◇ 공부 기록용으로 작성하였으니 틀린점, 피드백 주시면 감사하겠습니다 ◇
AWS CloudHSM
AWS CloudHSM은 클라우드 기반의 HSM(Hardware Security Module)이다.
CloudHSM은 전용 하드웨어 장치(HSM)을 사용하여 AWS에서 사용할 수 있는 암호화 키를 생성하고 관리한다.
"CloudHSM"의 HSM은 데이터 보안을 강화하기 위해 암호화 키를 보호하면서 운영하는 장치이다.
HSM 이란?
하드웨어 시큐리티 모듈 (HSM, Hardware Security Module)
HSM은 암호화 키를 생성하고 저장하는 역할을 하는 전용 장치이다.
애플리케이션에서 암호화 키가 필요할 경우, 애플리케이션 측에서 다루는게 아니라, HSM이라는 전용 장치에서 암호화 키를 생성 및 관리한다.
HSM에 들어 있는 정보(키)는 외부에 복사 및 재생성이 되지 않는다.
HSM은 금융 기관, 정부 기관, 보안 업계 및 기타 고도의 보안이 필요한 조직/서비스에서 널리 사용되고 있다.
CloudHSM 특징
- CloudHSM은 AWS에서 사용할 수 있는 HSM 하드웨어이다.
- CloudHSM은 HSM을 사용하여 암호화 키를 생성하고 관리한다.
- KMS와 달리 이용자의 전용 하드웨어를 사용해서 직접적으로 키를 관리 할 수도 있다.
- (키 관리에 관한 Compliance 규칙이 있다면 KMS가 아닌 CloudHSM을 사용한다.)
- 높은 보안 수준: HSMs are FIPS 140-2 level-3 validated
- 제공되는 하드웨어는 전 세계적인 암호화 하드웨어 표준인 FIPS 140-2 레벨 3 인증을 받아 신뢰성이 높다.
- 키에 관한 암호화, 알고리즘와 같은 부분에 관한 권한은 모두 부여한다.
- → 유저가 맘대로 암호화 알고리즘을 지정할 수 있다.
CloudHSM와 KMS의 차이점
두 서비스는 비슷하며 키 암호화 한다는 점이 같다. 하지만 차이점이 있다.
KMS에서는 키 관리를 AWS 측에서 담당하는 반면(Fully Managed), CloudHSM에서는 키의 생성, 저장, 삭제 등의 라이프사이클 관리를 사용자가 직접 수행한다.
운영 측면에서도 CloudHSM은 다른 AWS 사용자와 분리하기 위해 Amazon VPC 내에 프로비저닝해야 하므로, KMS보다 더 높은 보안성이 요구된다.
또한, CloudHSM은 전용 하드웨어를 사용하기 때문에 KMS에 비해 이용 요금이 더 비싸다.
법령이나 규제 요건에 따라 인증된 하드웨어로 암호화 키를 관리해야 하는 경우에는 CloudHSM를 주로 사용한다.
| AWS KMS | AWS CloudHSM | |
| 가장 큰 차이점 | HSM 하드웨어를 관리할 필요 없이 암호화 키 생성 가능. 하드웨어 관리는 AWS 측에서 한다. |
HSM 하드웨어를 제공받아 사용자가 직접 암호화 키를 관리한다. |
| 암호화 키 관리 | KMS는 사용하기 쉽고 편리하며 AWS 측에서 정해준 방식으로 암호화 키를 관리한다. | CloudHSM은 직접적으로 HSM에 액세스하여 키 관리 및 암호화 작업을 수행할 수 있다. |
| 커스터마이징 | 커스터마이징이나 하드웨어 수준의 제어는 불가능하다. | 더 높은 수준의 커스터마이징과 보안 제어 가능. |
| 서포트하는 암호키 | Symmetric-key (대칭 키) | Symmetric-key(대칭 키) Public-key cryptography(공개 키) |
| 연동가능한 AWS 서비스 |
50개 이상 | KMS를 거쳐 AWS 서비스와 연동 |
| 비용 | (CloudHSM보다) 저렴 | (KMS보다) 비쌈 |
| HSM의 FIPS 인증 | FIPS 140-2 level-2 | FIPS 140-2 level-3 |
| HSM 관리 책임 | AWS | 클라이언트 |
'클라우드(AWS)' 카테고리의 다른 글
| [AWS] Amazon Macie란? 쉽게 개념 및 특징 정리 (머신러닝을 활용해 S3 Bucket에서 민감한 데이터 발견) (0) | 2024.04.11 |
|---|---|
| [AWS] Amazon Inspector란? 쉽게 개념 및 특징 정리 (0) | 2024.04.10 |
| [AWS] KMS란? 쉽게 개념 정리 (Key Management Service, SSE, CSE) (0) | 2024.04.09 |
| [AWS] AWS Snow Family 시리즈 (Snowcone, Snowball, Snowmobile 차이점, Datasync) (0) | 2024.03.22 |
| [AWS] ENI란? 쉽게 개념 및 특징 정리 (Elastic Network Interface) (1) | 2024.03.12 |
