Hardware Security Module 개념
    • PDF

    Hardware Security Module 개념

    • PDF

    기사 요약

    Hardware Security Module을 이용하는 전체 시나리오를 학습하기에 앞서 Hardware Security Module에 대한 중요한 몇 가지 개념을 설명합니다. 설명하려는 주요 개념은 다음과 같습니다.

    참고

    Hardware Security Module 개념의 원활한 이해를 위해 용어를 참고해 주십시오.

    서비스 구성

    네이버 클라우드 플랫폼 HSM의 서비스 구성도는 다음과 같습니다.

    hsm-info_architecture_ko

    • HSM Pool: 지역적으로 떨어진 두 Zone에 구성되며, 외부로부터 접근이 철저하게 차단되어 격리 운영됩니다. HSM 생성 요청 시 HSM Pool은 파티션 형태로 생성되어 할당됩니다. 파티션 사용 종료 시 HSM Pool로 반납된 HSM 객체는 SafeNet의 Secure Wipe-off 절차에 따라 즉시 파기되어 안전하게 초기화됩니다.
    • HSM: 사용자 요청 시 사용자 전용으로 할당되는 HSM 리소스로, 각 파티션은 약 500 KB의 용량을 제공하며 256 비트 기준 1600개가량의 키를 저장할 수 있습니다. HSM 파티션은 각각 단독으로 사용하거나 HA 및 백업 구성으로 서로 연결해 사용할 수 있습니다. 생성 시점부터 HSM 파티션 사용 요금이 부과됩니다.
    • 연결: HSM에 접근할 수 있는 유일한 통신 경로입니다. 네이버 클라우드 플랫폼 VPC 상에 SafeNet Luna Client 서버를 생성하고 이 서버 인스턴스를 통해 HSM 파티션에 연결합니다. 연결 생성 시점부터 HSM 연결에 대한 사용 요금이 부과됩니다.
    • HSM Client: HSM 생성 및 연결 설정한 이후부터는 파티션 관리자/사용자만이 SafeNet Luna Client을 통해 HSM 파티션에 접근하고 관리할 수 있습니다.
    주의
    • 초기 설정 정보를 임의로 변경할 경우 HSM을 정상적으로 사용할 수 없습니다.
    • SafeNet Luna Client는 라이선스가 적용되어 있으므로 무단 복제 및 허가받지 않은 사용을 금지합니다. 이에 대한 자세한 내용은 클라이언트 설치 경로에 포함되어 있는 EULA(End User License Agreement) 문서를 참고해 주십시오.

    역할 구성

    SafeNet Luna Network HSM의 설계 정책에 따라 어플라이언스 관리자와 HSM 파티션 관리자/사용자의 역할은 명확하게 구분되어 있습니다. 역할별 설명은 다음과 같습니다.

    역할설명
    어플라이언스 레벨 역할물리 장비와 네트워크 구성에 대한 관리 담당(LunaSH)
    • 네이버 클라우드 플랫폼 콘솔에서 HSM 파티션 생성/삭제
    • 네이버 클라우드 플랫폼 콘솔 HSM 클라이언트 서버와 연결 설정
    • HSM 파티션에 대한 접근 권한은 없음
    파티션 레벨 역할HSM 파티션을 관리하고 사용
    • 파티션 관리자: PO(Partition Security Officer) 또는 LunaCM. HSM 파티션 초기화, PO 자격 증명, 파티션 복제, 파티션 정책 설정, 암호화 관리자 역할 초기화, 파티션 활성화 등
    • 파티션 사용자: 암호화 관리자(Crypto Officer)와 암호화 사용자(Crypto User)로 구성
      • 암호화 관리자: 암호화 객체 생성/수정/삭제, 사용자 애플리케이션을 통한 암호화 작업 수행, 파티션 백업과 복구, HA 그룹 생성, 암호화 사용자 역할 초기화, 연동 설정 등
      • 암호화 사용자: 암호화 키 사용만 가능

    어플라이언스 레벨 역할

    네이버 클라우드 플랫폼 콘솔에서 Hardware Security Module 이용을 신청한 후, VPC에 HSM 클라이언트 서버를 구성하고 HSM과 연결을 설정합니다.

    • Hardware Security Module 이용 신청 : 네이버 클라우드 플랫폼 콘솔에서 Hardware Security Module 이용을 신청합니다.
    • HSM 생성: 네이버 클라우드 플랫폼 콘솔에서 HSM을 생성하여 HSM 파티션을 할당받습니다.
    • HSM 연결: 네이버 클라우드 플랫폼 콘솔에서 HSM 장비와 HSM 클라이언트 서버 간에 연결을 설정합니다.

    파티션 레벨 역할

    파티션 관리자는 SafeNet Luna Client를 통해 HSM 파티션에 독립적으로 접근할 수 있는 권한을 가집니다. SafeNet Luna Client는 네이버 클라우드 플랫폼 VPC상 서버 인스턴스로 구동되는 전용 클라이언트로서, 인증서를 교환하여 HSM 파티션에 연결합니다. SafeNet Luna Client는 다음의 기능을 제공합니다.

    • 사용자 관리: 사용자 추가, 사용자 권한 초기화, 사용자 비밀번호 변경
    • 파티션 관리: 파티션 초기화
    • HA 구성: HA 그룹 생성, HA 그룹 멤버 추가, Standby 설정, HA 전용 모드 설정, 복구 횟수 설정, 로그 설정
    • 연동 설정: Nginx 웹 서버, OpenSSL, Oracle TDE, On-premise HSM
    참고

    SafeNet Luna Network HSM 권한에 대한 자세한 설명은 SafeNet Luna Network HSM의 PRODUCT DOCUMENTATION - User Access Control을 참고해 주십시오.


    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.