질문과 대답(FAQ)

HSM(하드웨어 보안 모듈)은 암호화 키를 보호하고 관리하는 데 사용되는 물리적 컴퓨팅 디바이스입니다. HSM에 저장된 키는 암호화 작업에 사용할 수 있습니다. 키 자료는 변조 방지 및 변조 확인 하드웨어 모듈에서 안전하게 유지됩니다. HSM을 사용하면 인증되고 권한이 부여된 애플리케이션만 키를 사용할 수 있습니다. 키 자료는 HSM 보호 경계를 벗어나지 않습니다.

Azure Dedicated HSM은 고객의 가상 네트워크에 직접 연결된 Azure 데이터 센터에서 호스팅되는 HSM을 제공하는 클라우드 기반 서비스입니다. 이러한 HSM은 전용 Thales Luna 7 HSM 네트워크 어플라이언스입니다. 고객의 개인 IP 주소 공간에 직접 배포되며, Microsoft는 HSM의 암호화 기능에 액세스할 수 없습니다. 이러한 디바이스에 대한 완전한 관리 및 암호화 제어 권한은 고객에게만 있습니다. 고객은 디바이스 관리에 대한 책임이 있으며, 디바이스에서 전체 활동 로그를 직접 가져올 수 있습니다. Dedicated HSM을 사용하면 고객이 FIPS 140-2 수준 3, HIPAA, PCI-DSS, eIDAS 및 기타 등등의 규정 준수/규제 요구 사항을 충족할 수 있습니다.

온보딩 및 Azure Dedicated HSM 사용 자격을 갖추려면 고객은 할당된 Microsoft 영업 담당자가 있어야 하고 연간 약정된 전체 Azure 수익에서 오백만($5M) USD 이상의 금전적 요구 사항을 충족해야 합니다.

Microsoft는 Azure Dedicated HSM 서비스 제공을 위해 Thales와 제휴 관계를 맺고 있습니다. 사용되는 특정 디바이스는 Thales Luna 7 HSM 모델 A790입니다. 이 디바이스는 FIPS 140-2 수준 3 검증 펌웨어를 제공할 뿐만 아니라 10개의 파티션을 통해 짧은 대기 시간, 고성능 및 대용량도 제공합니다.

HSM은 TLS(전송 계층 보안), 데이터 암호화, PKI(공개 키 인프라), DRM(디지털 권한 관리) 및 문서 서명과 같은 암호화 기능에 사용되는 암호화 키를 저장하는 데 사용됩니다.

고객은 PowerShell 또는 명령줄 인터페이스를 사용하여 HSM을 특정 지역에 프로비전할 수 있습니다. 고객은 HSM이 연결될 가상 네트워크를 지정하고, 프로비전되면 HSM은 고객의 개인 IP 주소 공간에 할당된 IP 주소로 지정된 서브넷에서 사용할 수 있습니다. 다음으로, 고객은 어플라이언스 관리 및 운영을 위해 SSH를 사용하여 HSM에 연결하고, HSM 클라이언트 연결을 설정하고, HSM을 초기화하고, 파티션을 만들고, 파티션 책임자, 암호화 책임자 및 암호화 사용자와 같은 역할을 정의 및 할당할 수 있습니다. 그런 다음, 고객은 Thales에서 제공한 HSM 클라이언트 도구/SDK/소프트웨어를 사용하여 애플리케이션에서 암호화 작업을 수행합니다.

일단 Microsoft에서 프로비전하면 Thales는 HSM 디바이스용 소프트웨어를 모두 제공합니다. 이 소프트웨어는 Thales 고객 지원 포털에서 사용할 수 있습니다. 전용 HSM 서비스를 사용하는 고객은 Thales 지원에 등록해야 하며, 관련 소프트웨어에 대한 액세스 및 다운로드를 가능하게 하는 고객 ID를 가지고 있어야 합니다. 지원되는 클라이언트 소프트웨어는 FIPS 140-2 수준 3 검증 펌웨어 버전 7.0.3과 호환되는 버전 7.2입니다.

다음 항목에서는 Dedicated HSM 서비스를 사용할 때 추가 비용이 발생합니다.

• Dedicated HSM 서비스에 전용 온-프레미스 백업 디바이스를 사용할 수 있지만, 추가 비용이 발생하며 Thales에서 직접 구매해야 합니다.
• 전용 HSM은 10개 파티션 라이선스로 제공됩니다. 고객은 더 많은 파티션을 요청하고 Thales에서 직접 공급되는 더 많은 라이선스에 대해 비용을 지불할 수 있습니다.
• Dedicated HSM을 사용하려면 디바이스 구성을 위한 가상 머신과 같은 리소스 및 네트워킹 인프라(가상 네트워크, VPN Gateway 등)가 필요합니다. 이러한 리소스는 추가 비용을 발생시키며, Dedicated HSM 서비스 가격 책정에 포함되지 않습니다.

아니요. 현재, Azure Dedicated HSM은 HSM에 암호 기반 인증만 제공합니다.

아니요. Azure Dedicated HSM 서비스는 기능 모듈을 지원하지 않습니다.

Microsoft는 전용 HSM 서비스를 통해서만 Thales Luna 7 HSM 모델 A790을 제공하며, 고객 제공 디바이스를 호스트할 수 없습니다.

Azure 전용 HSM 서비스에는 Thales Luna 7 HSM이 사용됩니다. 이러한 디바이스는 HSM 관련 결제 기능(PIN 또는 EFT 등) 또는 인증을 지원하지 않습니다. 이후 Azure 전용 HSM 서비스에서 결제 HSM을 지원하길 원하면 해당 Microsoft 계정 담당자에게 의견을 알려주세요.

2022년 10월 기준으로 Dedicated HSM은 22개 지역에서 제공됩니다. 추가 지역이 예정되어 있으며, 자세한 정보가 필요하면 Microsoft 계정 담당자에게 문의하시기 바랍니다.

• 미국 동부
• 미국 동부 2
• 미국 서부
• 미국 서부 2
• 캐나다 동부
• 캐나다 중부
• 미국 중남부
• 동남 아시아
• 인도 중부
• 인도 남부
• 일본 동부
• 일본 서부
• 북유럽
• 서유럽
• 영국 남부
• 영국 서부
• 오스트레일리아 동부
• 오스트레일리아 남동부
• 스위스 북부
• 스위스 서부
• US Gov 버지니아
• US Gov 텍사스

Thales에서 제공한 HSM 클라이언트 도구/SDK/소프트웨어를 사용하여 애플리케이션에서 암호화 작업을 수행합니다. 이 소프트웨어는 Thales 고객 지원 포털에서 사용할 수 있습니다. 전용 HSM 서비스를 사용하는 고객은 Thales 지원에 등록해야 하며, 관련 소프트웨어에 대한 액세스 및 다운로드를 가능하게 하는 고객 ID를 가지고 있어야 합니다.

예, 지역 내에서 가상 네트워크 피어링을 사용하여 가상 네트워크 간의 연결을 설정해야 합니다. 지역 간 연결의 경우 VPN Gateway를 사용해야 합니다.

예, Dedicated HSM은 온-프레미스 HSM과 동기화할 수 있습니다. 지점 간 VPN 또는 지점 및 사이트 간 연결을 사용하여 온-프레미스 네트워크와의 연결을 설정할 수 있습니다.

아니요. Azure Dedicated HSM은 가상 네트워크 내에서만 액세스할 수 있습니다.

예, 온-프레미스 Thales Luna 7 HSM이 있으면 가능합니다. 여러 가지 방법이 있습니다. Thales HSM 설명서를 참조하세요.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• 가상: VMware, Hyper-V, Xen, KVM

고가용성을 갖추려면 각 HSM의 파티션을 사용하도록 HSM 클라이언트 애플리케이션 구성을 설정해야 합니다. Thales HSM 클라이언트 소프트웨어 설명서를 참조하세요.

Azure 전용 HSM은 Thales Luna 7 HSM 모델 A790 디바이스를 사용하며 암호 기반 인증을 지원합니다.

PKCS#11, Java(JCA/JCE), Microsoft CAPI 및 CNG, OpenSSL

예. 적절한 Thales 마이그레이션 가이드는 해당 Thales 담당자에게 문의하세요.

아니요. Azure Dedicated HSM 서비스는 기능 모듈을 지원하지 않습니다.

Azure Dedicated HSM은 HSM을 사용하는 온-프레미스 애플리케이션으로 마이그레이션하는 기업에 적합합니다. Dedicated HSM은 최소한의 변경으로 애플리케이션을 마이그레이션하는 옵션을 제공합니다. Azure VM 또는 Web App에서 실행되는 애플리케이션의 코드에서 암호화 작업이 수행되는 경우 Dedicated HSM을 사용할 수 있습니다. 일반적으로 IaaS(Infra as a Service) 모델에서 실행되어 HSM을 키 저장소로 지원하는 수축 포장형 소프트웨어는 Dedicate HSM을 사용할 수 있습니다. 예를 들어 키가 없는 TLS용 애플리케이션 게이트웨이 또는 트래픽 관리자, ADCS(Active Directory 인증서 서비스), 이와 유사한 PKI 도구, 문서 서명에 사용되는 도구/애플리케이션, 코드 서명 또는 EKM(확장 가능 키 관리) 공급자를 사용하여 HSM의 기본 키가 있는 TDE(투명한 데이터베이스 암호화)로 구성된 SQL Server(IaaS)가 있습니다. Azure Key Vault는 "클라우드 태생"의 애플리케이션 또는 고객 데이터가 PaaS(Platform as a Service) 또는 SaaS(Software as a Service) 시나리오에서 처리되는 저장 데이터 암호화 시나리오(예: Office 365 고객 키, Azure Information Protection, Azure Disk Encryption, 고객 관리 키를 사용하는 Azure Storage 암호화, 고객 관리 키를 사용하는 Azure SQL)에 적합합니다.

Azure Dedicated HSM은 이미 HSM을 사용하고 있는 Azure로 온-프레미스 애플리케이션을 마이그레이션하는 마이그레이션 시나리오에 가장 적합하며, 애플리케이션을 최소한의 변경으로 Azure로 마이그레이션하기 위한 마찰이 적은 방법을 제공합니다. Azure VM 또는 Web App에서 실행되는 애플리케이션의 코드에서 암호화 작업이 수행되는 경우 Dedicated HSM을 사용할 수 있습니다. 일반적으로 IaaS(Infrarastructure as a Service) 모델에서 실행되어 HSM을 키 저장소로 지원하는 수축 포장형 소프트웨어는 Dedicated HSM을 사용할 수 있으며 다음과 같습니다.

• Keyless TLS용 Traffic Manager
• ADCS(Active Directory 인증서 서비스)
• 유사한 PKI 도구
• 문서 서명에 사용되는 도구/애플리케이션
• 코드 서명
• EKM(확장 가능 키 관리) 공급자를 사용하여 HSM의 기본 키가 있는 TDE(투명한 데이터베이스 암호화)로 구성된 SQL Server(IaaS)

아니요. 전용 HSM은 고객의 개인 IP 주소 공간에 직접 프로비전되어 다른 Azure 또는 Microsoft 서비스에서 액세스할 수 없습니다.

예. 각 HSM 어플라이언스는 단일 고객만 전적으로 사용하며, 일단 프로비전되고 관리자 암호가 변경되면 아무도 관리 제어 권한을 갖지 못합니다.

Microsoft에는 HSM에 대한 관리 또는 암호화 제어 권한이 없습니다. Microsoft는 직렬 포트 연결을 통해 수준 액세스를 모니터링하여 온도 및 구성 요소 상태와 같은 기본 원격 분석을 검색하여 Microsoft가 상태 문제에 대한 사전 알림을 제공할 수 있도록 합니다. 필요한 경우 고객은 이 계정을 사용하지 않도록 설정할 수 있습니다.

HSM 디바이스는 일반적인 기본 암호가 포함된 관리자라는 기본 사용자와 함께 제공됩니다. Microsoft는 고객이 프로비전을 기다리며 풀에 디바이스가 있는 동안 기본 암호가 사용되는 것을 원하지 않았습니다. 이것은 Microsoft의 엄격한 보안 요구 사항을 위배하는 것입니다. 이러한 이유로 Microsoft는 프로비저닝을 수행할 때 폐기되는 강력한 암호를 설정했습니다. 또한 프로비전할 때 “테넌트 관리자”라는 관리자 역할의 새 사용자를 만듭니다. "테넌트 관리자" 사용자에게는 기본 암호가 있으며, 고객은 새로 프로비전된 디바이스에 처음 로그인할 때 첫 번째 작업으로 이를 변경합니다. 이러한 프로세스는 높은 보안 수준을 보장하며 고객에 대한 단독 관리 제어라는 약속을 지킬 수 있게 해줍니다. “테넌트 관리자” 사용자는 고객이 해당 계정을 사용하길 원하는 경우 관리자 사용자의 암호를 재설정하기 위해 사용될 수 있습니다.

아니요. Microsoft에는 고객에게 할당된 Dedicated HSM에 저장된 키에 대한 액세스 권한이 없습니다.

아니요. Azure Dedicated HSM은 임대 서비스를 위한 운영 체제 미설치 HSM입니다. Azure 서비스는 고객 데이터를 저장하지 않습니다. 모든 주요 자료와 데이터는 고객 HSM 어플라이언스 내에 저장됩니다. 각 HSM 어플라이언스는 완전한 관리 제어가 있는 단일 고객 한 명 전용입니다.

다른 펌웨어 버전의 특정 기능이 필요한 경우 고객은 소프트웨어/펌웨어 업그레이드를 포함한 모든 관리 권한을 갖습니다. 변경하기 전에 소프트웨어/펌웨어 업그레이드 시나리오에 대해 Thales 지원에 문의하세요.

Dedicated HSM은 SSH를 통해 액세스하여 관리할 수 있습니다.

Thales HSM 클라이언트 소프트웨어는 HSM 및 파티션 관리를 위해 사용됩니다.

고객은 syslog 및 SNMP를 통해 HSM 활동 로그에 대한 모든 액세스 권한을 갖습니다. 고객이 HSM에서 로그 또는 이벤트를 받으려면 syslog 서버 또는 SNMP 서버를 설정해야 합니다.

예. 로그는 HSM 어플라이언스에서 syslog 서버로 보낼 수 있습니다.

예. 고가용성 구성 및 설정은 Thales에서 제공되는 HSM 클라이언트 소프트웨어에서 수행됩니다. 동일한 지역 또는 지역 간에 있는 동일하거나 다른 가상 네트워크의 HSM 또는 사이트 간 VPN이나 지점 간 VPN을 사용하여 가상 네트워크에 연결된 온-프레미스 HSM은 동일한 고가용성 구성에 추가할 수 있습니다. 이렇게 하면 역할과 같은 특정 구성 항목이 아니라 주요 자료만 동기화됩니다.

예. Thales Luna 7 HSM에 대한 고가용성 요구 사항을 충족해야 합니다.

아니요.

HA 그룹의 16개 멤버가 전체 스로틀 테스트에서 뛰어난 결과로 통과했습니다.

전용 HSM 서비스에는 특정 작동 시간 보증이 제공되지 않습니다. 대신 Microsoft는 디바이스에 대한 네트워크 수준의 액세스를 보장하므로 표준 Azure 네트워킹 SLA가 적용됩니다.

Azure 데이터 센터에는 광범위한 물리적 및 절차적 보안 제어 기능이 있습니다. 이 외에도 Dedicated HSM은 데이터 센터의 제한된 액세스 영역에서 호스팅됩니다. 이러한 영역에는 보안을 강화하기 위한 추가적인 물리적 액세스 제어 및 비디오 카메라 감시 기능이 있습니다.

전용 HSM 서비스에는 Thales Luna 7 HSM 어플라이언스가 사용됩니다. 이러한 디바이스는 물리적 및 논리적 변조 탐지를 지원합니다. 변조 이벤트가 있는 경우 HSM은 자동으로 0으로 설정됩니다.

온-프레미스 HSM 백업 디바이스를 사용하여 재해 복구를 위해 HSM을 정기적으로 백업하는 것이 좋습니다. HSM 백업 디바이스에 연결된 온-프레미스 워크스테이션에 대한 피어 간 또는 사이트 간 VPN 연결을 사용해야 합니다.

Microsoft 및 Thales 모두에서 지원이 제공됩니다. 하드웨어 또는 네트워크 액세스 관련 문제가 있으면 Microsoft에 지원을 요청하고, HSM 구성, 소프트웨어, 애플리케이션 개발 관련 문제가 있으면 Thales에 지원을 요청합니다. 문제 범위를 결정할 수 없는 경우 Microsoft에 지원을 요청하면 필요에 따라 Thales 지원을 받을 수 있습니다.

서비스에 등록한 후에는 Thales 고객 지원 포털에서 등록할 수 있는 Thales 고객 ID를 받게 되며, 모든 소프트웨어 및 설명서에 액세스하고 Thales에 직접 지원을 요청할 수 있습니다.

Microsoft는 고객에게 할당된 HSM에 연결할 수 없습니다. 따라서 고객이 HSM을 업그레이드하고 패치해야 합니다.

HSM에 명령줄 다시 부팅 옵션이 있지만 다시 부팅 응답이 간헐적으로 중지되는 문제가 발생하고 있기 때문에 가장 안전한 다시 부팅을 위해 Microsoft에 해당 디바이스를 물리적으로 다시 부팅하도록 지원을 요청하는 것이 가장 좋습니다.

예, 전용 HSM은 FIPS 140-2 수준 3 유효성 검사가 완료된 Thales Luna 7 HSM을 프로비전합니다.

전용 HSM 서비스는 Thales Luna 7 HSM 어플라이언스를 프로비전합니다. 이 어플라이언스에서 지원하는 다양한 암호화 키 유형 및 알고리즘은 다음과 같습니다.

• 비대칭:
  • RSA
  • DSA
  • Diffie-Hellman
  • 타원 곡선
  • 암호화(ECDSA, ECDH, Ed25519, ECIES) - KCDSA(명명된 사용자 정의 Brainpool 곡선) 포함
• 대칭:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • 해시/메시지 다이제스트/HMAC: SHA-1, SHA-2, SM3
  • 키 파생: SP 800-108 카운터 모드
  • 키 래핑: SP 800-38F
  • 난수 생성: FIPS 140-2 승인 DRBG(SP 800-90 CTR 모드) - BSI DRG.4 준수

예. 전용 HSM 서비스는 FIPS 140-2 수준 3 유효성 검사가 완료된 Thales Luna 7 HSM 모델 A790 어플라이언스를 프로비전합니다.

전용 HSM 서비스는 Thales Luna 7 HSM 어플라이언스를 프로비전합니다. 이러한 디바이스는 FIPS 140-2 수준 3 유효성 검사를 받은 HSM입니다. 배포된 기본 구성, 운영 체제 및 펌웨어도 FIPS에서 검증됩니다. FIPS 140-2 수준 3 규정 준수를 위해 어떠한 조치도 취할 필요가 없습니다.

프로비저닝 해제를 요청하기 전에 고객이 Thales에서 제공한 HSM 클라이언트 도구를 사용하여 HSM을 초기화해야 합니다.

전용 HSM은 Thales Luna 7 HSM을 프로비전합니다. 일부 작업의 최대 성능에 대한 요약은 다음과 같습니다.

• RSA-2048: 10,000개 트랜잭션/초
• ECC P256: 20,000개 트랜잭션/초
• AES-GCM: 17,000개 트랜잭션/초

사용된 Thales Luna 7 HSM 모델 A790에는 서비스 비용으로 10개 파티션에 대한 라이선스가 포함됩니다. 디바이스에는 100개 파티션 제한이 있으며, 이 제한까지 파티션을 추가하면 추가 라이선스 비용이 발생할 수 있으며, 디바이스에 새 라이선스 파일을 설치해야 합니다.

최대 키 수는 사용 가능한 메모리에 따라 달라집니다. 사용 중인 Thales Luna 7 모델 A790에는 32MB의 메모리가 있습니다. 비대칭 키를 사용하는 경우 키 쌍에 다음 숫자를 적용할 수도 있습니다.

• RSA-2048 - 19,000개
• ECC-P256 - 91,000개

용량은 키 생성 템플릿에 설정된 특정 키 특성 및 파티션 수에 따라 달라집니다.