하드웨어 보안 모듈(HSM)이란 무엇입니까?
하드웨어 보안 모듈(HSM)은 데이터의 암호화 및 암호 해독에 사용되는 키를 생성, 보호, 관리하고 디지털 서명 및 인증서를 생성하여 암호화 프로세스를 보호하는 강화된 변조 방지 하드웨어 장치입니다.
HSM은 FIPS 140-2 및 공통 기준을 포함한 최고 보안 표준에 따라 테스트, 검증 및 인증됩니다. Entrust는 nShield 범용 HSM 제품군을 갖춘 HSM의 선도적인 글로벌 제공업체입니다.
HSM을 통해 조직은 다음을 수행할 수 있습니다.
HSM as a Service 또는 클라우드 HSM이란 무엇입니까?
HSM as a Service는 고객이 클라우드에서 하드웨어 보안 모듈을 사용하여 암호화 키 자료를 민감한 데이터와 별도로 생성, 액세스 및 보호할 수 있는 구독 기반 오퍼링입니다. 서비스 오퍼링은 일반적으로 온프레미스 배포와 동일한 수준의 보호를 제공하는 동시에 더 큰 유연성을 제공합니다. 고객은 CapEx를 OpEx로 전환하여 필요할 때, 필요한 서비스에 대해서만 비용을 지불할 수 있습니다.
nShield as a Service는 전용 FIPS 140-2 3단계 인증 nShield HSM을 사용합니다. 이 제품은 온프레미스 nShield HSM과 동일한 완전한 기능 및 클라우드 서비스 배포의 이점을 모두 제공합니다. 이를 통해 고객은 클라우드 우선 목표를 달성하거나 Entrust의 전문가가 수행하는 서비스로서의 어플라이언스 유지 관리를 통해 온프레미스 및 서비스로서의 HSM을 혼합하여 배포할 수 있습니다.
HSM을 사용해야 하는 이유는 무엇입니까?
암호화 및 디지털 서명과 같은 암호화 작업은 사용하는 개인 키가 제대로 보호되지 않으면 가치가 없습니다. 오늘날 사용 중이거나 저장된 개인 키를 찾아내는 공격자들의 수법은 훨씬 더 교묘해졌습니다. HSM은 개인 키 및 관련 암호화 작업을 보호하기 위한 표준이며, 해당 키에 액세스할 수 있는 사용자 및 애플리케이션에 대해 이를 사용하는 조직에서 정의한 정책을 시행합니다.
HSM은 암호화 또는 디지털 서명을 수행하는 다양한 유형의 애플리케이션과 함께 사용할 수 있습니다. 아래 그림에는 2022 Ponemon 글로벌 암호화 동향 연구에 따른 HSM의 최고 사용 사례가 나와 있습니다.
향후 12개월 이내에 HSMS를 구축하거나 계획하는 방법
HSM을 사용해야 하는 이유에 대해 자세히 알아보기
신뢰할 수 있는 루트란 무엇입니까?
신뢰 루트(Root of Trust)는 암호화 시스템 내에서 기본적으로 신뢰되는 소스입니다. 하드웨어 신뢰 루트 및 소프트웨어 신뢰 루트 구성 요소는 본질적으로 신뢰됩니다. 즉 본질적으로 안전해야 합니다. 가장 안전한 신뢰 루트 구현에는 일반적으로 보안 환경 내에서 키를 생성, 보호하고 암호화 기능을 수행하는 하드웨어 보안 모델(HSM)이 포함됩니다.
HSM은 어떤 가치를 제공합니까?
HSM은 암호화 및 디지털 서명을 수행하는 광범위한 애플리케이션의 보안을 강화하고 확장합니다. 아래 표는 가장 일반적인 사용 사례에서 HSM이 제공하는 부가적인 가치를 설명합니다.
| 사용 사례 | 사용 사례에서 HSM의 가치 |
| 클라우드 및 컨테이너/Kubernetes | 클라우드에서 키와 데이터에 대한 제어 유지 및 컨테이너화된 애플리케이션의 보안 유지 |
| PKI 인증서(공개키기반구조) | 중요한 PKI 루트 및 CA 서명 키 보호 |
| 권한 있는 액세스 및 암호 관리 | 내부자 위협을 해결하고 DevOps 비밀에 대한 액세스 간소화 |
| 암호화 및 토큰화 | 전송 및 저장 데이터에 대한 암호화 키 보호 강화 |
| 키 관리 | 여러 클라우드 및 애플리케이션에 키 관리 정책 시행 |
| 디지털 서명 및 코드 서명 | 소프트웨어 무결성을 보장하고 법적 구속력이 있는 거래를 가능하게 하는 키 보호 |
| TLS/SSL 애플리케이션(ADC, 방화벽 등) | 보안 마스터 TLS/SSL 암호화 키 |
| ID 및 인증 | 신뢰할 수 있는 ID 자격 증명 생성 |
| 결제 | 지불 자격 증명을 생성하고 서명하는 키 보호 |
난수 생성이란 무엇입니까?
난수 생성(RNG)이란 알고리즘 또는 장치에 의해 생성되는 난수를 나타냅니다. 암호화 키는 인증된 난수 소스를 사용하여 생성되어야 하며, 이는 소프트웨어 기반 시스템에서 어려운 문제입니다.
난수 생성기의 엔트로피 소스가 소프트웨어 기반 측정값에서 파생된 경우 엔트로피가 예측될 수 없거나 영향을 받을 수 없다고 보장할 수 없습니다. HSM은 RNG에 하드웨어 기반 엔트로피 소스를 사용하며, 이는 모든 정상 작동 조건에서 양호한 엔트로피 소스를 제공하는 것으로 확인되었습니다.
사용자가 클라우드 서비스 공급자에 업로드하는 키를 만들고 관리할 수 있도록 하는 BYOK(Bring Your Own Key)에 중요합니다.