, 처리 및 전송해야 하며 PCI 준수 솔루션을 찾고 있는 소비자 직접 판매 전자상거래 판매자입니다. |
Azure Managed HSM | Azure Managed HSM은 FIPS 140-2 Level 3 규정 준수를 제공하며 전자상거래를 위한 PCI 준수 솔루션입니다. PCI DSS 4.0에 대한 암호화를 지원합니다. HSM 지원 키를 제공하고 고객에게 키 주권 및 단일 테넌시를 제공합니다. |
| PCI 및 여러 주요 규정 준수 프레임워크를 충족할 수 있는 단일 테넌트 서비스를 찾고 있는 금융 서비스용 서비스 공급자, 발급자, 카드 취득자, 카드 네트워크, 결제 게이트웨이/PSP 또는 3DS 솔루션 공급자입니다. | Azure Payment HSM | Azure Payment HSM은 FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS 및 PCI PIN 규정 준수를 제공합니다. 결제 처리와 관련하여 키 주권 및 단일 테넌트, 일반적인 내부 규정 준수 요구 사항을 제공합니다. Azure Payment HSM은 전체 결제 트랜잭션 및 PIN 처리 지원을 제공합니다. |
| 클라우드 네이티브 애플리케이션의 프로토타입을 찾고 있는 초기 단계의 스타트업 고객입니다. | Azure Key Vault 표준 | Azure Key Vault 표준은 경제적인 가격으로 소프트웨어 지원 키를 제공합니다. |
| 클라우드 네이티브 애플리케이션을 생성하고자 하는 스타트업 고객입니다. | Azure Key Vault 프리미엄, Azure Managed HSM | Azure Key Vault 프리미엄 및 Azure Managed HSM은 모두 HSM 지원 키*를 제공하며 클라우드 네이티브 애플리케이션을 빌드하는 데 가장 적합한 솔루션입니다. |
| Azure VM/HSM을 사용하도록 애플리케이션을 이동하려는 IaaS 고객입니다. | Azure 전용 HSM | Azure Dedicated HSM은 SQL IaaS 고객을 지원합니다. PKCS11 및 사용자 지정 비클라우드 네이티브 애플리케이션을 지원하는 유일한 솔루션입니다. |
Azure 키 관리 솔루션에 대해 자세히 알아보기
Azure Key Vault(표준 계층): 비대칭 및 대칭 키, 비밀 및 인증서를 모두 저장하는 데 사용할 수 있는 FIPS 140-2 Level 1 유효성 검사를 받은 다중 테넌트 클라우드 키 관리 서비스입니다. Azure Key Vault에 저장된 키는 소프트웨어로 보호되며 저장 데이터 암호화 및 사용자 지정 애플리케이션에 사용할 수 있습니다. Azure Key Vault 표준은 최신 API와 다양한 지역 배포 및 Azure 서비스와의 통합을 제공합니다. 자세한 내용은 Azure Key Vault 정보를 참조하세요.
Azure Key Vault(프리미엄 계층): 비대칭 및 대칭 키, 비밀 및 인증서를 모두 저장하는 데 사용할 수 있는 FIPS 140-2 Level 3** 유효성 검사를 받은 다중 테넌트 HSM입니다. 키는 보안 하드웨어 경계*에 저장됩니다. Microsoft는 기본 HSM을 관리 및 운영하며 Azure Key Vault Premium에 저장된 키는 미사용 암호화 및 사용자 지정 애플리케이션에 사용할 수 있습니다. Azure Key Vault 프리미엄 역시 최신 API와 다양한 지역 배포 및 Azure 서비스와의 통합을 제공합니다. 키 주권, 단일 테넌시 및/또는 더 높은 초당 암호화 작업을 원하는 AKV 프리미엄 고객이라면 대신 Managed HSM을 고려해 볼 수 있습니다. 자세한 내용은 Azure Key Vault 정보를 참조하세요.
Azure Managed HSM: FIPS 140-2 Level 3 유효성 검사를 받은 PCI 규격의 단일 테넌트 HSM 제품으로 고객에게 미사용 암호화, Keyless SSL/TLS 오프로드 및 사용자 지정 애플리케이션을 위한 HSM에 대한 완전한 제어권을 제공합니다. Azure Managed HSM은 기밀 키를 제공하는 유일한 키 관리 솔루션입니다. 고객은 Key Vault API를 통해 암호화 기능을 노출하는 서비스를 거쳐 하나의 논리적 고가용성 HSM 어플라이언스 역할을 하는 3개의 HSM 파티션 풀을 받습니다. Microsoft는 HSM의 프로비전, 패치 적용, 유지 관리 및 하드웨어 장애 조치(failover)를 처리하지만 서비스가 Azure의 Confidential Compute Infrastructure/기밀 컴퓨팅 인프라 내에서 실행되기 때문에 키 자체에 액세스할 수 없습니다. Managed HSM은 Azure SQL, Azure Storage 및 Azure Information Protection PaaS 서비스와 통합되며 F5 및 Nginx를 사용하는 Keyless TLS에 대한 지원을 제공합니다. 자세한 내용은 Azure Key Vault 관리 HSM이란?을 참조하세요.
Azure Dedicated HSM: FIPS 140-2 Level 3 유효성 검사를 받은 단일 테넌트의 운영 체제 미설치 HSM 제품으로, 고객이 Microsoft 데이터 센터에 상주하는 범용 HSM 어플라이언스를 임대할 수 있습니다. 고객은 HSM 디바이스에 대한 완전한 소유권을 가지며 필요할 때 펌웨어를 패치하고 업데이트할 책임이 있습니다. Microsoft는 디바이스 또는 키 자료에 대한 액세스 권한이 없으며 Azure Dedicated HSM은 Azure PaaS 제품과 통합되지 않습니다. 고객은 PKCS#11, JCE/JCA 및 KSP/CNG API를 사용하여 HSM과 상호 작용할 수 있습니다. 이 제품은 레거시 리프트 앤 시프트 워크로드, PKI, SSL 오프로딩 및 Keyless TLS(F5, Nginx, Apache, Palo Alto, IBM GW 등의 통합이 지원됨), OpenSSL 애플리케이션, Oracle TDE 및 Azure SQL TDE IaaS에 가장 유용합니다. 자세한 내용은 Azure Dedicated HSM이란?을 참조하세요.
Azure Payments HSM: FIPS 140-2 Level 3, PCI HSM v3, 유효성 검사를 받은 단일 테넌트 운영 체제 미설치 HSM 제품으로 고객이 결제 PIN 처리, 결제 자격 증명 발급, 키 및 인증 데이터 보안, 민감한 데이터 보호 등의 결제 작업을 위해 Microsoft 데이터 센터의 결제 HSM 어플라이언스를 임대할 수 있습니다. 이 서비스는PCI DSS, PCI 3DS 및 PCI PIN 규격입니다. Azure Payment HSM은 고객이 HSM에 대한 완전한 관리 제어 및 독점 액세스 권한을 가질 수 있도록 단일 테넌트 HSM을 제공합니다. HSM이 고객에게 할당되면 Microsoft는 고객 데이터에 액세스할 수 없습니다. 마찬가지로 HSM이 더 이상 필요하지 않은 경우 HSM이 릴리스되는 즉시 고객 데이터가 0이 되고 지워져 완전한 개인 정보 보호 및 보안이 유지됩니다. 자세한 내용은 Azure Payment HSM 정보를 참조하세요.
참고 항목
* Azure Key Vault 프리미엄을 사용하면 소프트웨어 보호 키와 HSM 보호 키를 모두 만들 수 있습니다. Azure Key Vault 프리미엄을 사용하는 경우 생성된 키가 HSM으로 보호되는지 확인하십시오.
** FIPS 140-2 Level 2, PCI DSS인 영국 지역은 제외됩니다.