일반
Q: AWS CloudHSM이란 무엇입니까?
AWS CloudHSM 서비스는 AWS 클라우드 내에서 전용 HSM(Hardware Security Module) 인스턴스를 사용함으로써 데이터 보안에 대한 기업, 계약 및 규제 준수 요구 사항을 충족하는 데 도움이 됩니다. AWS와 AWS Marketplace 파트너는 AWS 플랫폼의 중요한 데이터를 보호하기 위한 다양한 솔루션을 제공하지만, 암호화 키 관리에 대한 계약 또는 규제 요건이 적용되는 일부 애플리케이션과 데이터의 경우 추가 보호가 필요할 수 있습니다. AWS CloudHSM은 기존의 데이터 보호 솔루션을 보완합니다. 이를 통해 사용자는 안전한 키 관리를 위한 정부 표준에 따라 설계되고 검증된 HSM 내에서 암호화 키를 보호할 수 있습니다. AWS CloudHSM을 사용하면 데이터 암호화에 사용되는 암호화 키를 사용자만 액세스할 수 있는 방법으로 안전하게 생성, 보관 및 관리할 수 있습니다.
Q: 하드웨어 보안 모듈(HSM)이란 무엇인가요?
하드웨어 보안 모듈(HSM)은 변조 방지 하드웨어 디바이스 내에서 키를 안전하게 저장하고 암호화할 수 있도록 합니다. HSM은 암호화 키 자료를 안전하게 저장하고 해당 키 구성 요소를 하드웨어의 암호화 경계 외부에 노출하지 않고 사용하도록 설계되었습니다.
Q: AWS CloudHSM으로 할 수 있는 작업은 무엇인가요?
AWS CloudHSM을 사용하여 데이터베이스 암호화, 디지털 저작권 관리(DRM), 퍼블릭 키 인프라(PKI), 인증 및 권한 부여, 문서 서명, 트랜잭션 처리 등과 같은 다양한 사용 사례와 애플리케이션을 지원할 수 있습니다. 자세한 내용은 AWS CloudHSM 사용 사례를 참조하세요.
Q: CloudHSM은 어떻게 작동하나요?
AWS CloudHSM 서비스를 사용하려면 먼저 CloudHSM 클러스터를 생성합니다. 리전 내 여러 가용 영역에 걸쳐 있는 다수의 HSM을 클러스터에 포함할 수 있습니다. 클러스터의 HSM은 자동으로 동기화되고 로드 밸런싱됩니다. 전용의 단일 테넌트를 통해 클러스터의 각 HSM에는 액세스할 수 있고, 각 HSM은 Amazon Virtual Private Cloud(VPC)에서 네트워크 리소스로 표시됩니다. AWS CloudHSM API를 한 번만 직접 호출하거나 명령줄에서 AWS CLI를 사용하여 클러스터에 HSM을 추가하고 제거할 수 있습니다. CloudHSM 클러스터를 생성 및 시작한 후 EC2 인스턴스에서 클라이언트를 구성할 수 있습니다. 그러면 애플리케이션에서 인증된 보안 네트워크 연결을 통해 클러스터를 사용할 수 있습니다. AWS CloudHSM은 HSM의 상태를 자동으로 모니터링하지만 AWS 직원은 고객의 키 또는 데이터에 액세스할 수 없습니다. 애플리케이션은 애플리케이션 인스턴스에 설치된 HSM 클라이언트 소프트웨어와 함께 표준 암호화 API를 사용하여 암호화 요청을 HSM으로 전송합니다. 클라이언트 소프트웨어는 클러스터의 모든 HSM에 대한 보안 채널을 유지 관리하며, 이 채널을 통해 요청을 전송합니다. HSM은 보안 채널을 통해 작업을 수행하고 결과를 반환합니다. 그런 다음 클라이언트에서 암호화 API를 통해 결과를 애플리케이션으로 반환합니다.
Q: 현재 VPC가 없습니다. 그래도 AWS CloudHSM을 사용할 수 있나요?
아니요. 사용자의 클러스터를 다른 Amazon 고객으로부터 보호하고 격리할 수 있으려면 Amazon VPC 내에 AWS CloudHSM이 프로비저닝되어 있어야 합니다. VPC는 간단하게 생성할 수 있습니다. 자세한 정보는 VPC 시작 안내서를 참조하십시오.
Q: 내 애플리케이션은 CloudHSM 클러스터와 동일한 VPC에 상주해야 합니까?
아니요. 그러나 애플리케이션 및 HSM 클라이언트가 실행되고 있는 서버 또는 인스턴스는 클러스터의 모든 HSM에 네트워크(IP)로 연결되어 있어야 합니다. 동일한 VPC에서 애플리케이션을 운영하거나, VPC 피어링을 사용하거나, VPN 연결을 사용하거나, Direct Connect를 사용하는 등 여러 가지 방법으로 애플리케이션에서 HSM으로의 네트워크 연결을 구축할 수 있습니다. 자세한 내용은 VPC 피어링 설명서 및 VPC 사용 설명서를 참조하세요.
Q: AWS CloudHSM은 온프레미스 HSM과 연동되나요?
예. AWS CloudHSM은 온프레미스 HSM과 직접적으로 상호 운영되지 않지만, 몇 가지 지원되는 RSA 키 래핑 방법 중 하나를 사용하여 AWS CloudHSM과 대부분의 상용 HSM 간에 내보내기 가능한 키를 안전하게 전송할 수 있습니다.
Q: 내 애플리케이션에서 AWS CloudHSM을 사용하려면 어떻게 해야 하나요?
AWS에서는 SSL 오프로드를 위해 Oracle Database 19c, 웹 서버(Apache, Nginx)와 같은 여러 서드 파티 소프트웨어 솔루션과 AWS CloudHSM을 통합하고 테스트했으며, Windows Server를 CA로 구성했습니다. 자세한 내용은 AWS CloudHSM 사용 설명서를 참조하세요.
자체 사용자 지정 애플리케이션을 개발하는 경우 애플리케이션은 PKCS #11, Java JCE(Java Cryptography Extensions), OpenSSL Dynamic Engine 또는 Microsoft KSP/CNG를 포함하여 AWS CloudHSM에서 지원하는 표준 API를 사용할 수 있습니다. 코드 샘플과 시작 도움말이 필요하면 AWS CloudHSM 사용 설명서를 참조하세요. Q: AWS CloudHSM을 사용하여 다른 AWS 서비스에 사용되는 키를 저장하거나 데이터를 암호화할 수 있나요?
예. AWS CloudHSM이 통합된 애플리케이션에서는 모든 암호화를 수행할 수 있습니다. 이 경우 Amazon S3 및 Amazon Elastic Block Store(EBS)와 같은 AWS 서비스는 암호화된 데이터만 보게 됩니다.
Q: 다른 AWS 서비스에서 AWS CloudHSM을 사용하여 키를 저장하고 관리할 수 있나요?
AWS 서비스는 AWS Key Management Service와 통합되며, 이는 다시 KMS 사용자 지정 키 스토어 기능을 통해 AWS CloudHSM과 통합됩니다. 여러 AWS 서비스(예: EBS, S3 또는 Amazon RDS)에서 제공하는 서버 측 암호화를 사용하려는 경우 AWS KMS의 사용자 지정 키 스토어를 구성해야 암호화를 사용할 수 있습니다.
Q: AWS CloudHSM을 개인 식별 번호(PIN) 블록 변환 또는 직불 거래에 사용되는 기타 암호화 작업을 수행하는 데 사용할 수 있나요?
현재 AWS CloudHSM에서는 범용 HSM을 제공합니다. AWS Payment Cryptography를 사용하면 클라우드 호스팅 결제 애플리케이션에서 암호화 작업을 수행할 수 있습니다. 추후에는 결제 기능이 제공될 수도 있습니다. 이 기능에 관심이 있는 경우 AWS에 문의해 주세요.
Q: AWS CloudHSM을 시작하려면 어떻게 해야 하나요?
AWS CloudHSM 콘솔에서 또는 AWS SDK나 API를 통한 API 직접 호출 몇 번으로 CloudHSM 클러스터를 프로비저닝할 수 있습니다. 시작하는 방법에 대해 자세히 알아보려면 AWS CloudHSM 사용 설명서를 참조하세요. AWS CloudHSM API에 대한 자세한 내용은 AWS CloudHSM 설명서 페이지를 참조하세요.
Q: AWS CloudHSM 서비스를 종료하려면 어떻게 해야 하나요?
AWS CloudHSM 콘솔, API 또는 SDK를 사용하여 HSM을 삭제하고 서비스 사용을 중단할 수 있습니다. 자세한 지침은 AWS CloudHSM 사용 설명서를 참조하세요.
결제
Q: AWS CloudHSM 서비스의 사용료는 어떻게 부과되고 청구되나요?
AWS CloudHSM 클러스터에 HSM이 프로비저닝된 각 시간(또는 부분 시간)에 대해 시간당 비용이 부과됩니다. HSM이 없는 클러스터에는 요금이 청구되지 않으며, 암호화된 백업의 자동 저장에도 요금이 청구되지 않습니다. 자세한 내용은 AWS CloudHSM 요금 페이지를 참조하세요. HSM에서 발생하는 네트워크 데이터 전송에는 요금이 별도로 부과됩니다. 자세한 내용은 EC2의 데이터 전송 요금을 참조하십시오.
Q: CloudHSM 서비스에 대한 프리 티어가 있나요?
아니요. AWS CloudHSM는 프리 티어로 제공되지 않습니다.
Q: HSM에 생성하는 사용자 또는 키 수에 따라 요금이 달라지나요?
아니요. 리전별로 다른 시간당 요금은 HSM 사용량에 따라 달라지지 않습니다.
Q: AWS CloudHSM에서 예약형 인스턴스 요금을 이용할 수 있나요?
아니요. AWS CloudHSM은 예약형 인스턴스 요금을 제공하지 않습니다.
프로비저닝 및 운영
Q: AWS CloudHSM 사용을 위한 사전 조건이 있나요?
예. AWS CloudHSM을 사용하려면 AWS CloudHSM 서비스를 사용하려는 리전 내에 Virtual Private Cloud(VPC)가 있어야 하는 등의 몇 가지 사전 조건이 필요합니다. 자세한 내용은 AWS CloudHSM 사용 설명서를 참조하세요.
Q: 내 HSM의 펌웨어를 관리해야 하나요?
AWS에서 하드웨어의 펌웨어를 관리합니다. 펌웨어는 타사에서 유지 관리하며, 모든 펌웨어는 FIPS 140-2 레벨 3 규정을 준수하는지 NIST의 검증을 받아야 합니다. FIPS 키에 의해 암호화 방식으로 서명된 펌웨어만 설치할 수 있으며, AWS는 이 키에 대한 액세스 권한이 없습니다.
Q: CloudHSM 클러스터에 HSM을 몇 개까지 추가할 수 있습니까?
AWS에서는 프로덕션 워크로드의 경우 2개의 서로 다른 가용 영역에서 2개 이상의 HSM을 사용할 것을 권장합니다. 미션 크리티컬 워크로드의 경우, 2개 이상의 개별 AZ에서 3개 이상의 HSM을 사용할 것을 권장합니다. CloudHSM 클라이언트는 자동으로 HSM 장애를 처리하고 애플리케이션에 대한 로드를 2개 이상의 HSM 간에 투명하게 밸런싱합니다.
Q: 키 내구성에 대한 책임은 누구에게 있나요?
AWS는 CloudHSM 클러스터의 암호화된 자동 백업을 매일 수행합니다. 클러스터 수명 주기 이벤트(HSM 추가 또는 제거 등)가 발생하면 AWS가 추가 백업을 수행하며, 백업과 백업 사이의 24시간 기간에 클러스터에 생성하거나 클러스터로 가져온 키 구성 요소의 내구성은 사용자가 모두 책임집니다. 키의 내구성을 보장하기 위해서는 생성한 모든 키를 2개의 서로 다른 가용 영역에서 2개 이상의 HSM으로 동기화하는 것이 좋습니다. 키 동기화 확인에 대한 자세한 내용은 AWS CloudHSM 사용 설명서를 참조하세요.
Q: 고가용성(HA) 구성을 설정하려면 어떻게 해야 하나요?
CloudHSM 클러스터에서 두 개의 가용 영역에 걸쳐 HSM을 두 개 이상 구성하면 고가용성이 자동으로 제공됩니다. 추가 구성은 필요하지 않습니다. 클러스터의 HSM에 장애가 발생하면, 프로세스 중단 없이 해당 HSM이 자동으로 교체되고 새로운 구성이 반영되도록 모든 클라이언트가 업데이트됩니다. AWS API 또는 SDK를 통해 클러스터에 HSM을 추가하면 애플리케이션 중단 없이 가용성을 높일 수 있습니다.
Q: CloudHSM 클러스터에 HSM을 몇 개까지 포함할 수 있습니까?
계정 서비스 제한에 따라 CloudHSM 클러스터 하나에 최대 28개의 HSM을 포함할 수 있습니다. 서비스 한도 및 한도 증가 요청 방법은 온라인 설명서에서 자세히 알아보세요.
Q: CloudHSM 클러스터의 콘텐츠를 백업할 수 있나요?
CloudHSM 클러스터는 AWS를 통해 매일 백업됩니다. 키의 경우 ‘내보내기 불가’로 생성되지 않은 한, 클러스터에서 내보내어(‘래핑’) 온프레미스에 저장할 수도 있습니다.
Q: AWS CloudHSM에 대한 SLA가 있나요?
예. 여기에서 AWS CloudHSM에 대한 서비스 수준 계약(SLA)을 확인할 수 있습니다.
보안 및 규정 준수
Q: 내 AWS CloudHSM 리소스는 다른 AWS 고객과 공유되나요?
아니요. HSM에 대한 단일 테넌트 액세스가 서비스의 일부로 제공됩니다. 기본 하드웨어는 다른 고객과 공유될 수 있지만, HSM은 해당 고객만 액세스할 수 있습니다.
Q: AWS는 내 암호화 키에 액세스하지 않고도 HSM을 어떻게 관리하나요?
AWS CloudHSM의 설계에는 업무 분리 및 역할 기반 액세스 제어가 내재되어 있습니다. AWS는 HSM에 대한 제한된 자격 증명으로 HSM의 상태 및 가용성을 모니터링 및 유지 관리하고, 암호화된 백업을 수행하고, CloudWatch Logs에 감사 로그를 추출 및 게시할 수 있지만, CloudHSM 클러스터 내부의 키 또는 데이터에 액세스하거나 HSM 어플라이언스 사용자에게 허용된 것 이외의 작업을 수행할 수는 없습니다.
업무 분리와 각 사용자 클래스가 HSM에 수행할 수 있는 기능에 대한 자세한 내용은 AWS CloudHSM 사용 설명서를 참조하세요.
Q: 내 HSM을 모니터링할 수 있나요?
예. AWS CloudHSM은 CloudHSM 클러스터와 개별 HSM에 대한 다양한 Amazon CloudWatch 지표를 게시합니다. Amazon CloudWatch 콘솔, API 및 SDK를 사용하여 해당 지표에 대한 경보를 받을 수 있습니다.
Q: AWS CloudHSM에서 '엔트로피 소스'(임의 소스)란 무엇인가요?
각 HSM에는 SP800-90B를 준수하는 HSM 하드웨어 모듈 내 참난수 생성기(TRNG)를 통해 할당되는 FIPS 인증 결정론적 난수 생성기(DRBG)가 있습니다.
Q: 누군가 HSM 하드웨어를 변조하면 어떻게 되나요?
AWS CloudHSM은 물리적 및 논리적 변조 감지와 대응 메커니즘을 갖추고 있어 하드웨어의 키 삭제(제로화)가 트리거됩니다. 하드웨어는 물리적 장벽이 침해되는 경우 변조를 감지하도록 설계되었습니다. 또한 HSM은 무작위 로그인 공격으로부터 보호됩니다. 관리자 또는 CO(Crypto Officer) 자격 증명으로 HSM에 액세스하려는 시도가 일정 수 이상 실패하면 HSM이 관리자 및 CO를 잠금 처리합니다. 이와 비슷하게 CU(Crypto User) 자격 증명으로 HSM에 액세스하려는 시도가 일정 수 이상 실패하면 사용자가 잠기며 CO 또는 관리자가 잠금을 해제해야 합니다.
Q: 오류가 발생하면 어떻게 되나요?
Amazon은 HSM과 네트워크의 가용성 및 오류 상태를 모니터링하고 관리합니다. HSM에 장애가 발생하거나 네트워크 연결이 끊어지면, HSM이 자동으로 교체됩니다. AWS CloudHSM API, SDK, CLI 도구를 사용하여 개별 HSM의 상태를 확인하고, AWS 서비스 상태 대시보드를 사용하여 언제든지 서비스의 전체적인 상태를 확인할 수 있습니다.
Q: 단일 HSM에서 장애가 발생하면 내 키가 손실될 수 있나요?
AWS CloudHSM 클러스터에 HSM이 하나만 있는 경우에는 가장 최근의 일일 백업 이후 생성된 키가 손실될 수 있습니다. HSM이 둘 이상 있는(별개의 가용 영역에 있는 것이 이상적) AWS CloudHSM 클러스터는 단일 HSM에서 장애가 발생해도 키가 손실되지 않습니다. 자세한 내용은 모범 사례를 참조하세요.
Q: HSM에 대한 자격 증명을 분실한 경우 Amazon에서 내 키를 복구할 수 있습니까?
아니요. Amazon은 사용자 키 또는 자격 증명에 대한 액세스 권한을 가지지 않으므로 자격 증명을 분실할 경우 키를 복구할 수 없습니다.
Q: AWS CloudHSM을 신뢰해도 될지 어떻게 알 수 있나요?
AWS CloudHSM은 미연방 정보처리 표준(FIPS) 140-2 레벨 3을 인증받은 하드웨어를 기반으로 구축되었습니다. CloudHSM에서 사용하는 하드웨어에 대한 FIPS 140-2 보안 프로필과 실행하는 펌웨어에 대한 정보는 규정 준수 페이지에서 확인할 수 있습니다.
Q: AWS CloudHSM 서비스는 FIPS 140-2 레벨 3을 지원하나요?
예. CloudHSM은 FIPS 140-2 레벨 3 인증 HSM을 제공합니다. CloudHSM 사용 설명서의 HSM의 자격 증명 확인 섹션에 나온 절차를 수행하여 이전 질문의 NIST 보안 정책에 명시된 것과 같은 하드웨어 모델에 인증된 HSM을 보유하고 있는지 확인할 수 있습니다.
Q: FIPS 140-2 모드에서 AWS CloudHSM을 작동하려면 어떻게 해야 하나요?
AWS CloudHSM은 항상 FIPS 140-2 모드 상태입니다. 이는 CloudHSM 사용 설명서에 설명된 대로 CLI 도구를 사용하여 FIPS 모드 상태를 표시하는 getHsmInfo 명령을 실행하면 확인할 수 있습니다.
Q: 내 계정에서 이루어진 모든 AWS CloudHSM API 직접 호출 기록을 확인할 수 있나요?
예. AWS CloudTrail은 계정에 대한 AWS API 직접 호출을 기록합니다. AWS CloudTrail에서 작성하는 AWS API 직접 호출 기록을 사용해 보안 분석, 리소스 변경 추적, 규정 준수 감사를 수행할 수 있습니다. CloudTrail 홈페이지에서 AWS CloudTrail에 대해 자세히 알아보고 CloudTrail의 AWS Management Console을 통해 활성화하세요.
Q: AWS CloudTrail에 기록되지 않는 이벤트는 무엇인가요?
AWS CloudTrail에 HSM 디바이스 또는 액세스 로그는 포함되지 않습니다. 이러한 로그는 AWS CloudWatch Logs를 통해 AWS 계정에 직접 제공됩니다. 자세한 내용은 AWS CloudHSM 사용 설명서를 참조하세요.
Q: AWS CloudHSM을 포함하는 AWS 준수 이니셔티브는 무엇인가요?
CloudHSM을 포함하는 규정 준수 프로그램에 대한 자세한 정보는 AWS 규정 준수 사이트를 참조하세요. 다른 AWS 서비스와는 달리 AWS CloudHSM과 관련된 규정 준수 요구 사항은 대개 별도의 감사 프로그램의 하나로서가 아니라 FIPS 140-2 레벨 3 하드웨어 자체 인증으로 충족됩니다.
Q: FIPS 140-2 레벨 3이 중요한 이유는 무엇인가요?
FIPS 140-2 레벨 3은 문서 서명, 결제 또는 SSL 인증서용 공개 인증 기관으로서의 운영 등 특정 사용 사례의 요구 사항입니다.
Q: AWS CloudHSM이 범위에 포함된 규정 준수 보고서를 요청하려면 어떻게 해야 하나요?
AWS CloudHSM의 범위에 포함된 규정 준수 보고서를 확인하려면 규정 준수 프로그램 제공 범위 내 AWS 서비스를 검토하세요. 무료 셀프 서비스 온디맨드 규정 준수 보고서를 생성하려면 AWS Artifact를 사용하세요.
AWS CloudHSM에서 제공되는 HSM의 FIPS 검증에만 관심이 있는 경우 FIPS 검증을 참조하세요.
성능 및 용량
Q: CloudHSM으로 초당 몇 개의 암호화 작업을 수행할 수 있나요?
성능은 구성, 데이터 크기 및 EC2 인스턴스의 추가 애플리케이션 로드에 따라 달라질 수 있습니다. 성능을 높이려면 클러스터에 HSM 인스턴스를 추가하면 됩니다. 애플리케이션에 대한 로드 테스트를 통해 규모 조정 요구 사항을 결정하는 것이 좋습니다.
자세한 내용은 AWS CloudHSM 사용 설명서의 성능 페이지를 참조하세요.
Q: CloudHSM 클러스터에 저장할 수 있는 키는 몇 개인가요?
키 저장 및 클러스터 용량에 대한 자세한 내용은 AWS CloudHSM quotas(AWS CloudHSM 할당량)를 참조하세요.
서드 파티 통합
Q: AWS CloudHSM은 Amazon RDS Oracle TDE를 지원하나요?
직접적으로는 아닙니다. CloudHSM 클러스터에서 생성 및 저장되는 키를 사용하여 Amazon RDS 데이터를 보호하려면 AWS Key Management Service(KMS)와 사용자 지정 키 스토어를 함께 사용해야 합니다.
Q: AWS CloudHSM을 다른 소프트웨어에 대한 신뢰 루트로 사용할 수 있나요?
여러 서드 파티 공급업체가 AWS CloudHSM을 신뢰 루트로 지원합니다. 즉, CloudHSM 클러스터에서 기본 키를 생성하고 저장하는 동안 원하는 소프트웨어 솔루션을 활용할 수 있습니다.
AWS CloudHSM , Client Library, API 및 SDK
Q: AWS CloudHSM Client Library란 무엇인가요?
AWS CloudHSM Client Library는 AWS에서 제공하는 소프트웨어 패키지입니다. 이 패키지를 사용하면 애플리케이션에서 CloudHSM 클러스터와 상호 작용할 수 있습니다.
Q: CloudHSM Client Library를 사용하면 AWS가 내 CloudHSM 클러스터에 액세스할 수 있게 되나요?
아니요. 클라이언트와 HSM 간 모든 통신은 전 과정에서 암호화됩니다. AWS는 이 통신을 보거나 가로챌 수 없으며 클러스터 액세스 자격 증명을 전혀 볼 수 없습니다.
Q: CloudHSM 명령줄 인터페이스(CLI) 도구란 무엇인가요?
CloudHSM Client Library는 명령줄에서 HSM을 관리하고 사용할 수 있게 하는 CLI 도구 세트와 함께 제공됩니다. 현재 Linux 및 Microsoft Windows가 지원됩니다. Apple macOS에 대한 지원은 로드맵에 있습니다. AWS CloudHSM Client Library와 동일한 패키지에서 이러한 도구를 사용할 수 있습니다.
Q: AWS CloudHSM 명령줄 인터페이스 도구를 다운로드하고 시작하려면 어떻게 해야 하나요?
CloudHSM 사용 설명서에서 지침을 찾아볼 수 있습니다.
Q: CloudHSM CLI 도구를 사용하면 AWS가 HSM의 콘텐츠에 액세스할 수 있게 되나요?
아니요. CloudHSM 도구는 안전하고 상호 인증된 채널에서 CloudHSM Client Library를 통해 CloudHSM 클러스터와 직접 통신합니다. AWS는 클라이언트, 도구 및 HSM 간 통신을 확인할 수 없습니다. 이러한 통신은 엔드 투 엔드로 암호화됩니다.
Q: CloudHSM Client Libary와 CLI 도구는 어떤 운영 체제에서 사용할 수 있나요?
지원되는 운영 체제의 전체 목록은 온라인 설명서에 나와 있습니다.
Q: CloudHSM 명령줄 인터페이스 도구를 사용하기 위한 네트워크 연결 요구 사항은 무엇인가요?
CloudHSM Client Library를 실행하거나 CLI 도구를 사용하는 호스트를 CloudHSM 클러스터의 모든 HSM에 네트워크로 연결해야 합니다.
Q: AWS CloudHSM API 및 SDK로 무엇을 할 수 있나요?
CloudHSM 클러스터와 HSM을 생성, 수정 및 삭제하고 상태를 확인할 수 있습니다. AWS CloudHSM API로 할 수 있는 작업은 AWS가 제한된 액세스 권한으로 수행할 수 있는 작업으로 한정됩니다. API는 HSM의 콘텐츠에 액세스할 수 없으며, 사용자, 정책 또는 다른 설정을 변경할 수도 없습니다. API에 대한 자세한 내용은 CloudHSM 설명서를, SDK에 대한 자세한 내용은 Amazon Web Services용 도구 페이지를 참조하십시오.
다른 타사 HSM에서 CloudHSM으로의 마이그레이션
Q: AWS CloudHSM으로 마이그레이션을 계획하려면 어떻게 해야 하나요?
먼저, 필요한 알고리즘과 모드가 AWS CloudHSM에서 지원되는지 확인하세요. 필요한 경우 계정 관리자가 AWS로 기능 요청을 제출할 수 있습니다. 그런 다음 키 교체 전략을 결정하세요. AWS CloudHSM용 심층 마이그레이션 가이드가 게시되어 있으니 참조하세요. 그러면 AWS CloudHSM으로 시작할 준비를 마친 것입니다.
Q: 키를 교체하려면 어떻게 해야 하나요?
교체 전략은 애플리케이션 유형에 따라 달라집니다. 일반적인 사례는 다음과 같습니다.
- 서명용 프라이빗 키: 일반적으로 HSM의 프라이빗 키는 중간 인증서에 해당하며 오프라인 엔터프라이즈 루트가 이를 서명하게 됩니다. 사용자는 새로운 중간 인증서를 발행하는 방식으로 키를 교체합니다. AWS CloudHSM에서 새로운 프라이빗 키를 만들고 OpenSSL을 사용해 해당 CSR을 생성합니다. 그런 다음 동일한 오프라인 엔터프라이즈 루트를 사용해 CSR을 서명합니다. 이 새로운 인증서를 전체 인증서 체인을 자동으로 확인하지 않는 모든 파트너에 등록해야 할 수 있습니다. 이후로는 새로운 인증서에 해당하는 이 새로운 프라이빗 키를 사용해 모든 새로운 요청(문서, 코드 또는 다른 인증서 등)에 서명합니다. 해당하는 퍼블릭 키를 사용해 원래 프라이빗 키의 서명을 계속 확인할 수 있습니다. 취소는 필요 없습니다. 이 프로세스는 서명 키를 사용 중지하거나 아카이빙할 때 따르는 프로세스와 유사합니다.
- Oracle Transparent Data Encryption: 하드웨어 키 저장소(원래 HSM)에서 소프트웨어 키 스토어로 전환한 후 다시 하드웨어 키 스토어(AWS CloudHSM)로 전환하여 지갑을 전송할 수 있습니다. 참고: Amazon RDS를 사용하는 경우 위의 ‘AWS CloudHSM은 Amazon RDS Oracle TDE를 지원하나요?’ FAQ를 참조하세요.
- 봉투 암호화를 위한 대칭 키: 봉투 암호화는 HSM의 키 하나가 애플리케이션 호스트의 데이터 키 여러 개를 암호화/복호화하는 키 아키텍처를 말합니다. 고객에게는 이전 래핑 키로 데이터 키를 복호화하고 새로운 래핑 키로 이를 다시 암호화하는 키 교체 프로세스가 이미 있을 것입니다. 마이그레이션 중에 유일한 차이점은 원래 HSM이 아니라 AWS CloudHSM에서 새로운 래핑 키가 생성되고 사용된다는 것입니다. 키 교체 도구와 프로세스가 아직 없다면 프로세스를 만들어야 합니다.
Q: 키를 교체할 수 없는 경우는 어떻게 합니까?
지원 및 유지 관리
Q: AWS CloudHSM에는 예약된 유지 관리 기간이 있습니까?
아니요. 그러나 업그레이드가 필요하거나 하드웨어 결함이 발생할 경우에는 AWS가 유지 관리를 수행해야 할 수도 있습니다. AWS는 영향이 예상되는 경우 Personal Health Dashboard를 통해 사전에 알릴 수 있도록 최선을 다할 것입니다.
고가용성을 위해 클러스터를 설계하는 것은 고객의 책임입니다. AWS에서는 별도의 가용 영역에서 2개 이상의 HSM이 포함된 CloudHSM 클러스터를 사용할 것을 강력히 권장합니다. 온라인 설명서에서 권장 모범 사례에 대해 자세히 알아볼 수 있습니다.
Q: AWS CloudHSM에 문제가 있습니다. 어떻게 해야 하나요?
문제 해결 가이드에서 일반적인 문제에 대한 해결 방법을 찾을 수 있습니다. 그 후에도 여전히 문제가 발생하면 AWS Support에 문의하십시오.