클라우드 HSM은 무엇입니까?

클라우드 하드웨어 보안 모듈(HSM)은 온프레미스 어플라이언스를 호스팅하고 유지관리하지 않아도 온프레미스 HSM과 동일한 기능은 물론 클라우드 서비스 배포 관련 이점을 제공합니다.

조직은 Cloud HSM을 통해 다음을 수행할 수 있습니다.

HSM은 무엇입니까?

더 많은 정보를 보려면 여기를 클릭하십시오.

누가 클라우드 HSM을 제공합니까?

주요 퍼블릭 CSP(클라우드 서비스 제공업체)는 서비스 제안 옵션으로 클라우드 HSM을 제공합니다. 이러한 솔루션은 CSP에서 기대할 수 있는 편의성, 탄력성 및 유연성을 제공하지만 서비스는 종종 특정 공공 서비스 제공업체와 연계되어 있어 다중 클라우드 전략을 채택하는 조직에 항상 도입될 수 있는 것은 아닙니다.

대부분의 클라우드 서비스와 마찬가지로 인프라는 사용자로부터 추상화되므로 암호화 키와 관련하여 소유권/잔여 위험과 관련하여 절충점이 있을 수 있으며 온프레미스 HSM으로 가질 수 있는 일부 제어 권한을 잃을 수 있습니다.

Entrust와 같은 온프레미스 HSM 벤더는 클라우드 HSM을 제공합니다. 이는 CSP와 함께 작동하지만 암호화 키를 더 잘 제어할 수 있는 클라우드 서비스의 이점을 제공합니다.

Entrust의 클라우드 HSM 제품은 nShield as a Service입니다. nShield as a Service는 전용 FIPS 140-2 레벨 3 인증 nShield HSM을 사용합니다. 이 서비스는 온프레미스 nShield HSM과 동일한 기능 및 클라우드 서비스 배포의 이점을 모두 제공합니다. 이를 통해 고객은 클라우드 우선 목표를 달성하고 이러한 어플라이언스의 유지 관리를 Entrust 전문가에게 맡길 수 있습니다.

nShield 클라우드 HSM은 누가 관리합니까?

nShield as a Service는 자율 관리형 또는 완전 관리형 서비스로 제공됩니다.

자율 관리형 서비스는 조직이 원격으로 HSM의 전체 관리를 유지함을 의미합니다. 완전 관리형 서비스는 HSM의 암호화 서비스를 활용하고 싶지만 관리 및 유지 관리를 신뢰할 수 있는 Entrust 직원이 수행하는 보안 책임자 역할에 위임하려는 고객에게 적합합니다. 아래 그림 1은 책임을 강조하기 위해 클라우드 서비스 제공업체와 고객의 책임을 식별하는 클라우드 보안 프레임워크를 설명하는 데 널리 사용되는 공동 책임 모델의 수정된 버전입니다.

1열은 온프레미스 배포를 나타냅니다. HSM, HSM 관리 계층 및 키는 아이콘으로 강조 표시됩니다. 이 시나리오에서 온프레미스 배포의 모든 속성은 고객의 책임입니다.

모델에서 2열은 자체 관리 배포를 기반으로 하는 nShield as a Service가 가장 적합한 Intrastructure as a Service(IaaS) 배포를 나타냅니다. 이 시나리오에서 HSM은 Entrust의 책임입니다. HSM 및 키의 관리는 고객의 책임입니다.

3열은 완전 관리형 배포를 기반으로 하는 nShield as a Service 모델에 가장 적합한 Platform as a Service(PaaS) 배포를 나타냅니다. 이 시나리오에서 HSM과 HSM 어플라이언스의 관리는 Entrust의 책임입니다. 키는 고객의 책임입니다.

온프레미스 HSM 배포와 nShield as a Service(자율 관리형 및 완전 관리형) 배포를 비교하는 수정된 버전의 클라우드 공유 책임 모델
그림 1: 온프레미스 HSM 배포와 nShield as a Service(자율 관리형 및 완전 관리형) 배포를 비교하는 수정된 버전의 클라우드 공유 책임 모델

클라우드 HSM은 온프레미스 HSM만큼 안전합니까?

클라우드 서비스 제공업체는 클라우드에 대한 책임이 있으며 고객은 클라우드 내부에 대한 책임을 가지고 있습니다.

클라우드는 조직에 유연성, 확장성 및 편의성 측면에서 많은 이점을 제공합니다. 애플리케이션과 워크로드를 클라우드로 마이그레이션할 때 보안 범위가 변경됩니다. CSP는 클라우드의 보안이 온프레미스보다 취약한 것이 아니라 단지 다를 뿐이라고 주장하며 이는 정당합니다. 본질적으로 위협 모델과 잔여 위험이 변경되었습니다. 온프레미스를 사용하면 일반적으로 물리적 어플라이언스의 랙, 경계 보안 고려 사항, 물리적 공격, 불만을 품은 직원, 도난, 유틸리티의 중단 등이 있는 데이터센터뿐만 아니라 네트워크 보안 고려 사항, 방화벽, 맬웨어, DDOS 등의 위험을 쉽게 식별할 수 있습니다.

클라우드 서비스 제공업체는 서버 팜, 네트워크 인프라 등의 보안을 책임집니다. 그러나 요즘에는 다양한 위협이 발생하고 어플라이언스가 고객으로부터 추상화되어 있는 점을 고려할 경우 클라우드에서 고객 워크로드의 보안을 부분적으로 알려주는 것은 고객에 의해 채택된 제어 및 절차입니다. 사실 지금까지 퍼블릭 클라우드에서 성공한 공격의 대부분은 고객의 구성 오류, 사용 실수 및 잘못된 관리로 인한 것입니다. 따라서 클라우드 서비스 제공업체가 아닌 서비스 사용자에게 책임이 있습니다. 위에서 설명한 클라우드 공유 책임 모델은 클라우드로 마이그레이션하는 고객이 클라우드 기반 서비스를 사용할 때 소유권과 책임을 인식하도록 권장하는 데 유용한 참고 자료입니다.

다중 클라우드 전략이란 무엇입니까?

다중 클라우드 전략은 조직이 여러 CSP의 서비스를 활용하도록 선택하는 것입니다. 이 전략은 서로 다른 서비스를 제공하는 다양한 CSP를 통해 알 수 있지만 여러 조직에서 워크로드와 위험/복원력을 공유하는 부가 가치도 제공합니다.

CSP는 애플리케이션, 데이터와 함께 사용하는 암호화 키를 만드는 데 필요한 도구를 제공합니다. 그러나 예상한 대로 이러한 도구는 CSP마다 다르게 작동합니다. nShield as a Service가 이 문제를 해결하는 데 도움이 될 수 있습니다. nShield as a Service를 사용하여 암호화 키를 프로비저닝하려면 CSP별로 동일한 절차를 적용하는 nShield 도구 모음에 익숙해지기만 하면 됩니다.

하이브리드 클라우드 전략이란 무엇입니까?

하이브리드 전략은 조직이 온프레미스를 유지하고 클라우드를 활용하여 추가 용량, 탄력성 및 확장성을 확보하기로 선택하는 경우입니다. 조직은 경우에 따라 데이터 현지화라고 하는 온프레미스에서 가치가 높고 민감한 워크로드를 유지하고 덜 민감한 워크로드에는 클라우드를 사용하도록 선택하거나 의무화할 수 있습니다. nShield as a Service는 하이브리드 클라우드 전략을 지원하는 온프레미스 nShield HSM과 원활하게 작동합니다.

클라우드 HSM과 BYOK의 차이점은 무엇입니까?

Bring Your Own Key(BYOK)는 퍼블릭 클라우드 사용자가 데이터 보안을 유지하고 클라우드에서 사용되는 암호화 키에 대한 제어를 유지할 수 있도록 하기 위해 Entrust와 Microsoft가 처음 개척한 혁신적인 개념입니다. 퍼블릭 클라우드 서비스의 채택이 폭발적으로 증가함에 따라 BYOK는 이제 모든 주요 클라우드 서비스에서 지원됩니다. BYOK를 사용하면 퍼블릭 클라우드 사용자가 온프레미스에서 로컬로 고품질 마스터 키를 생성하고 이 키를 클라우드 서비스 제공업체(CSP)에 안전하게 전송하여 다중 클라우드 배포에서 데이터를 보호할 수 있습니다.

클라우드 HSM은 온프레미스 HSM 공간이 필요하지 않습니다. 소유자가 해당 서비스를 완전히 제어하는 동안 암호화 서비스는 클라우드에서 프로비저닝됩니다. 클라우드에서 암호화 서비스를 위임하면 최대한의 자유와 유연성을 얻을 수 있습니다.

HSM의 일반적인 사용 사례는 무엇입니까?

Entrust nShield as a Service를 포함한 HSM은 PKI 및 키 관리, 권한이 부여된 액세스 관리, 컨테이너화, 데이터베이스 암호화, 코드 서명 등 다양한 애플리케이션에 암호화 서비스를 제공하는 데 사용할 수 있습니다. Entrust는 100개 이상의 보안 솔루션 제공업체로 구성된 검증된 에코시스템을 보유하고 있습니다. 아래 그림을 참조하십시오.

파트너 에코시스템은 다음과 같은 이점을 제공합니다.

  • 인증된 하드웨어 기반 암호화를 통해 파트너 솔루션을 강화하여 최종 고객에게 가치와 향상된 보안 제공
  • 기술력과 글로벌 범위로 뒷받침되는 성숙하고 검증된 프로세스로 가장 강력한 고객 지원 보장