가상 HSM이 있나요?

간단한 대답을 드리자면, 가상 하드웨어 보안 모듈(HSM)이라는 것은 없습니다. 일부 HSM 벤더에서는 이러한 모듈을 제공한다고 하지만 ‘가상 HSM’은 모순적인 개념입니다. 이름에 ‘하드웨어’라는 단어가 있다는 사실이 중요합니다. 하드웨어는 물리적 장치를 의미하고 ‘가상’은 그 반대입니다.

HSM의 주요 작업 중 하나는 보안 암호화 키 생성을 위한 신뢰 루트를 설정하는 것입니다. 이 작업을 수행하려면 복잡한 수학적 프로세스가 필요합니다. 이 수학적 과정의 핵심은 난수 생성입니다.

모든 난수가 진정으로 난수인 것은 아닙니다. 이 주제에 대해서는 여러 책이 있지만, 적절한 난수가 없으면 이후에 생성된 키가 안전하지 않다는 점을 아는 것으로도 충분합니다. 기업에서는 오늘날 업계에서 사용할 수 있는 기술을 통해 하드웨어 기반 난수 생성기를 만들었습니다.

보안 난수를 생성하기 위해 NIST의 암호화 모듈 검증 프로그램에 의해 특별히 설계, 테스트 및 인증된 칩입니다. 암호화 무작위성의 테스트는 엔트로피라고 합니다. 소프트웨어로는 엔트로피를 적절하게 테스트할 수 없으며 하드웨어로만 가능합니다. 하드웨어에서 생성한 난수가 없으면 키가 손상될 위험이 높아집니다.

암호화 키의 유효성이 중요한 조직이라면 하드웨어만 사용해야 합니다. 따라서 가상 HSM은 파일 서버의 처리 능력을 사용하여 암호화 요소를 생성하는 것보다 더 좋을 이유가 없습니다. 가상 HSM이란 없으므로 속지 마십시오.

HSM이 변조 방지 기능을 갖추고 있다고 해서 물리적 보안 장치가 온프레미스에 있어야 한다는 의미는 아닙니다. nShield as a Service는 nShield HSM의 모든 암호화 기능과 키 관리 기능을 제공하지만 클라우드 기반 구독 모델을 사용합니다.

nShield as a Service에 대해 자세히 알아보십시오.