HSM (Hardware Security Module)은 키관리시스템(KMS)가 아니다.
간혹 HSM과 KMS를 혼용해서 사용하기도 하는데 (특히 DB업체에서!), 엄연히 다른 용도의 제품이다.
HSM과 KMS에 대해서는 다시 다루기로 하고, 우선 Cloud HSM
가장 많이 알려진 Cloud HSM은 아래의 3개 정도로 볼 수 있다.
이름에서 쉽게 유추 할 수 있듯이 HSM 기능을 Cloud 로 옮겨놓고 HSM as a service 개념으로 가져가는 것..
Cloud에서 서비스를 받아야 하니 client 에 SDK가 있어야 하고..
- Amazon Cloud HSM
AWS CloudHSM은 AWS 클라우드에 하드웨어 보안 모듈을 제공합니다. 하드웨어 보안 모듈(HSM)은 암호화 작업을 처리하고 암호화 키에 보안 스토리지를 제공하는 컴퓨팅 장치입니다.
사용 예)
1) 웹 서버용 SSL/TLS 처리 오프로드
2) 발급 인증 기관(CA)의 프라이빗 키 보호
3) Oracle 데이터베이스에 대해 Transparent Data Encryption(TDE) 활성화
- Google Cloud HSM
클라우드에 호스팅되는 하드웨어 보안 모듈(HSM) 서비스로, 이 서비스를 사용하면 FIPS 140-2 Level 3 인증 HSM 클러스터에서 암호화 키를 호스팅하고 암호화 작업을 수행할 수 있습니다. Google이 HSM 클러스터를 관리하므로 개발자는 클러스터링, 확장 또는 패치 적용에 신경쓰지 않아도 됩니다. Cloud HSM은 프런트 엔드로 Cloud KMS를 사용하므로 Cloud KMS가 제공하는 모든 편의성 및 기능을 활용할 수 있습니다. - IBM Cloud HSM
Gemalto의 IBM Cloud HSM(Hardware Security Module) 7.0은 조작 방지, 조작 입증 디바이스 내부에서 암호화 키를 안전하게 관리, 처리 및 저장함으로써 보안을 매우 중요시하는 세계적인 조직의 암호화 인프라를 보호합니다. IBM Cloud HSM 7.0을 통해 클라우드 상의 워크로드 마이그레이션 및 실행과 연관된 복잡한 보안, 컴플라이언스 준수, 데이터 주권 및 제어 문제를 해결할 수 있습니다.
일단은 접근이 쉬운 AWS 의 Cloud HSM 활용을 살펴보자. Application 은 HSM Client 를 통해 Cloud HSM 에 접근하게 되는데, 이때 SSL connection을 사용한다.
HSM 제조사에서 Cloud HSM을 as a service 로 운형하기도 한다.
대표적인 것이, Luna HSM으로 유명한 Thales.
HSM on Demands 로 DPoD 이라는 서비스를 운영중이고, Cloud를 통해 HSM을 이용한 암복호화뿐 아니라 하이퍼레저와 같은 블록체인의 특정 서비스를 제공하기도 한다. (아래링크 참조)
https://cpl.thalesgroup.com/ko/encryption/data-protection-on-demand/services/luna-cloud-hsm-services
Luna Cloud HSM 서비스 | Thales
Thales Data Protection on Demand Services - Solution Brief Thales Data Protection on Demand (DPoD) is a cloud-based platform that provides a wide range of Cloud HSM and key management services through a simple online marketplace. With DPoD's extensive plat
cpl.thalesgroup.com
'Security' 카테고리의 다른 글
| HSM 과 KMS (0) | 2023.06.15 |
|---|---|
| ARM Trustzone - Secure state 변경 (2) | 2021.01.27 |
| FIPS 140-3 (0) | 2021.01.25 |