AWS CloudHSM 클러스터 백업 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 클러스터 백업


      AWS CloudHSM은 서비스가 제어하는 Amazon S3 버킷에서 암호화된 클러스터 백업을 제공합니다.

AWS CloudHSM는 클러스터의 사용자, 키 및 정책을 주기적으로 백업합니다. 은 클러스터와 동일한 리전에서 서비스가 제어하는 Amazon Simple Storage Service (Amazon S3) 버킷에 백업을 저장합니다. 위의 그림에서는 백업과 클러스터 간의 관계를 보여 줍니다. 백업은 안전하고, 안정적이며, 예측 가능한 일정에 따라 업데이트됩니다. 백업의 보안 및 내구성에 대한 자세한 내용은 다음 단원을 참조하십시오. 백업 작업에 대한 자세한 내용은 단원을 참조하십시오.백업 관리.

백업 보안

AWS CloudHSM이 HSM으로부터 백업을 생성할 때 HSM은 AWS CloudHSM으로 데이터를 전송하기 전에 모든 데이터를 암호화합니다. 해당 데이터는 HSM을 일반 텍스트 형식으로 두지 않습니다.

데이터를 암호화하기 위해 HSM은 EBK(임시 백업 키)라는 고유한 임시 암호화 키를 사용합니다. EBK는 AWS CloudHSM이 백업을 생성할 때 HSM 내부에서 생성된 AES 256비트 암호화 키입니다. HSM은 EBK를 생성한 다음 이를 사용하여 NIST Special Publication 800-38F를 준수하는 FIPS 승인 AES 키 래핑 방법으로 HSM의 데이터를 암호화합니다. 그런 다음 HSM은 암호화된 데이터를 AWS CloudHSM으로 전송합니다. 암호화된 데이터에는 EBK의 암호화된 복사본이 포함됩니다.

EBK를 암호화하기 위해 HSM은 PBK(영구 백업 키)라는 다른 암호화 키를 사용합니다. PBK도 AES 256비트 암호화 키입니다. PBK를 생성하기 위해 HSM은 NIST Special Publication 800-108을 준수하는 카운터 모드에서 FIPS 승인 키 추출 함수(KDF)를 사용합니다. 이 KDF의 입력 내용은 다음과 같습니다.

  • 하드웨어 제조업체가 HSM 하드웨어에 영구적으로 삽입한 제조업체 키 백업 키(MKBK).

  • AWS CloudHSM이 처음 구성할 때 HSM에 안전하게 설치된 AKBK(AWS 키 백업 키)

다음 그림에는 암호화 프로세스가 요약되어 있습니다. 백업 암호화 키는 PBK(영구 백업 키) 및 EBK(임시 백업 키)를 나타냅니다.


        암호화에 사용되는 암호화 키 요약AWS CloudHSM백업을 참조하십시오.

AWS CloudHSM은 동일한 제조업체가 만든 AWS 소유의 HSM에만 백업을 복원할 수 있습니다. 각 백업에는 원본 HSM의 모든 사용자, 키 및 구성이 포함되므로 복원된 HSM에는 원본과 동일한 보호 및 액세스 제어가 포함됩니다. 복원된 데이터는 복원 전에 HSM에 있던 다른 모든 데이터를 덮어씁니다.

백업은 암호화된 데이터로만 구성됩니다. 서비스가 Amazon S3 백업을 저장하기 전에 서비스는AWS Key Management Service(AWS KMS).

백업 내구성

AWS CloudHSM은 서비스가 제어하는 Amazon S3 버킷에 클러스터 백업을 저장합니다. Amazon S3 저장되는 객체와 동일한 99.99999999999999999999999999999999999999999999