CloudHSM
•
AWS에서 제공하는 하드웨어 암호화 장비를 통한 하드웨어 방식의 암호화
•
KMS와 다르게 암호화 키 관리는 사용자가 해야함
•
고객 제공 키(SSE-C, Customer Provided Keys)에 적합한 방식
•
HSM에 들어 있는 정보(키)는 외부에 복사 및 재생성이 되지 않는다.
CloudHSM 특징
•
CloudHSM은 AWS에서 사용할 수 있는 HSM 하드웨어이다.
•
CloudHSM은 HSM을 사용하여 암호화 키를 생성하고 관리한다.
•
KMS와 달리 이용자의 전용 하드웨어를 사용해서 직접적으로 키를 관리 할 수도 있다.
◦
(키 관리에 관한 Compliance 규칙이 있다면 KMS가 아닌 CloudHSM을 사용한다.)
•
높은 보안 수준: HSMs are FIPS 140-2 level-3 validated
◦
제공되는 하드웨어는 전 세계적인 암호화 하드웨어 표준인 FIPS 140-2 레벨 3 인증을 받아 신뢰성이 높다.
•
키에 관한 암호화, 알고리즘와 같은 부분에 관한 권한은 모두 부여한다.
◦
→ 유저가 맘대로 암호화 알고리즘을 지정할 수 있다.
CloudHSM와 KMS의 차이점
•
두 서비스는 비슷하며 키 암호화 한다는 점이 같다. 하지만 차이점이 있다.
•
KMS에서는 키 관리를 AWS 측에서 담당하는 반면(Fully Managed), CloudHSM에서는 키의 생성, 저장, 삭제 등의 라이프사이클 관리를 사용자가 직접 수행한다.
•
운영 측면에서도 CloudHSM은 다른 AWS 사용자와 분리하기 위해 Amazon VPC 내에 프로비저닝해야 하므로, KMS보다 더 높은 보안성이 요구된다.
•
또한, CloudHSM은 전용 하드웨어를 사용하기 때문에 KMS에 비해 이용 요금이 더 비싸다.
•
법령이나 규제 요건에 따라 인증된 하드웨어로 암호화 키를 관리해야 하는 경우에는 CloudHSM를 주로 사용한다.