Hardware Security Module 개요

Hardware Security Module은 암호화 키를 안전하게 보호하도록 돕는 네이버 클라우드 플랫폼의 하드웨어 모듈입니다. 암호화 키 자체를 특수한 하드웨어 장비에 격리 보관하여 강력한 보안성을 제공합니다. 클라우드 기반이기 때문에 초기 비용 없이 VPC 및 서버 구성, 인증서 등록 과정을 거쳐 간편하게 시작할 수 있습니다.

Hardware Security Module이 제공하는 다양한 기능

Hardware Security Module이 제공하는 다양한 기능에 대한 설명은 다음과 같습니다.

• 강력한 보안: FIPS 140-2 Level 3 인증을 획득한 Thales 사의 SafeNet Luna Network HSM을 기반으로 클라우드 HSM 서비스를 제공합니다. FIPS 140-2 인증은 미국 NIST(National Institute of Standards and Technology)가 발행하는 인증으로, 암호화 모듈뿐만 아니라 암호화 알고리즘까지 평가하는 유일한 국제 인증입니다. FIPS 140-2 Level 3는 HSM이 물리적인 공격에 노출될 경우 저장된 보안키 자체를 삭제하도록 설계된 수준을 보장하므로 가장 강력한 보안을 제공합니다. 또한 Hardware Security Module은 금융 규제, 로컬 데이터 보관과 관련된 국내 컴플라이언스를 완벽하게 준수합니다.
• 다중 암호화(Layered Encryption) 모델 적용: HSM에서 사용되는 모든 데이터 오브젝트는 필요한 시점에 다중 암/복호화를 거쳐 메모리에 로딩되고 사용이 끝나는 즉시 안전하게 제거됩니다. 한 프로세스에서 선점된 메모리 영역은 처리가 끝날 때까지 다른 프로세스와 공유되지 않습니다. HSM 어플라이언스에 무단으로 가해지는 무단으로 물리적 침해 시도는 자체 변조 방지 메커니즘(Tamper protection)에 의해 원천적으로 차단됩니다.
• 격리된 자원 제공: HSM Pool을 유지하는 네트워크는 전용 방화벽에 의해 외부 통신과 격리되어 운영됩니다. HSM Pool로의 네트워크 접근은 실시간 감시되며, 네트워크 구성이 변경 시에는 최소한의 통신 경로만 유지될 수 있도록 관리됩니다. 또한 네이버 클라우드 플랫폼 VPC(Virtual Private Cloud) 상의 SafeNet Luna Client를 통해서만 HSM에 연결할 수 있어 외부와 격리된 통신이 가능하며, 관리되지 않는 네트워크 접근은 차단됩니다.
• 가장 안전한 암호화 키 보호: 일반 서버와 물리적으로 분리된 HSM 장비를 사용하여 서버가 공격을 당해도 안전하며, HSM 장비 내부에서 암복호화 연산을 진행하고 결괏값만 전송하는 화이트박스 방식으로 동작하기에 암호화 키의 유출을 원천적으로 방지할 수 있습니다. 또한 데이터 암호화 작업 오프로드를 통해 서버 부하를 분산시킬 수 있습니다.
• 유연한 구조 변경: HSM을 증설해야 하거나 이미 생성한 HSM이 불필요할 때 간단하게 파티션을 생성 및 삭제할 수 있고, HA 구성이나 IDC 분리 등 백업 및 복구를 위한 구성도 가능합니다. 또한 HSM 어플라이언스 설치 상면 구성, 방화벽 설정 등 네트워크 구성을 간단하게 수행할 수 있습니다.
• 손쉬운 서드파티 연동: 다양한 제3자의 서비스 및 애플리케이션과 연동 가능합니다. 연동할 수 있는 서버 및 애플리케이션은 다음과 같습니다.
  • Nginx 웹서버: Nginx 웹서버 SSL 인증서를 HSM을 통해 생성/저장할 수 있도록 연동 기능을 제공합니다.
  • OpenSSL: OpenSSL 암호화 키를 HSM을 통해 생성/저장할 수 있도록 연동 기능을 제공합니다.
  • Oracle TDE(Transparent Data Encryption): Oracle TDE 마스터 암호화 키를 HSM에서 생성 관리할 수 있도록 연동 기능을 제공합니다.
  • On-premise HSM: On-premise HSM 시스템을 네이버 클라우드 플랫폼 HSM 클라이언트에서 관리할 수 있도록 연동 기능을 제공합니다. 기존에 구성된 HSM에 대한 백업 또는 확장 용도로 사용할 수 있습니다.

Hardware Security Module 사용 가이드 안내

Hardware Security Module의 원활한 이용을 위해 다음 목차와 목차별 내용을 확인해 주십시오.

• Hardware Security Module 개요: HSM 소개 및 이용에 도움이 되는 연관 리소스 안내
• Hardware Security Module 사용 준비: HSM을 이용하기 위한 지원 사양 및 이용 요금 안내
• Hardware Security Module 개념: HSM의 서비스 구성 및 역할 구성 안내
• Hardware Security Module 시나리오: HSM을 이용하는 전체 프로세스 안내
• Hardware Security Module 시작: HSM 이용을 시작하는 방법 안내
  • 이용 신청 및 해지: 서비스 이용 신청 및 해지 방법 안내
• Hardware Security Module 사용: HSM을 사용하는 방법 안내
  • HSM 생성: 네이버 클라우드 플랫폼 콘솔에서 HSM을 생성하는 방법 안내
  • HSM 연결: 네이버 클라우드 플랫폼 콘솔에서 HSM을 클라이언트와 연결하는 방법 안내
  • SafeNet Luna Client 사용: SafeNet Luna Client에서 HSM을 사용하는 방법 안내
  • HA 구성: SafeNet Luna Client에서 HA(이중화 구조) 구성하는 방법 안내
• Hardware Security Module 연동: 상용 서버 및 애플리케이션과 연동 설정하는 방법 안내
  • Nginx 연동: Nginx 웹서버와 연동하는 절차 안내
  • OpenSSL 연동: OpenSSL과 연동하는 절차 안내
  • Oracle DB TDE 연동: Oracle DB TDE와 연동하는 절차 안내
  • On-premise HSM 연동: On-premise HSM과 연동하는 절차 안내
• Hardware Security Module 권한 관리: Sub Account를 활용한 Hardware Security Module 권한 관리 방법 안내
• Hardware Security Module 용어: Hardware Security Module 사용 시 반드시 알아두어야 할 주요 용어와 해설 안내
• Hardware Security Module 릴리스 노트: Hardware Security Module 사용 가이드 업데이트 이력

Hardware Security Module 연관 리소스

네이버 클라우드 플랫폼에서는 Hardware Security Module에 대한 고객의 이해를 돕기 위해 사용 가이드 외에도 다양한 연관 리소스를 제공하고 있습니다. Hardware Security Module을 도입하기 위해 고민 중이거나 데이터 관련 정책을 수립하면서 자세한 정보가 필요한 개발자, 마케터 등은 다음 리소스를 적극 활용해 보십시오.

• Hardware Security Module에 대한 이해와 사용 방법 고도화
  • Hardware Security Module 블로그 리포트: 네이버 클라우드 플랫폼 공식 블로그에 소개된 데이터 보안 및 Hardware Security Module에 대한 자세한 리포트
  • 요금 소개, 특징, 상세 기능: Hardware Security Module의 요금 체계, 특징, 상세 기능 요약
  • 서비스 최신 소식: Hardware Security Module 관련 서비스 최신 소식
  • 자주 하는 질문: Hardware Security Module 사용자들이 자주 하는 질문
  • 문의하기: 사용 가이드를 통해서도 궁금증이 해결되지 않는 경우 직접 문의
• Hardware Security Module 이용에 필요한 연동 서비스 사용 가이드
  • Sub Account 사용 가이드: Hardware Security Module의 운영 권한 관리를 도와주는 Sub Account 사용 방법 안내