AWS CloudHSM 클러스터 백업 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 클러스터 백업


      서비스가 제어하는 AWS CloudHSM 버킷에서 암호화된 Amazon S3 클러스터 백업

AWS CloudHSM는 클러스터의 사용자, 키 및 정책을 주기적으로 백업합니다. 이 서비스는 클러스터와 동일한 리전에 있는 서비스 제어 Amazon Simple Storage Service(Amazon S3) 버킷에 백업을 저장합니다. 앞의 그림은 백업과 클러스터의 관계를 보여줍니다. 백업은 예측 가능한 일정에 따라 안전하고 안정적이며 업데이트됩니다. 백업의 보안 및 내구성에 대한 자세한 내용은 다음 단원을 참조하십시오. 백업 작업에 대한 자세한 내용은 백업 관리 단원을 참조하십시오.

백업 보안

AWS CloudHSM이 HSM으로부터 백업을 생성할 때 HSM은 AWS CloudHSM으로 데이터를 전송하기 전에 모든 데이터를 암호화합니다. 해당 데이터는 HSM을 일반 텍스트 형식으로 두지 않습니다.

데이터를 암호화하기 위해 HSM은 EBK(임시 백업 키)라는 고유한 임시 암호화 키를 사용합니다. EBK는 AWS CloudHSM이 백업을 생성할 때 HSM 내부에서 생성된 AES 256비트 암호화 키입니다. HSM은 EBK를 생성한 다음 이를 사용하여 NIST Special Publication 800-38F를 준수하는 FIPS 승인 AES 키 래핑 방법으로 HSM의 데이터를 암호화합니다. 그런 다음 HSM은 암호화된 데이터를 AWS CloudHSM으로 전송합니다. 암호화된 데이터에는 EBK의 암호화된 복사본이 포함됩니다.

EBK를 암호화하기 위해 HSM은 PBK(영구 백업 키)라는 다른 암호화 키를 사용합니다. PBK도 AES 256비트 암호화 키입니다. PBK를 생성하기 위해 HSM은 NIST Special Publication 800-108을 준수하는 카운터 모드에서 FIPS 승인 키 추출 함수(KDF)를 사용합니다. 이 KDF의 입력 내용은 다음과 같습니다.

  • 하드웨어 제조업체가 HSM 하드웨어에 영구적으로 삽입한 제조업체 키 백업 키(MKBK).

  • AWS CloudHSM이 처음 구성할 때 HSM에 안전하게 설치된 AKBK(AWS 키 백업 키)

다음 그림에는 암호화 프로세스가 요약되어 있습니다. 백업 암호화 키는 PBK(영구 백업 키) 및 EBK(임시 백업 키)를 나타냅니다.


        백업을 암호화하는 데 사용되는 암호화 키 요약AWS CloudHSM

AWS CloudHSM는 동일한 제조업체가 만든 AWS 소유 HSMs에만 백업을 복원할 수 있습니다. 각 백업에는 원본 HSM의 모든 사용자, 키 및 구성이 포함되므로 복원된 HSM에는 원본과 동일한 보호 및 액세스 제어가 포함됩니다. 복원된 데이터는 복원 전에 HSM에 있던 다른 모든 데이터를 덮어씁니다.

백업은 암호화된 데이터로만 구성됩니다. 서비스가 Amazon S3에 백업을 저장하기 전에 서비스는 AWS Key Management Service(AWS KMS)를 사용하여 백업을 다시 암호화합니다.

백업 내구성

AWS CloudHSM는 서비스가 제어하는 Amazon S3 버킷에 클러스터 백업을 저장합니다. 백업의 내구성 수준은 99.999999999%이며, 이는 Amazon S3에 저장된 객체와 동일합니다.