기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
내부 작업
이 주제에서는 전 세계적으로 분산되고 확장 가능한 Payment Cryptography 및 키 관리 서비스를 위해 고객 키와 암호화 작업을 보호하기 위해 서비스에서 구현하는 내부 요구 사항을 설명합니다.
HSM 사양 및 수명 주기
AWS 결제 암호화는 상용 HSM을 사용합니다. HSM은 FIPS 140-2 Level 3 인증을 받았으며 펌웨어 버전과 PCI 보안 표준 위원회가 승인한 PCI PTS 디바이스 목록
모든 HSM은 PCI 모드에서 작동하며 PCI PTS HSM 보안 정책에 따라 구성됩니다. AWS 결제 암호화 사용 사례를 지원하는 데 필요한 기능만 사용할 수 있습니다. AWS 결제 암호화는 일반 텍스트 PIN의 인쇄, 표시 또는 반환을 제공하지 않습니다.
HSM 디바이스 물리적 보안
배송 전에 제조업체가 AWS 결제 암호화 인증 기관 (CA) 에서 서명한 장치 키가 있는 HSM만 서비스에서 사용할 수 있습니다. AWS 결제 암호화는 HSM 제조업체 및 장치 인증서에 대한 신뢰의 근원인 제조업체 CA의 하위 CA입니다. 제조업체 CA는 ANSI TR 34를 구현하고 PCI PIN 보안 부록 A 및 PCI P2PE 부록 A를 준수함을 입증했습니다. 제조업체는 결제 암호화 CA에서 서명한 디바이스 키가 있는 모든 HSM이 AWS의 지정 수취인에게 배송되는지 확인합니다. AWS
PCI PIN 보안에서 요구하는 대로 제조업체는 HSM 배송과 다른 통신 채널을 통해 일련번호 목록을 제공합니다. 이러한 일련 번호는 AWS 데이터 센터에 HSM을 설치하는 프로세스의 각 단계에서 확인됩니다. 마지막으로, AWS 결제 암호화 사업자는 설치된 HSM 목록을 제조업체 목록과 비교하여 유효성을 확인한 후 결제 암호화 키를 받을 수 있는 HSM 목록에 일련 번호를 추가합니다. AWS
HSM은 항상 안전한 스토리지에 보관되거나 이중 제어 하에 있으며, 여기에는 다음이 포함됩니다.
-
제조업체에서 AWS 랙 조립 시설로 배송.
-
랙 조립 중.
-
랙 조립 시설에서 데이터 센터로 배송.
-
입고 및 데이터 센터 보안 처리실에 설치. HSM 랙은 카드 액세스 제어 잠금 장치, 알람 도어 센서 및 카메라를 통한 이중 제어 기능을 갖추고 있습니다.
-
작동 중.
-
해체 및 폐기 중.
개별 책임과 함께 각 HSM에 대해 완전한 chain-of-custody 정보를 유지 관리하고 모니터링합니다.
HSM 초기화
HSM은 일련 번호, 제조업체에서 설치한 장치 키, 펌웨어 체크섬을 통해 ID 및 무결성을 확인한 후에만 AWS 결제 암호화 플릿의 일부로 초기화됩니다. HSM의 신뢰성과 무결성이 검증된 후에는 PCI 모드 활성화를 포함하여 HSM이 구성됩니다. 그러면 AWS 결제 암호화 영역 기본 키와 프로필 기본 키가 설정되고 서비스에서 HSM을 사용할 수 있습니다.
HSM 서비스 및 수리
HSM에는 디바이스의 암호화 경계를 위반할 필요가 없는 서비스 가능한 구성 요소가 있습니다. 이러한 구성 요소에는 냉각 팬, 전원 공급 장치 및 배터리가 포함됩니다. HSM 또는 HSM 랙 내의 다른 장치에 서비스가 필요한 경우 랙이 열려 있는 전체 기간 동안 이중 제어가 유지됩니다.
HSM 해제
서비스 해제는 HSM의 장애 end-of-life 또는 장애로 인해 발생합니다. HSM은 정상적으로 작동하는 경우 랙에서 분리되기 전에 논리적으로 제로화된 다음 AWS 데이터 센터의 안전한 처리실 내에서 파기됩니다. 이러한 제품은 수리를 위해 제조업체에 반환되거나, 다른 용도로 사용되지 않으며, 또는 파기 전에 안전한 처리실에서 제거되지 않습니다.
HSM 펌웨어 업데이트
업데이트가 보안과 관련이 있거나 고객이 새 버전의 기능을 활용할 수 있다고 판단되는 경우 PCI PTS HSM 및 FIPS 140-2 (또는 FIPS 140-3) 등재 버전과의 조정을 유지하기 위해 필요한 경우 HSM 펌웨어 업데이트가 적용됩니다. AWS 결제 암호화 HSM은 PCI PTS HSM 등재 버전과 일치하는 펌웨어를 실행합니다. off-the-shelf 새 펌웨어 버전은 PCI 또는 FIPS 인증 펌웨어 버전과의 무결성을 검증한 다음 모든 HSM에 롤아웃하기 전에 기능 테스트를 거칩니다.
운영자 액세스
운영자는 정상적인 운영 중에 HSM에서 수집한 정보만으로는 문제를 식별하거나 변경을 계획하기에 충분하지 않은 경우 콘솔 없이 HSM에 액세스하여 문제를 해결할 수 있습니다. 다음 단계가 실해됩니다.
-
문제 해결 활동이 개발 및 승인되고 비콘솔 세션이 예약됩니다.
-
HSM이 고객 처리 서비스에서 제거됩니다.
-
이중 제어 하에 기본 키가 삭제됩니다.
-
운영자는 콘솔 이외에서도 HSM에 액세스하여 이중 제어 상태에서 승인된 문제 해결 활동을 수행할 수 있습니다.
-
비콘솔이 세션이 종료되면 HSM에서 초기 프로비저닝 프로세스를 수행하여 표준 펌웨어와 구성을 반환한 다음 기본 키를 동기화한 후 HSM을 반환하여 고객에게 서비스합니다.
-
세션 레코드는 변경 내용 추적에 기록됩니다.
-
세션에서 얻은 정보는 향후 변경 계획을 수립하는 데 사용됩니다.
-
콘솔이 아닌 모든 액세스 기록을 검토하여 프로세스 규정 준수 여부와 HSM 모니터링, 관리 프로세스 또는 운영자 교육의 잠재적 변경 사항을 검토합니다. non-console-access
키 관리
리전 내 모든 HSM은 리전 기본 키와 동기화됩니다. 리전 기본 키는 하나 이상의 프로필 기본 키를 보호합니다. 프로필 기본 키는 고객 키를 보호합니다.
모든 기본 키는 HSM에서 생성되며 ANSI X9 TR 34 및 PCI PIN 부록 A에 따라 비대칭 기법을 사용하여 대칭 키 분포를 통해 배포됩니다.
생성
AES 256비트 기본 키는 PCI PTS HSM 난수 생성기를 사용하여 서비스 HSM 플릿용으로 프로비저닝된 HSM 중 하나에서 생성됩니다.
리전 기본 키 동기화
HSM 리전 기본 키는 ANSI X9 TR-34에 따라 정의한 메커니즘을 사용하여 지역 플릿 전반의 서비스에 의해 동기화되며, 여기에는 다음이 포함됩니다.
-
KDH(키 분포 호스트) 와 KRD(키 수신 디바이스) 키 및 인증서를 사용한 상호 인증으로 퍼블릭 키에 대한 인증 및 무결성을 제공합니다.
-
인증서는 PCI PIN Annex A2의 요구 사항을 충족하는 인증 기관(CA)에서 서명합니다. 단, AES 256비트 키를 보호하는 데 적합한 비대칭 알고리즘과 키 강도는 예외입니다.
-
배포된 대칭 키의 식별 및 키 보호는 ANSI X9 TR-34 및 PCI PIN 부록 A1과 일치합니다. 단, AES 256비트 키를 보호하는 데 적합한 비대칭 알고리즘 및 키 강도는 예외입니다.
리전 기본 키는 다음과 같은 방법으로 해당 리전에 대해 인증 및 프로비전된 HSM에 대해 설정됩니다.
-
기본 키는 해당 리전의 HSM에서 생성됩니다. 해당 HSM은 키 분포 호스트로 지정됩니다.
-
해당 리전에 프로비저닝된 모든 HSM은 HSM의 퍼블릭 키와 재생할 수 없는 인증 정보를 포함하는 KRD 인증 토큰을 생성합니다.
-
KDH가 HSM의 ID와 키 수신 권한을 확인한 후 KRD 토큰이 KDH 허용 목록에 추가됩니다.
-
KDH는 각 HSM에 대해 인증 가능한 기본 키 토큰을 생성합니다. 토큰에는 생성 대상 HSM에서만 로드할 수 있는 KDH 인증 정보와 암호화된 기본 키가 포함되어 있습니다.
-
각 HSM에는 이를 위해 빌드된 기본 키 토큰이 전송됩니다. HSM의 자체 인증 정보와 KDH 인증 정보를 검증한 후 KRD 프라이빗 키로 기본 키를 해독하여 기본 키에 로드합니다.
단일 HSM을 특정 리전과 다시 동기화해야 하는 경우:
-
펌웨어 및 구성을 통해 다시 검증되고 프로비저닝됩니다.
-
해당 리전을 처음 사용하는 경우:
-
HSM은 KRD 인증 토큰을 생성합니다.
-
KDH는 토큰을 허용 목록에 추가합니다.
-
KDH는 HSM의 기본 키 토큰을 생성합니다.
-
HSM은 기본 키를 로드합니다.
-
HSM은 서비스에서 사용할 수 있습니다.
-
이를 통해 다음이 보장됩니다.
-
지역 내에서 AWS 결제 암호화 처리가 검증된 HSM만 해당 지역의 마스터 키를 받을 수 있습니다.
-
AWS 결제 암호화 HSM의 마스터 키만 플릿 내 HSM에 배포할 수 있습니다.
리전 기본 키 교체
리전 기본 키는 암호화 기간 만료 시, 키 손상이 의심되는 경우 교체되거나 키 보안에 영향을 미치는 것으로 판단되는 서비스 변경 이후 교체됩니다.
초기 프로비저닝과 마찬가지로 새 리전 기본 키가 생성되고 배포됩니다. 저장된 프로필 기본 키를 새 리전 기본 키로 변환해야 합니다.
리전 기본 키 교체는 고객 처리에 영향을 미치지 않습니다.
프로필 기본 키 동기화
프로필 기본 키는 리전 기본 키로 보호됩니다. 이렇게 하면 프로필이 특정 리전으로 제한됩니다.
프로필 기본 키는 다음에 따라 제공됩니다.
-
프로필 기본 키가 리전 기본 키가 동기화된 HSM에서 생성됩니다.
-
프로필 기본 키가 프로필 구성 및 기타 컨텍스트와 함께 저장되고 암호화됩니다.
-
프로필이 리전 기본 키가 있는 리전의 모든 HSM에서 고객 암호화 기능에 사용됩니다.
프로필 기본 키 교체
프로필 기본 키는 암호화 기간 만료 시, 키 손상이 의심되는 경우 또는 키 보안에 영향을 미치는 것으로 판단되는 서비스 변경 이후 교체됩니다.
교체 단계:
-
새 프로필 기본 키가 생성되고 초기 프로비저닝과 마찬가지로 보류 중인 기본 키로 배포됩니다.
-
백그라운드 프로세스는 고객 키 자료를 설정된 프로필 기본 키에서 보류 중인 기본 키로 변환합니다.
-
보류 중인 키를 사용하여 모든 고객 키를 암호화하면 보류 중인 키가 프로필 기본 키로 승격됩니다.
-
백그라운드 프로세스를 통해 만료된 키로 보호되는 고객 키 구성 요소가 삭제됩니다.
프로필 기본 키 교체는 고객 처리에 영향을 주지 않습니다.
보호
키는 키 계층 구조에만 의존하여 보호됩니다. 모든 고객 키의 손실이나 손상을 방지하려면 기본 키를 보호하는 것이 중요합니다.
리전 기본 키는 백업에서 서비스를 위해 인증되고 프로비저닝된 HSM으로만 복원할 수 있습니다. 이러한 키는 특정 HSM에 대한 특정 KDH의 상호 인증 가능하고 암호화된 기본 키 토큰으로만 저장할 수 있습니다.
프로필 마스터 키는 지역별로 암호화된 프로필 구성 및 컨텍스트 정보와 함께 저장됩니다.
고객 키는 키 블록에 저장되며 프로필 마스터 키로 보호됩니다.
모든 키는 HSM 내에서만 존재하거나 암호화 강도가 같거나 더 강력한 다른 키로 보호되어 저장됩니다.
내구성
거래 암호화 및 비즈니스 기능을 위한 고객 키는 일반적으로 중단이 발생할 수 있는 극한 상황에서도 사용할 수 있어야 합니다. AWS 결제 암호화는 가용 영역 및 지역 전반에 걸쳐 다단계 중복 모델을 활용합니다. AWS 결제 암호화 작업에 대해 서비스에서 제공하는 것보다 더 높은 가용성과 내구성을 원하는 고객은 다중 리전 아키텍처를 구현해야 합니다.
HSM 인증 및 기본 키 토큰은 저장되며 HSM을 재설정해야 하는 경우 기본 키를 복원하거나 새 기본 키와 동기화하는 데 사용할 수 있습니다. 토큰은 필요할 때만 이중 제어 상태에서 보관 및 사용됩니다.
통신 보안
외부
AWS 결제 암호화 API 엔드포인트는 요청 인증 및 무결성에 대한 1.2 이상의 TLS 및 서명 버전 4를 포함한 AWS 보안 표준을 충족합니다.
수신 TLS 연결은 네트워크 로드 밸런서에서 종료되고 내부 TLS 연결을 통해 API 핸들러로 전달됩니다.
Internal
서비스 구성 요소 간 그리고 서비스 구성 요소와 다른 AWS 서비스 간의 내부 통신은 강력한 암호화를 사용하는 TLS로 보호됩니다.
HSM은 서비스 구성 요소에서만 연결할 수 있는 비 가상 사설 네트워크에 있습니다. HSM과 서비스 구성 요소 간의 모든 연결은 TLS 1.2 이상의 상호 TLS(mTLS)로 보호됩니다. TLS 및 MTL용 내부 인증서는 AWS 프라이빗 인증 기관을 사용하는 Amazon 인증서 관리자에서 관리합니다. 내부 VPC와 HSM 네트워크를 모니터링하여 예외가 없는 활동과 구성 변경이 있는지 확인합니다.
고객 키 관리
AWS에서는 고객의 신뢰를 최우선으로 생각합니다. AWS 계정으로 서비스에 업로드하거나 생성한 키를 완전히 제어하고 키에 대한 액세스를 구성할 책임이 있습니다.
AWS 결제 암호화는 서비스에서 관리하는 키에 대한 HSM의 물리적 규정 준수 및 키 관리에 대한 전적인 책임을 집니다. 이를 위해서는 HSM 기본 키의 소유권 및 관리와 AWS 결제 암호화 키 데이터베이스 내에 보호된 고객 키를 저장해야 합니다.
고객 키 스페이스 분리
AWS 결제 암호화는 키를 다른 계정과 명시적으로 공유하지 않는 한 키를 소유한 계정으로 보안 주체를 제한하는 것을 포함하여 모든 키 사용에 대해 키 정책을 적용합니다.
백업 및 복구
AWS는 특정 지역의 키와 키 정보를 암호화된 아카이브에 백업합니다. 아카이브를 복원하려면 이중 제어 기능이 필요합니다. AWS
키 블록
모든 키는 ANSI X9 TR-31 형식 키 블록에 저장됩니다.
에서 지원하는 크립토그램 또는 기타 키 블록 형식에서 키를 서비스로 가져올 수 있습니다. ImportKey 마찬가지로 키를 내보낼 수 있는 경우 키 내보내기 프로필에서 지원하는 다른 키 블록 형식 또는 암호문으로 내보낼 수 있습니다.
키 사용
키 사용은 KeyUsage 서비스에서 구성한 것으로 제한됩니다. 요청된 암호화 작업에 대한 부적절한 키 사용, 사용 모드 또는 알고리즘이 있는 요청은 서비스가 실패합니다.
키 교환 관계
PCI PIN 보안 및 PCI P2PE를 사용하려면 해당 키를 공유하는 데 사용되는 KEK를 포함하여 PIN을 암호화하는 키를 공유하는 조직이 해당 키를 다른 조직과 공유하지 않도록 해야 합니다. 대칭 키는 같은 조직 내를 포함하여 두 당사자 간에만 공유하는 것이 가장 좋습니다. 이렇게 하면 키 손상이 의심되어 영향을 받은 키를 교체해야 하는 등의 영향을 최소화할 수 있습니다.
두 명 이상의 당사자 간에 키를 공유해야 하는 비즈니스 케이스라도 당사자 수를 최소한으로 유지해야 합니다.
AWS 결제 암호화는 해당 요구 사항 내에서 키 사용을 추적하고 적용하는 데 사용할 수 있는 키 태그를 제공합니다.
예를 들어, 서비스 공급자와 공유하는 모든 키에 대해 “KIF”=“POSStation”으로 설정하여 다양한 키 입력 기능에 대한 KEK 및 BDK를 식별할 수 있습니다. 또 다른 예로 결제 네트워크와 공유된 키에 “Network” = “PayCard" 로 태그를 지정하는 경우를 들 수 있습니다. 태그를 사용하면 액세스 제어를 생성하고 감사 보고서를 생성하여 키 관리 방식을 적용하고 입증할 수 있습니다.
키 삭제
DeleteKey 고객이 설정할 수 있는 기간이 지나면 데이터베이스의 키를 삭제하도록 표시합니다. 이 기간이 지나면 키는 복구할 수 없이 삭제됩니다. 이는 실수 또는 악의적으로 키를 삭제하는 것을 방지하기 위한 안전 메커니즘입니다. 삭제 대상으로 표시된 키는 다음을 제외한 모든 작업에 사용할 수 없습니다. RestoreKey
삭제된 키는 삭제 후 7일 동안 서비스 백업에 남아 있습니다. 이 기간 동안에는 복구할 수 없습니다.
폐쇄된 AWS 계정에 속한 키는 삭제하도록 표시됩니다. 삭제 기간이 되기 전에 계정을 다시 활성화하면 삭제 표시된 모든 키는 복원되지만 비활성화됩니다. 암호화 작업에 사용하려면 사용자가 다시 활성화해야 합니다.
로깅 및 모니터링
내부 서비스 로그에는 다음이 포함됩니다.
-
CloudTrail 서비스에서 이루어진 AWS 서비스 호출 로그
CloudWatch 두 이벤트의 로그는 HSM의 CloudWatch 로그 또는 이벤트에 직접 기록됩니다.
HSM 및 서비스 시스템의 로그 파일
로그 보관
모든 로그 소스는 키 정보를 포함한 민감한 정보를 모니터링하고 필터링합니다. 로그를 체계적으로 검토하여 민감한 고객 정보가 포함되어 있지 않은지 확인합니다.
직무 수행에 필요한 개인만 로그에 액세스할 수 있습니다.
모든 로그는 AWS 로그 보존 정책에 따라 보관됩니다.
