구현 - AWS 권장 가이드
비용, 편의성 및 제어성능 및 암호화 유형키 스토리지 위치액세스 제어감사 및 로깅

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

구현

이 전략에서 아키텍처는 암호화 표준의 기술적 구현을 의미합니다. 이 섹션에는 AWS Key Management Service (AWS KMS) 및 AWS 서비스와 같은 AWS CloudHSM가 정책 및 표준에 따라 data-at-rest 암호화 전략을 구현하는 데 도움이 되는 방법에 대한 정보가 포함되어 있습니다.

AWS KMS 는 데이터를 보호하는 데 사용되는 암호화 키를 생성하고 제어하는 데 도움이 되는 관리형 서비스입니다. KMS 키는 서비스를 암호화되지 않은 상태로 두지 않습니다. KMS 키를 사용하거나 관리하기 위해와 상호 작용 AWS KMS하며 많은가와 통합 AWS 서비스 됩니다 AWS KMS.

AWS CloudHSM 는 AWS 환경에서 하드웨어 보안 모듈(HSMs)을 생성하고 유지 관리하기 위한 암호화 서비스입니다. HSMs은 암호화 작업을 처리하고 암호화 키에 대한 보안 스토리지를 제공하는 컴퓨팅 디바이스입니다. 표준에 따라 FIPS 140-2 레벨 3 검증 하드웨어를 사용해야 하거나 표준에 따라 PKCS#11, Java Cryptography Extensions(JCE) 및 Microsoft CryptoNG(CNG)와 같은 업계 표준 APIs를 사용해야 하는 경우를 사용하는 것이 좋습니다 AWS CloudHSM.

를 용 사용자 지정 키 스토어 AWS CloudHSM 로 구성할 수 있습니다 AWS KMS. 이 솔루션은의 편의성과 서비스 통합 AWS KMS 을에서 AWS CloudHSM 클러스터를 사용할 때의 추가 제어 및 규정 준수 이점과 결합합니다 AWS 계정. 자세한 내용은 사용자 지정 키 스토어(AWS KMS 문서)를 참조하세요.

이 문서에서는 기능을 대략 AWS KMS 적으로 설명하고 AWS KMS 가 정책 및 표준을 해결하는 방법을 설명합니다.

비용, 편의성 및 제어

AWS KMS 는 다양한 유형의 키를 제공합니다. 일부는에서 소유하거나 관리하며 AWS, 다른 일부는 고객이 생성하고 관리합니다. 키 및 비용 고려 사항에 대해 원하는 제어 수준에 따라 이러한 옵션 중에서 선택할 수 있습니다.

  • AWS 소유 키 -는 이러한 키를 AWS 소유 및 관리하며 여러에서 사용됩니다 AWS 계정. 일부 AWS 서비스 는 AWS 소유 키를 지원합니다. 이러한 키를 무료로 사용할 수 있습니다. 이 키 유형을 사용하면 키 수명 주기 및 액세스 관리로 인한 비용과 관리 오버헤드를 피할 수 있습니다. 이러한 유형의 키에 대한 자세한 내용은 AWS 소유 키(AWS KMS 문서)를 참조하세요.

  • AWS 관리형 키 - AWS 서비스 가와 통합되면 AWS KMS사용자를 대신하여 이러한 유형의 키를 생성, 관리 및 사용하여 해당 서비스의 리소스를 보호할 수 있습니다. 이러한 키는에서 생성되며 AWS 계정만 사용할 AWS 서비스 수 있습니다. AWS 관리형 키에는 월별 요금이 부과되지 않습니다. 프리 티어를 초과하여 사용할 경우 요금이 부과될 수 있지만, 일부는 이러한 비용을 AWS 서비스 부담합니다. 자격 증명 정책을 사용하여 이러한 키에 대한 보기 및 감사 액세스를 제어할 수 있지만는 키 수명 주기를 AWS 관리합니다. 이러한 유형의 키에 대한 자세한 내용은 AWS 관리형 키(AWS KMS 문서)를 참조하세요. 와 통합되는의 전체 목록은 AWS 서비스 통합(AWS 마케팅)을 AWS 서비스 AWS KMS참조하세요.

  • 고객 관리형 키 - 이러한 유형의 키를 생성, 소유 및 관리하고 키 수명 주기를 완전히 제어할 수 있습니다. 업무 분리의 경우 자격 증명 및 리소스 기반 정책을 모두 사용하여 키에 대한 액세스를 제어할 수 있습니다. 자동 키 교체를 설정할 수도 있습니다. 고객 관리형 키에는 월별 요금이 부과되며 프리 티어를 초과하면 사용 요금도 부과됩니다. 이러한 유형의 키에 대한 자세한 내용은 고객 관리형 키(AWS KMS 문서)를 참조하세요.

키 스토리지 및 사용에 대한 자세한 내용은 AWS Key Management Service 요금(AWS 마케팅)을 참조하세요.

성능 및 암호화 유형

표준에서 선택한 암호화 유형에 따라 두 가지 유형의 KMS 키를 사용할 수 있습니다.

  • 대칭 - 모든 AWS KMS key 유형은 대칭 암호화를 지원합니다. 고객 관리형 키를 암호화할 때 AES-256-GCM을 사용한 암호화 및 복호화에 단일 강도 키를 사용할 수 있습니다.

  • 비대칭 - 고객 관리형 키는 비대칭 암호화를 지원합니다. 용도에 따라 다양한 키 강도와 알고리즘 중에서 선택할 수 있습니다. 비대칭 키는 RSA를 사용하여 암호화 및 복호화할 수 있으며 RSA 또는 ECC를 사용하여 작업에 서명하고 확인할 수 있습니다. 비대칭 키 알고리즘은 본질적으로 역할을 분리하고 키 관리를 간소화합니다. 에서 비대칭 암호화를 사용하는 경우 AWS KMS키 교체 및 외부 키 구성 요소 가져오기와 같은 일부 작업은 지원되지 않습니다.

대칭 및 비대칭 키가 지원하는 AWS KMS 작업에 대한 자세한 내용은 키 유형 참조(AWS KMS 설명서)를 참조하세요.

봉투 암호화

봉투 암호화가 내장되어 있습니다 AWS KMS. 에서는 일반 텍스트 또는 암호화된 형식으로 데이터 키를 AWS KMS생성합니다. 암호화된 데이터 키는 KMS 키로 암호화됩니다. KMS 키를 AWS CloudHSM 클러스터의 사용자 지정 키 스토어에 저장할 수 있습니다. 봉투 암호화의 이점에 대한 자세한 내용은 섹션을 참조하세요봉투 암호화 정보.

키 스토리지 위치

정책을 사용하여 AWS KMS 리소스에 대한 액세스를 관리합니다. 정책은 누가 어떤 리소스에 액세스할 수 있는지 설명합니다. AWS Identity and Access Management (IAM) 보안 주체에 연결된 정책을 자격 증명 기반 정책 또는 IAM 정책이라고 합니다. 다른 종류의 리소스에 연결된 정책을 리소스 정책이라고 합니다. AWS KMS 에 대한 리소스 정책을 키 정책이라고 AWS KMS keys 합니다. 모든 KMS 키에는 키 정책이 있습니다.

키 정책은 암호화 키를 중앙 위치에 저장하거나 데이터에 더 가깝게 분산된 방식으로 저장할 수 있는 유연성을 제공합니다. 에서 KMS 키를 저장할 위치를 결정할 때 다음 AWS KMS 기능을 고려하세요. AWS 계정

  • 단일 리전 인프라 지원 - 기본적으로 KMS 키는 리전별로 다르며 암호화 AWS KMS 되지 않은 상태로 두지 않습니다. 표준에 특정 지리적 위치에서 키를 제어하기 위한 엄격한 요구 사항이 있는 경우 단일 리전 키를 사용하여 탐색합니다.

  • 다중 리전 인프라 지원 -는 다중 리전 키라고 하는 특수 목적 키 유형도 지원합니다. AWS KMS 여러에 데이터를 저장하는 AWS 리전 것은 재해 복구를 위한 일반적인 구성입니다. 다중 리전 키를 사용하면 다시 암호화하지 않고도 리전 간에 데이터를 전송할 수 있으며, 각 리전에 동일한 키가 있는 것처럼 데이터를 관리할 수 있습니다. 이 기능은 암호화 인프라가 액티브-액티브 구성의 여러 리전에 걸쳐 있어야 하는 표준의 경우 매우 유용합니다. 자세한 내용은 다중 리전 키(AWS KMS 문서)를 참조하세요.

  • 중앙 집중식 관리 - 표준에 따라 중앙 위치에 키를 저장해야 하는 경우 AWS KMS 를 사용하여 모든 암호화 키를 단일에 저장할 수 있습니다 AWS 계정. 키 정책을 사용하여 동일한 리전의 다른 계정에 있을 수 있는 다른 애플리케이션에 대한 액세스 권한을 부여합니다. 중앙 집중식 키 관리는 키 수명 주기 및 키 액세스 제어 관리의 관리 오버헤드를 줄일 수 있습니다.

  • 외부 키 구성 요소 - 외부에서 생성된 키 구성 요소를 로 가져올 수 있습니다 AWS KMS. 이 기능에 대한 지원은 단일 및 다중 리전 대칭 키에 사용할 수 있습니다. 대칭 키의 구성 요소는 외부에서 생성되므로 생성된 키 구성 요소를 보호할 책임은 사용자에게 있습니다. 자세한 내용은 가져온 키 구성 요소(AWS KMS 문서)를 참조하세요.

액세스 제어

에서는 정책 AWS KMS, IAM 정책권한 부여와 같은 정책 메커니즘을 사용하여 세분화된 수준의 액세스 제어를 구현할 수 있습니다. 이러한 제어를 사용하면 관리자, 데이터를 암호화할 수 있는 키 사용자, 데이터를 복호화할 수 있는 키 사용자, 데이터를 암호화 및 복호화할 수 있는 키 사용자와 같은 역할을 기반으로 직무 분리를 설정할 수 있습니다. 자세한 내용은 인증 및 액세스 제어(AWS KMS 문서)를 참조하세요.

감사 및 로깅

AWS KMS 는 로깅 및 모니터링 목적으로 AWS CloudTrail 및 Amazon EventBridge와 통합됩니다. 모든 AWS KMS API 작업은 CloudTrail 로그에 기록되고 감사 가능합니다. Amazon CloudWatch, EventBridge 및 AWS Lambda 를 사용하여 알림 및 자동 문제 해결을 구성하는 사용자 지정 모니터링 솔루션을 설정할 수 있습니다. 자세한 내용은 로깅 및 모니터링(AWS KMS 문서화)을 참조하세요.