CloudHSM
- KMS를 통해 AWS는 암호화 소프트웨어를 관리하고 사용자가 암호화 키를 제어할 수 있음
이때 동시에 AWS가 일부 암호화 하드웨어를 프로비저닝하는데 이 전용 하드웨어이자 하드웨어 보안 모듈이 HSM 장치
그 후 이 HSM 장치를 통해 AWS가 아닌 사용자의 암호화 키를 완전히 관리할 수 있어
암호화 키에 대한 완전한 통제가 가능해짐 - HSM 장치는 AWS의 클라우드 내에 설치되지만 FIPS 104-2 레벨 3 규정을 준수해 변형 억제되므로
누군가 HSM 장치에 수동으로 액세스하려고 하면 중지 및 차단됨 - CloydHSM 디바이스는 대칭 및 비대칭 암호화 키를 지원하며 SSL과 TLS 키를 가질 수 있음
- 프리티어는 없고 CloudHSM 장치를 사용하려면 복잡하고 범위에서도 벗어난 클라이언트 소프트웨어가 필요
- CloudHSM으로 데이터베이스를 암호화하고 키 관리를 하려는 경우 Redshift와 CloudHSM을 통합해 사용
- S3에 SSE-C 유형의 암호화를 구현할 경우 CloudHSM을 사용하면 스스로 자체 암호화 키를 관리하고 CloudHSM에 저장함
CloudHSM Diagram
- CloudHSM을 사용하면 AWS가 하드웨어를 관리하지만 서비스는 사용자 스스로 사용
- CloudHSM 클라이언트는 CloudHSM 서비스에 연결을 구축하기 위해 사용되며 전체 키는 사용자가 관리
- IAM 권한은 전반적인 HSM 클러스터의 생성, 읽기, 업데이트 그리고 삭제에 사용됨
- CloudHSM 소프트웨어는 키와 사용자를 관리하며 키에 액세스하는 사용자의 권한을 관리함
그러므로 사용자의 권한을 관리한다는 점에서 모든 것이 IAM으로 관리되는 KSM와 차이가 존재
CloudHSM – High Availability
- CloudHSM 클러스터는 고가용성을 가질 수 있고 여러 AZ에 분산된 HA
- 예) 두 개의 AZ가 있고 하나가 다른 하나를 복제하면 HSM 클라이언트는 어느 쪽에도 연결될 수 있음
CloudHSM vs. KMS
- CloudHSM과 KMS의 비교
- Tenancy (차용, 차지)
KMS의 테넌시는 멀티 테넌시이며 CloudHSM은 단일 테넌시 - Standard
같은 규격 - Master Keys
KMS는 마스터 키를 세 종류 가지지만, CloudHSM은 AWS가 HSM 장치에 액세스할 수 없으므로 한 종류 - Key Types
KMS에는 대칭, 비대칭, 디지털 서명이 있고 CloudHSM은 대칭, 비대칭, 디지털 서명, 해싱이 존재
만약 온프레미스 키 관리 시스템에서 비대칭 키를 사용하고 이를 AWS로 불러오려면 CloudHSM를 사용하는 것이 유일한 방법 - Key Accessibility
KMS는 여러 리전, CloudHSM은 VPC에 배포되므로 공유용 VPC를 통해 VPC 사이에 공유
즉, CloudHSM은 VPC를 통해 공유되므로 필요하다면 여러 리전에서 키에 접근 가능 - Crypotographic Acceleration
KMS는 암호화 가속을 설정할 수 없지만 CloudHSM에는 SSL과 TLS 가속이 있어 로드 밸런서 레벨에서 사용할 수 있으며 Oracle 및 TDE 가속도 Oracle 기반의 데이터베이스에 사용 가능 - Access & Authentication
KMS에는 IAM이 있고 CloudHSM은 자체적 보안 메커니즘으로 사용자와 사용자 권한 및 키를 관리 - High Availability
KMS는 관리형 서비스이며 항시 사용이 가능, CloudHSM은 여러 가용 영역에 다중 HSM 장치를 가짐 - Audit Capability
KMS 감사 기능에는 CloudTrail과 CloudWatch가 있으며, CloudHSM은 이에 더불어 추가로 MFA가 존재 - Free Tier
KMS는 프리티어에 속하나 CloudHSM은 프리티어에 속하지 않음
'Cloud > AWS' 카테고리의 다른 글
| [SAA] GuardDuty (0) | 2022.04.22 |
|---|---|
| [SAA] WAF 및 실드 (0) | 2022.04.22 |
| [SAA] AWS Secrets Manager 개요 (0) | 2022.04.22 |
| [SAA] SSM 매개변수 저장소 개요 (0) | 2022.04.22 |
| [SAA] KMS 키 순환 (0) | 2022.04.22 |
