AWS CloudHSM
사용 설명서

AWS CloudHSM 클러스터 백업

AWS CloudHSM은 클러스터를 정기적으로 백업합니다. 사용자가 원하는 아무 때나 AWS CloudHSM이 백업하도록 지시할 수는 없지만, 특정 작업을 수행하여 AWS CloudHSM이 백업하도록 할 수는 있습니다. 자세한 내용은 다음 주제를 참조하십시오.

이전에 하나 이상의 활성 HSM이 포함된 클러스터에 HSM을 추가하면 AWS CloudHSM이 최신 백업을 새 HSM으로 복원합니다. 즉, AWS CloudHSM을 통해 자주 사용하지 않는 HSM을 관리할 수 있습니다. HSM을 더 이상 사용할 필요가 없으면 이를 삭제하여 백업을 트리거할 수 있습니다. 나중에 HSM을 다시 사용해야 할 때 동일한 클러스터에서 새 HSM을 생성하면 이전 HSM을 효과적으로 복원할 수 있습니다.

또한 다른 클러스터의 기존 백업에서 새 클러스터를 생성할 수도 있습니다. 기존 백업이 포함된 리전과 동일한 AWS 리전에서 새 클러스터를 생성해야 합니다.

백업 개요

각 백업에는 다음 데이터의 암호화된 복사본이 포함되어 있습니다.

AWS CloudHSM은 클러스터와 동일한 AWS 리전에서 서비스가 제어하는 Amazon S3(Amazon Simple Storage Service) 버킷에 백업을 저장합니다.


        서비스가 제어하는 Amazon S3 버킷에서 암호화된 AWS CloudHSM 클러스터 백업

백업 보안

AWS CloudHSM이 HSM으로부터 백업을 생성할 때 HSM은 AWS CloudHSM으로 데이터를 전송하기 전에 모든 데이터를 암호화합니다. 해당 데이터는 HSM을 일반 텍스트 형식으로 두지 않습니다.

데이터를 암호화하기 위해 HSM은 EBK(임시 백업 키)라는 고유한 임시 암호화 키를 사용합니다. EBK는 AWS CloudHSM이 백업을 생성할 때 HSM 내부에서 생성된 AES 256비트 암호화 키입니다. HSM은 EBK를 생성한 다음 이를 사용하여 NIST Special Publication 800-38F를 준수하는 FIPS 승인 AES 키 래핑 방법으로 HSM의 데이터를 암호화합니다. 그런 다음 HSM은 암호화된 데이터를 AWS CloudHSM으로 전송합니다. 암호화된 데이터에는 EBK의 암호화된 복사본이 포함됩니다.

EBK를 암호화하기 위해 HSM은 PBK(영구 백업 키)라는 다른 암호화 키를 사용합니다. PBK도 AES 256비트 암호화 키입니다. PBK를 생성하기 위해 HSM은 NIST Special Publication 800-108을 준수하는 카운터 모드에서 FIPS 승인 키 추출 함수(KDF)를 사용합니다. 이 KDF의 입력 내용은 다음과 같습니다.

  • 하드웨어 제조업체가 HSM 하드웨어에 영구적으로 삽입한 제조업체 키 백업 키(MKBK).

  • AWS CloudHSM이 처음 구성할 때 HSM에 안전하게 설치된 AKBK(AWS 키 백업 키)

다음 그림에는 암호화 프로세스가 요약되어 있습니다. 백업 암호화 키는 PBK(영구 백업 키) 및 EBK(임시 백업 키)를 나타냅니다.


        AWS CloudHSM 백업을 암호화하는 데 사용되는 암호화 키 요약

AWS CloudHSM은 동일한 제조업체가 만든 AWS 소유의 HSM에만 백업을 복원할 수 있습니다. 각 백업에는 원본 HSM의 모든 사용자, 키 및 구성이 포함되므로 복원된 HSM에는 원본과 동일한 보호 및 액세스 제어가 포함됩니다. 복원된 데이터는 복원 전에 HSM에 있던 다른 모든 데이터를 덮어씁니다.

백업은 암호화된 데이터로만 구성됩니다. 각 백업은 Amazon S3에 저장되기 전에 AWS KMS(AWS Key Management Service) CMK(고객 마스터 키)로 다시 암호화됩니다.

백업 내구성

AWS CloudHSM은 AWS CloudHSM이 제어하는 AWS 계정의 Amazon S3 버킷에 클러스터 백업을 저장합니다. 백업의 내구성은 Amazon S3에 저장되는 객체와 동일합니다. Amazon S3은 99.999999999%의 내구성을 제공하도록 설계되었습니다.

백업 빈도

AWS CloudHSM은 최소한 24시간마다 한 번씩 클러스터를 백업합니다. 반복해서 일일 백업을 하는 것 외에도 AWS CloudHSM은 다음 작업을 수행할 때 백업을 합니다.