AWS CloudHSM 사용 사례

AWS CloudHSM은 다양한 목표를 달성하는 데 사용할 수 있습니다. 이 항목의 내용은 AWS CloudHSM로 수행할 수 있는 작업에 대한 개요를 제공합니다.

규제 준수 달성

기업 보안 표준을 준수해야 하는 기업은 AWS CloudHSM을 사용하여 기밀성이 높은 데이터를 보호하는 프라이빗 키를 관리할 수 있습니다. AWS CloudHSM에서 제공하는 HSM은 FIPS 140-2 레벨 3 인증을 받았으며 PCI DSS를 준수합니다. 또한 AWS CloudHSM은 PCI PIN 및 PCI-3DS 규정을 준수합니다. 자세한 내용은 규정 준수 섹션을 참조하십시오.

암호화 및 해독

AWS CloudHSM을 사용하여 극비 데이터, 전송 중 암호화, 저장 중 암호화를 보호하는 프라이빗 키를 관리합니다. 또한 AWS CloudHSM은 여러 암호화 SDK와의 표준 준수 통합을 제공합니다.

프라이빗 및 퍼블릭 키로 문서에 서명하고 확인합니다.

암호화에서는 프라이빗 키를 사용하여 문서에 서명하면 수신자는 퍼블릭 키를 사용하여 다른 사람이 아닌 사용자가 실제로 문서를 보냈는지 확인할 수 있습니다. AWS CloudHSM을 사용하여 이 목적을 위해 특별히 설계된 비대칭적인 퍼블릭 및 프라이빗 키 페어를 만듭니다.

HMAC 및 CMAC를 사용하여 메시지 인증

암호화에서는 암호 메시지 인증 코드(CMAC) 및 해시 기반 메시지 인증 코드(HMAC)를 사용하여 안전하지 않은 네트워크를 통해 전송되는 메시지를 인증하고 무결성을 보장합니다. AWS CloudHSM을 사용하면 HMAC 및 CMAC를 지원하는 대칭 키를 안전하게 생성하고 관리할 수 있습니다.

AWS CloudHSM 및 AWS Key Management Service의 이점 활용

고객은 AWS CloudHSM 및 AWS KMS를 결합하여 FIPS 140-2 레벨 3 인증을 받은 단일 테넌트 환경에 키 자료를 저장하는 동시에 AWS KMS의 키 관리, 확장 및 클라우드 통합 이점을 얻을 수 있습니다. 이를 수행하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS CloudHSM키 스토어를 참조하십시오.

웹 서버용 SSL/TLS 처리 오프로드

인터넷을 통해 데이터를 안전하게 전송하기 위해 웹 서버는 퍼블릭-프라이빗 키 페어와 SSL/TLS 퍼블릭 키 인증서를 사용하여 HTTPS 세션을 설정합니다. 이 프로세스에는 웹 서버의 계산 작업이 많이 필요하지만 이 중 일부를 AWS CloudHSM 클러스터로 오프로드하여 보안을 강화하는 동시에 계산 부담을 줄일 수 있습니다. AWS CloudHSM을 통한 SSL/TLS 오프로드 설정에 대한 자세한 내용은 SSL/TLS 오프로드 섹션을 참조하십시오.

TDE(Transparent Data Encryption) 활성화

TDE(Transparent Data Encryption)는 데이터베이스 파일을 암호화하는 데 사용됩니다. TDE를 사용하면 데이터베이스 소프트웨어는 데이터를 디스크에 저장하기 전에 암호화합니다. TDE 마스터 암호화 키를 AWS CloudHSM의 HSM에 저장하여 보안을 강화할 수 있습니다. AWS CloudHSM을 통한 Oracle TDE 설정에 대한 자세한 내용은 Oracle Database 암호화 섹션을 참조하십시오.

발급 인증 기관(CA)의 프라이빗 키 관리

인증 기관(CA)은 퍼블릭 키를 ID(개인 또는 조직)에 바인딩하는 디지털 인증서를 발급하는 신뢰할 수 있는 엔터티입니다. CA를 운영하려면 CA에서 발급한 인증서에 서명하는 프라이빗 키를 보호하여 신뢰성을 유지해야 합니다. 이러한 프라이빗 키를 AWS CloudHSM 클러스터에 저장한 다음 HSM을 사용하여 암호화 서명 작업을 수행할 수 있습니다.

무작위 숫자 생성

무작위 숫자를 생성하여 암호화 키를 만드는 것은 온라인 보안의 핵심입니다. AWS CloudHSM은 사용자가 제어하고 사용자에게만 표시되는 HSM에서 무작위 숫자를 안전하게 생성하는 데 사용될 수 있습니다.