Microsoft Azure Cloud HSM은 업계 표준을 준수하는 고가용성 FIPS 140-3 수준 3의 유효성을 검사한 단일 테넌트 서비스입니다. Azure Cloud HSM은 고객에게 HSM(하드웨어 보안 모듈)에 대한 완전한 관리 권한을 부여합니다. 암호화 키를 저장하고 암호화 작업을 수행하기 위한 보안 및 고객 소유 HSM 클러스터를 제공합니다.
Azure Cloud HSM은 PKCS#11, SSL(Secure Sockets Layer) 또는 TLS(전송 계층 보안) 처리 오프로드, CA(인증 기관) 프라이빗 키 보호 및 TDE(투명한 데이터 암호화)를 비롯한 다양한 애플리케이션을 지원합니다. 문서 및 코드 서명도 지원합니다.
Azure Cloud HSM을 사용하는 이유는 무엇인가요?
완전 관리형 솔루션
많은 고객은 HSM에 대한 관리 제어가 필요하지만 고가용성, 패치 및 유지 관리를 위해 클러스터 관리와 함께 발생하는 오버헤드 및 보조 비용을 원하지 않습니다. Azure Cloud HSM 고객은 가상 네트워크의 프라이빗 전용 링크를 통해 HSM 클러스터의 HSM 인스턴스에 대한 안전하고 직접적인 엔드 투 엔드 암호화 액세스를 가합니다.
고객이 Azure Cloud HSM 클러스터를 프로비전한 후 고객은 HSM에 대한 관리 액세스를 유지 관리합니다. Azure Cloud HSM 서비스는 고가용성, 패치 및 유지 관리를 처리합니다.
고객 소유, 고가용성, 단일 테넌트 HSM 서비스
Azure Cloud HSM은 여러 HSM을 HSM 클러스터로 그룹화하여 고가용성 및 중복성을 제공합니다. 서비스는 각 HSM 인스턴스에서 키와 정책을 자동으로 동기화합니다.
각 HSM 클러스터는 3개의 HSM 파티션으로 구성됩니다. HSM 리소스를 사용할 수 없게 되면 HSM 클러스터에 대한 멤버 파티션이 자동으로 안전하게 정상 노드로 마이그레이션됩니다.
Azure Cloud HSM 클러스터는 암호화 작업의 부하 분산을 지원합니다. 정기적인 HSM 백업은 안전하고 간단한 데이터 복구를 보장하는 데 도움이 됩니다.
데이터 보존: 클라우드 HSM은 고객이 HSM 인스턴스를 배포하는 지역 외부에 고객 데이터를 저장하거나 처리하지 않습니다.
단일 테넌트 HSM 클러스터
각 Azure Cloud HSM 인스턴스는 단일 고객 전용입니다. 각 HSM 클러스터는 암호화를 통해 격리하는 별도의 고객별 보안 도메인을 사용합니다.
FIPS 140-3 수준 3 준수
많은 조직에서는 암호화 키를 FIPS 140-3 수준 3 유효성이 검사된 HSM에 저장해야 한다고 규정하는 엄격한 업계 규정을 가지고 있습니다. Azure Cloud HSM은 다양한 산업 부문(금융 서비스 산업, 정부 기관 등)의 고객이 이러한 FIPS 요구 사항을 충족할 수 있도록 지원합니다.
Azure Cloud HSM 적합성
Azure Cloud HSM은 다음을 지원합니다.
- PKCS#11, OpenSSL, JCA(Java Cryptography Architecture), JCE(Java Cryptography Extension), Cryptography API: Next Generation(CNG) 및 KSP(키 스토리지 공급자).
- AD CS(Active Directory Certificate Services).
- SSL/TLS 오프로드(Apache 또는 NGINX).
- TDE(Microsoft SQL Server 또는 Oracle).
- 인증서 스토리지
- 문서, 파일 및 코드 서명입니다.
Azure Cloud HSM은 아닙니다:
- 베어메탈 HSM 어플라이언스.
- 비밀 저장소입니다.
- 인증서 수명 주기 관리를 위한 제품입니다.
가장 적합한 경우
Azure Cloud HSM은 다음 유형의 시나리오에 가장 적합합니다.
- 온-프레미스에서 Azure Virtual Machines로 애플리케이션 마이그레이션
- Azure Dedicated HSM 또는 AWS Cloud HSM에서 애플리케이션 마이그레이션
- PKCS#11이 필요한 애플리케이션 지원
- Azure Virtual Machines에서 Apache 또는 NGINX SSL 오프로딩, SQL Server 또는 Oracle TDE 및 AD CS와 같은 축소 래핑된 소프트웨어 실행
적합하지 않음
Azure Cloud HSM은 다른 PaaS(Platform as a Service) 또는 SaaS(Software as a Service) Azure 서비스와 통합되지 않습니다. Azure Cloud HSM은 IaaS(Infrastructure as a Service)입니다.
Azure Cloud HSM은 고객 관리형 키를 사용하여 암호화를 지원해야 하는 Microsoft 클라우드 서비스에 적합하지 않습니다. 이러한 서비스에는 Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage 및 Microsoft Purview 고객 키가 포함됩니다. 이러한 시나리오의 경우 고객은 Azure Key Vault 관리형 HSM을 사용해야 합니다.
관련 콘텐츠
이러한 리소스는 기존 가상 네트워크 환경에 HSM의 프로비전 및 구성을 용이하게 하는 데 도움이 됩니다.