[AWS] KMS와 CloudHSM

KMS(key management service)

- 클라우드에서 키를 생성, 사용, 관리하고 데이터를 안전하게 암호화하는 데 사용되는 서비스

- ISMS 인증 中 암호키 관리에서 "암호키 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차 수립"에 KMS 사용이 대안이 될 수 있음

 

HSM(hardware security module)

- 하드웨어 기반의 보안 모듈

- 클라우드에서 HSM을 제공하는 서비스

- 간단히 말해 암호화 키를 생성하고 저장하는 역할을 하는 전용 장치

*키 생성 및 저장을 애플리케이션 단에서 하는 것이 아니라 전용 장치로 하는 것임

• H/W Noise를 Source로 해서 난수를 발생시킴
• 서버와 같은 컴퓨터 시스템은 난수를 발생하는 기능을 목적으로 만들어진 장비가 아니므로 S/W 알고리즘을 사용해 난수를 발생시킴

CloudHSM

- HSM를 클라우드에서 서비스하는 것

 

KMS + CloudHSM

- 모두 Amazon Web Services에서 암호화 키 관리를 위해 제공하는 서비스이지만 서로 다른 목적으로 사용됨

• CloudHSM
  • 안전한 키 스토리지 및 암호화 작업을 위한 전용 하드웨어 보안 모듈 제공
  • HSM과 그 안에 있는 키를 완전히 제어할 수 있음
  • 관리 책임은 "사용자"에게 있음
• KMS
  • AWS 서비스 내에서 저장 및 전송 중인 데이터를 암호화하는 데 사용되는 암호화 키에 대한 액세스를 생성, 저장 및 제어하기 위한 "완전관리형 서비스"

결론: CloudHSM은 키 관리를 위한 전용 하드웨어를 제공하며 엄격한 보안 요구 사항에 적합하고 Amazon KMS는 주로 AWS 환경 내에서 일반적인 키 관리 요구 사항을 충족하는 완전관리형 서비스임

 

 

 

참고 사이트

https://hangem-study.readthedocs.io/en/latest/security/hsm/

HSM - Front Study

https://m.blog.naver.com/aepkoreanet/220802334040

암호화키관리와 KMS vs HSM