On-premise HSM 연동

기존에 사용 중인 On-premise HSM과 네이버 클라우드 플랫폼의 Hardware Security Module을 연동하는 방법을 설명합니다.
On-premise HSM과 네이버 클라우드 플랫폼 Hardware Security Module의 연동 구성도는 다음과 같습니다.

전제 조건

On-premise HSM과의 연동을 시작하기 전, 다음의 전제 조건을 준수해 주십시오.

• 네이버 클라우드 플랫폼 콘솔에서 HSM 생성, 연결 생성 완료
• HSM 클라이언트 서버는 VPC 상에 위치

On-premise HSM 연동 설정

On-premise HSM과의 연동을 설정하려면 다음 작업을 수행해 주십시오.

• HSM 클라이언트 인증서 체인 등록: On-premise HSM에 HSM 클라이언트 인증서 체인을 등록
• HSM 클라이언트 등록: On-premise HSM에 HSM 클라이언트를 등록
• On-premise HSM 연결 확인: HSM 클라이언트에서 On-premise HSM 연결 확인

HSM 클라이언트 인증서 체인 등록

On-premise HSM에 네이버 클라우드 플랫폼 HSM 클라이언트 인증서 체인을 등록하는 방법은 다음과 같습니다.

1. 네이버 클라우드 플랫폼 HSM 클라이언트의 인증서 체인을 다운로드해 주십시오.

   hsmPem.zip

2. 다운로드한 파일을 압축 해제하여 내용을 확인해 주십시오.

   -rw-r--r--@ 1 user  staff   1.6K 11 18 16:09 HSM.pem
   -rw-r--r--@ 1 user  staff   1.2K 11 18 16:09 HsmRootCA.pem
   

3. 인증서 파일을 On-premise HSM 장비에 전송해 주십시오.

   # scp HSM.pem admin@<On-premise HSM>:
   # scp HsmRootCA.pem admin@<On-premise HSM>:
   

4. 전송된 파일을 On-premise HSM에서 확인해 주십시오.

   [On-premise HSM] lunash:> my file list
       1219 Nov 18 16:11 HsmRootCA.pem
       1463 Nov 18 16:11 HSM.pem
   

5. 4번 절차에서 받은 파일을 On-premise HSM의 클라이언트 인증서 체인으로 등록해 주십시오.

   [On-premise HSM] lunash:> client addCA HsmRootCA
   
   [On-premise HSM] lunash:> client addCA HSM
   

6. 등록한 인증서를 확인해 주십시오.

   [On-premise HSM] lunash:>client listCA
   
   HSM
     subject= /C=KR/ST=Gyeonggido/L=Sungnamsi/O=NAVERCloudCorp./CN=HSM
     issuer= /O=Naver Cloud Platform/CN=hsmRootCA
   hsmRootCA
     subject= /O=Naver Cloud Platform/CN=hsmRootCA
     issuer= /O=Naver Cloud Platform/CN=hsmRootCA
   

HSM 클라이언트 등록

네이버 클라우드 플랫폼 HSM 클라이언트를 On-premise HSM의 클라이언트로 등록하는 방법은 다음과 같습니다.

1. 네이버 클라우드 플랫폼 콘솔에서 Services > Security > Hardware Security Module > Connection 메뉴를 차례대로 클릭해 주십시오.
2. 연결 목록에서 On-premise HSM과 연결하려는 HSM 클라이언트를 선택한 후 [HSM 연결 관리] 버튼을 클릭해 주십시오.
3. HSM 연결 관리 팝업 창에서 인증서 [다운로드] 버튼을 클릭하여 서명된 인증서 또는 서명자 인증서를 다운로드해 주십시오.
4. 다운로드한 인증서를 On-premise HSM에 전송해 주십시오.

   # scp <connectionCert>.pem admin@<On-premise HSM>:
   

5. On-premise HSM에서 HSM 클라이언트를 등록해 주십시오.

   [On-premise HSM] lunash:> client register -client <clientname> -hostname <hostname> 
   
   [On-premise HSM] lunash:> client register -client <clientname> -ip <ip>
   

   인자	설명
   clientname	클라이언트 이름
   hostname	클라이언트의 호스트명
   ip	네이버 클라우드 플랫폼 HSM 클라이언트 서버의 공인 IP

6. 5번 절차에서 hostname으로 등록한 경우, hostname에 공인 IP를 연결해 주십시오.

   [On-premise HSM] lunash:> client hostip map -client <clientname> -ip <ip>
   [On-premise HSM] lunash:> client hostip show
   lient Name         Host Name                     Host IP
   ----------------------------------------------------------------------
   ncpHsm              ncpHsm                        x.x.x.x
   

7. 생성한 클라이언트에 사용할 파티션을 연결해 주십시오.

   [On-premise HSM] lunash:> client assignPartition -client <clientname> -partition <partitionname>
   
   ClientID: ncpHsm
   Hostname: ncpHsm
   partitions: "onpremise"
   

On-premise HSM 연결 확인

네이버 클라우드 플랫폼 HSM 클라이언트에서 On-premise HSM이 연결되었는지 확인하는 방법은 다음과 같습니다.

1. HSM 클라이언트에 접속하여 On-premise HSM 파티션이 생성되었는지 확인해 주십시오.

   [root@ncpVpcServer bin]# ./vtl verify
   vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved.
   
   The following Luna SA Slots/Partitions were found:
   
   Slot	Serial #        	Label
   ====	================	=====
     - 	   ************* 	onpremise
     - 	   ************* 	ncpPartition
   

2. On-premise HSM과 HSM 클라이언트 간에 데이터 동기화를 하려면 HA를 구성해 주십시오.
   • HA 구성에 대한 자세한 내용은 HA 구성를 참고해 주십시오.