Azure Managed HSM은 클라우드 애플리케이션에 대해 FIPS 140-3 수준 3 유효성이 검사된 암호화 키 보호를 제공하는 완전 관리형 고가용성 단일 테넌트 HSM(하드웨어 보안 모듈) 서비스입니다. 관리형 HSM은 가장 중요한 암호화 키와 비밀을 보호하므로 위협으로부터 보호하고 비즈니스 연속성을 유지하려면 포괄적인 보안 제어를 구현하는 것이 필수적입니다.
이 문서의 보안 권장 사항은 제로 트러스트 원칙인 "명시적으로 확인", "최소 권한 액세스 사용" 및 "위반 가정"을 구현합니다. 포괄적인 제로 트러스트 지침은 제로 트러스트 지침 센터를 참조하세요.
이 문서에서는 Azure Managed HSM 배포를 보호하는 데 도움이 되는 보안 권장 사항을 제공합니다.
네트워크 보안
네트워크 보안은 보안 연결 및 네트워크 액세스 제어를 통해 관리형 HSM을 보호합니다. 이러한 네트워크 보안 기능은 가장 제한된 기능에서 가장 제한된 기능으로 나열됩니다. 조직의 사용 사례에 가장 적합한 구성을 선택합니다. 모든 네트워크 보안 구성에 대한 자세한 내용은 Azure Key Vault 관리형 HSM에 대한 네트워크 보안을 참조하세요.
공용 네트워크 액세스를 사용하지 않도록 설정하고 프라이빗 엔드포인트만 사용: Azure Private Link를 배포하여 가상 네트워크에 프라이빗 엔드포인트를 만들어 관리형 HSM 인스턴스에 대한 프라이빗 보안 연결을 설정합니다. 공용 네트워크 액세스를 사용하지 않도록 설정하면 공용 네트워크 액세스를 거부하도록 관리형 HSM을 구성하여 공용 IP 주소에서 액세스할 수 없습니다. 이렇게 하면 공용 인터넷에 노출되는 것을 방지하고 Microsoft 백본 네트워크를 통해 모든 트래픽을 라우팅합니다. Azure Private Link와 관리형 HSM 통합을 참조하세요.
신뢰할 수 있는 서비스를 사용하여 관리형 HSM 방화벽 구성: 시나리오에 필요한 경우 설정을 통해
--bypass AzureServices신뢰할 수 있는 특정 Azure 서비스를 허용하면서 공용 인터넷 액세스를 거부하도록 관리형 HSM 방화벽 규칙을 구성합니다. 이렇게 하면 필요한 서비스 통합을 유지하면서 공격 노출 영역을 제한합니다. 자세한 내용은 네트워크 보안: Azure Managed HSM 방화벽 사용(신뢰할 수 있는 서비스만 해당)을 참조하세요.IP 네트워크 방화벽 사용(미리 보기): 네트워크 시나리오에서 제어된 공용 액세스가 필요한 경우 공용 고정 IP 주소에 대한 액세스를 제한합니다. 자세한 내용은 Azure Key Vault 관리형 HSM 네트워크 보안: 방화벽 설정을 참조하세요.
단계별 구성 지침은 Azure Managed HSM 네트워킹 설정을 구성하는 방법을 참조하세요.
ID 및 액세스 관리
ID 및 액세스 관리는 관리형 HSM 리소스에 대한 인증 및 권한 부여를 보호합니다. 관리형 HSM은 제어 평면 및 데이터 평면 작업에 서로 다른 권한 부여 시스템이 있는 이중 평면 액세스 모델을 사용합니다.
데이터 평면 액세스를 위한 관리형 HSM 로컬 RBAC 구현: 관리형 HSM 로컬 RBAC를 사용하여 HSM 내의 키 및 암호화 작업에 대한 액세스를 제어합니다. 이 권한 부여 시스템은 Azure RBAC와 독립적으로 작동하며 주요 작업, 역할 할당 및 보안 도메인 관리에 대한 세부적인 권한을 제공합니다. 관리형 HSM에 대한 액세스 제어를 참조하세요.
애플리케이션 액세스에 대한 관리 ID 사용: 코드 또는 구성 파일에 자격 증명을 저장하지 않고 애플리케이션이 관리형 HSM에 인증할 수 있도록 시스템 할당 또는 사용자 할당 관리 ID를 구성합니다. 관리 ID는 Microsoft Entra ID와 통합되고 자격 증명 회전을 자동으로 처리합니다. 관리형 HSM에 대한 액세스 제어를 참조하세요.
적절한 범위로 최소 권한 액세스 적용: 필요한 가장 제한적인 범위(HSM 수준 또는
/광범위한 액세스의 경우) 또는/keys특정 키 액세스에 대한 키 수준(/keys/<key-name>)에 권한을 부여합니다. 필요한 작업에 따라 관리형 HSM Crypto Officer, Managed HSM Crypto User 또는 Managed HSM Crypto Auditor와 같은 기본 제공 역할을 사용합니다. 관리형 HSM에 대한 액세스 제어를 참조하세요.보안 그룹에 HSM 관리자 역할 할당: 사용자 계정이 삭제된 경우 우발적인 잠금을 방지하기 위해 개별 사용자 대신 Microsoft Entra 보안 그룹에 HSM 관리자 역할을 부여합니다. 이 방법은 권한 관리를 간소화하고 HSM 프로비저닝 프로세스 중에 관리 액세스의 연속성을 보장합니다. 관리형 HSM에 대한 액세스 제어를 참조하세요.
관리 역할에 대해 Privileged Identity Management 사용: Microsoft Entra PIM(Privileged Identity Management)을 사용하여 관리형 HSM 관리자와 같은 권한이 높은 역할에 대해 Just-In-Time 액세스를 적용합니다. PIM은 관리자 권한 유지 위험을 줄이고 상승된 액세스에 대한 승인 워크플로를 제공합니다. 관리형 HSM에 대한 액세스 제어를 참조하세요.
별도의 컨트롤 플레인 및 데이터 평면 액세스: HSM 리소스를 관리하기 위한 Azure RBAC(컨트롤 플레인 액세스)가 키에 대한 데이터 평면 액세스 권한을 부여하지 않는다는 것을 이해합니다. 관리형 HSM 로컬 RBAC를 통해 데이터 평면 역할을 키 작업을 수행해야 하는 사용자에게 명시적으로 할당합니다. 관리형 HSM에 대한 액세스 제어를 참조하세요.
데이터 보호
데이터 보호는 암호화, 키 관리 정책 및 보안 스토리지 사례를 통해 관리형 HSM에 저장된 암호화 키 및 중요한 데이터를 보호합니다. 적절한 데이터 보호는 주요 자료가 기밀로 유지되고 변조 방지를 보장합니다.
보안 도메인에 대한 다중 사용자 제어 구현: HSM 복구에 대한 1인칭 제어를 방지하기 위해 여러 RSA 키 쌍(최소 3개 권장)으로 보안 도메인 쿼럼을 구성합니다. 보안 도메인 암호 해독을 위해 여러 키 보유자가 공동 작업해야 하는 쿼럼 임계값을 지정하여 단일 개인이 HSM을 손상시킬 수 없도록 합니다. 보안 도메인 개요를 참조하세요.
보안 위치에 오프라인으로 보안 도메인 키 저장: 물리적 안전 또는 잠금 상자 내의 별도 지리적 위치에 저장된 암호화된 USB 드라이브와 같은 암호화된 오프라인 스토리지 디바이스에 보안 도메인 프라이빗 키를 유지합니다. 인터넷에 연결된 컴퓨터에 보안 도메인 키를 저장하지 않음으로써 사이버 위협에 대한 노출을 줄이고 네트워크가 물리적으로 분리된 상태의 보안을 보장합니다. 보안 도메인 개요를 참조하세요.
보안 도메인 키 관리 절차 설정: 직원이 변경되거나 키가 손상될 수 있는 경우 보안 도메인 키 보관을 정기적으로 검토하기 위한 정책을 구현합니다. 보안 도메인 소유자 책임을 문서화하고, 주요 위치 및 양육권에 대한 정확한 레코드를 유지 관리하며, 재해 복구 시나리오를 위해 쿼럼을 어셈블할 수 있는지 확인합니다. 보안 도메인 개요를 참조하세요.
HSM 및 키에 대한 제거 보호 사용: 보존 기간이 만료되기 전에 HSM 또는 개별 키가 영구적으로 삭제되지 않도록 제거 보호를 구성합니다. 이 컨트롤은 우발적이거나 악의적인 삭제로부터 보호하고 중요한 작업에 대한 복구 창을 제공합니다. 소프트 삭제 개요를 참조하세요.
적절한 일시 삭제 보존 기간 구성: 복구 요구 사항 및 규정 준수 요구 사항에 따라 일시 삭제 보존 기간을 7~90일 사이로 설정합니다. 보존 기간이 길어질수록 복구 시간이 늘어나지만 데이터 보존 요구 사항과 충돌할 수 있습니다. 소프트 삭제 개요를 참조하세요.
로깅 및 모니터링
로깅 및 모니터링은 HSM 액세스 패턴 및 작업에 대한 가시성을 제공하여 위협 탐지 및 규정 준수 보고를 가능하게 합니다. 포괄적인 로깅은 의심스러운 활동을 식별하는 데 도움이 되며 법의학 조사를 지원합니다.
진단 설정을 사용하여 감사 로깅 사용: AzureDiagnostics 테이블에서 인증된 모든 REST API 요청, 키 작업 및 보안 도메인 작업을 캡처하도록 진단 설정을 구성합니다. 보존 및 분석 요구 사항에 따라 Azure Storage 계정, Log Analytics 작업 영역 또는 Event Hubs로 로그를 라우팅합니다. 관리형 HSM 로깅을 참조하세요.
Azure Monitor 및 Log Analytics를 사용하여 로그 분석: Azure Monitor를 사용하여 ResourceProvider "MICROSOFT.KEYVAULT" 및 ResourceType "MANAGEDHSMS"를 필터링하는 KQL 쿼리를 통해 HSM 로그를 수집하고 분석합니다. 보안 운영 팀을 위한 사용자 지정 대시보드 및 통합 문서를 만들어 액세스 패턴 및 주요 사용량을 모니터링합니다. Azure Managed HSM 모니터링을 참조하세요.
중요한 보안 이벤트에 대한 경고 구성: HSM 가용성이 100% 미만으로 떨어지는 경우, 서비스 API 대기 시간이 임계값을 초과하는 경우, 비정상적인 오류 코드 패턴이 발생하는 경우 또는 실패한 인증 시도가 있는 경우와 같은 이벤트에 대해 Azure Monitor 경고 규칙을 만듭니다. 보안 가시성을 유지하면서 오탐을 줄이도록 정적 임계값 및 동적 임계값 경고를 모두 구성합니다. 관리형 HSM 경고 구성을 참조하세요.
고급 위협 검색을 위해 Microsoft Sentinel과 통합: Microsoft Sentinel을 배포하여 관리형 HSM 작업과 관련된 기계 학습 분석 및 사용자 지정 검색 규칙을 사용하여 의심스러운 활동을 자동으로 검색합니다. 보안 도메인 다운로드, 대량 키 작업 또는 비정상적인 액세스 패턴과 같은 중요한 작업에 대한 분석 규칙을 만듭니다. Azure Managed HSM에 대한 Microsoft Sentinel 설정을 참조하세요.
적절한 로그 보존 정책 구현: 규정 준수 요구 사항을 충족하는 로그 보존 기간을 설정하고 포렌식 조사를 지원합니다. Azure Monitor Log Analytics 보존 정책을 사용하여 보안 인시던트에 대한 적절한 조사 기능을 유지하면서 스토리지 비용을 관리합니다. Azure Managed HSM 모니터링을 참조하세요.
규정 준수 및 거버넌스
규정 준수 및 거버넌스 제어는 관리형 HSM 배포가 자동화된 정책 적용 및 규정 준수 모니터링을 통해 규정 요구 사항 및 조직 정책을 충족하도록 보장합니다.
주요 거버넌스를 위한 Azure Policy 구현: "Azure 관리형 HSM 암호화 감사자" 역할을 "Azure 관리형 HSM 키 거버넌스 서비스"(앱 ID: a1b76039-a76c-499f-a2dd-846b4cc32627)에 부여하여 Azure Policy 규정 준수 검색을 사용하도록 설정합니다. 그런 다음 키 만료 요구 사항, 최소 RSA 키 크기 및 타원 곡선 알고리즘 제한을 포함하여 보안 키 구성을 감사하거나 적용하는 정책 규칙을 정의합니다. 이 역할 할당이 없으면 Azure Policy에서 전체 키 인벤토리를 평가할 수 없습니다. Azure Policy와 Azure Managed HSM 통합을 참조하세요.
주요 수명 주기 및 암호화 표준 구성: 기본 제공 Azure Policy 정의를 사용하여 키 만료 날짜를 적용하고, 보안 준수를 위해 최소 RSA 키 크기를 의무화하고, 타원 곡선 암호화를 승인된 곡선 이름(P-256, P-256K, P-384, P-521)으로 제한하고, 회전 절차를 위해 만료되기 전에 키가 충분한 시간을 갖도록 합니다. Azure Policy와 Azure Managed HSM 통합을 참조하세요.
Azure Policy 대시보드를 통해 규정 준수 모니터링: Azure Policy 규정 준수 대시보드를 사용하여 암호화 보안 표준 준수를 추적하고 수정이 필요한 비규격 키를 식별합니다. 보안 기준의 가시성과 적용을 제공하도록 감사 및 거부 정책 효과를 모두 설정합니다. Azure Policy와 Azure Managed HSM 통합을 참조하세요.
백업 및 복구
백업 및 복구는 데이터 손실로부터 보호하고 적절한 백업 전략, 재해 복구 절차 및 복구 테스트를 통해 비즈니스 연속성을 지원하여 암호화 키에 계속 액세스할 수 있도록 합니다.
정기적인 전체 HSM 백업 만들기: 모든 키, 버전, 특성, 태그 및 역할 할당을 포함하는 자동화된 전체 HSM 백업을 예약하여 하드웨어 오류 또는 운영 인시던트로부터 데이터 손실을 방지합니다. 백업 작업에 사용자 할당 관리 ID를 사용하여 자격 증명 관리 없이 스토리지 계정에 안전하게 액세스할 수 있습니다. 전체 백업 및 복원을 참조하세요.
중요 키에 대한 개별 키 수준 백업 구현: 전체 HSM 복원 작업 없이 세분화된 복구를 사용하도록 설정하는 명령을 사용하여
az keyvault key backup고가용성 키의 선택적 백업을 만듭니다. 키 백업은 암호화되고 암호화되어 보안 도메인에 연결되므로 동일한 보안 도메인을 공유하는 HSM으로만 복원할 수 있습니다. 전체 백업 및 복원을 참조하세요.포괄적인 재해 복구 절차 준비: RSA 키 쌍, 백업 복원 절차 및 애플리케이션 재구성 단계를 사용하여 보안 도메인 복구를 포함하는 재해 복구 계획을 개발하고 테스트합니다. 보안 도메인 파일, 프라이빗 키(최소 쿼럼) 및 지리적으로 구분된 위치에 저장된 최근 백업에 대한 보안 오프라인 액세스를 유지 관리합니다. 재해 복구 가이드를 참조하세요.
정기적으로 백업 및 복원 절차 테스트: 비프로덕션 HSM 인스턴스를 사용하여 주기적인 재해 복구 훈련을 수행하여 보안 도메인 복구, 백업 복원 및 전체 재해 복구 워크플로의 유효성을 검사합니다. 테스트를 통해 보안 도메인 쿼럼 보유자가 복구 작업을 성공적으로 실행하고 백업 무결성을 확인할 수 있습니다. 재해 복구 가이드를 참조하세요.
적절한 액세스 제어를 사용하여 백업 스토리지 보호: 적절한 RBAC 권한, 프라이빗 엔드포인트 및 고객 관리형 암호화 키로 구성된 Azure Storage 계정에 HSM 백업을 저장합니다. Storage Blob 데이터 기여자 역할을 사용하여 사용자 할당 관리 ID를 구성하고 복구 요구 사항과 스토리지 비용의 균형을 맞추는 백업 보존 정책을 구현합니다. 전체 백업 및 복원을 참조하세요.
서비스별 보안
서비스별 보안은 하드웨어 수준 보호, FIPS 규정 준수 및 다른 Azure 서비스와 구별되는 특수한 암호화 작업을 포함하여 관리형 HSM의 고유한 특성을 해결합니다.
FIPS 140-3 수준 3 하드웨어 유효성 검사 활용: 하드웨어 기반 키 격리를 사용하여 변조 방지, 높은 엔트로피 암호화 처리를 제공하는 관리형 HSM의 FIPS 140-3 수준 3 유효성 검사 하드웨어 보안 모듈을 활용합니다. 이렇게 하면 Azure에서 사용할 수 있는 최고 수준의 키 보호가 제공됩니다. Azure Managed HSM이란?을 참조하세요.
규정 준수를 위해 BYOK(bring-your-own-key) 구현: 규제 요구 사항이 특정 키 생성 절차를 요구하는 경우 BYOK를 사용하여 온-프레미스 HSM에서 HSM으로 보호되는 키를 가져옵니다. BYOK는 전송 프로세스 중에 키가 일반 텍스트 형식으로 HSM 경계 외부에 존재하지 않도록 합니다. Azure Managed HSM이란?을 참조하세요.
중요한 워크로드에 단일 테넌트 격리 활용: 관리형 HSM의 단일 테넌트 아키텍처를 활용합니다. 여기서 각 HSM 인스턴스는 단일 고객 전용이며 고객별 보안 도메인을 통해 암호화적으로 격리됩니다. 키 보관소 솔루션은 다중 테넌트보다 강력한 격리를 제공합니다. Azure Managed HSM이란?을 참조하세요.
적절한 키 증명 절차 구현: 키 증명 기능을 사용하여 FIPS 140-3 수준 3 하드웨어 경계 내에서 키가 생성 및 처리되었음을 증명합니다. 키 귀속 인증은 고도 신뢰 시나리오를 위한 키의 기원의 암호화 증명을 제공합니다. 키 증명을 참조하세요.
비즈니스 연속성을 위해 지역 간 복제 구성: 다중 지역 복제를 사용하여 관리되는 HSM을 주 지역에서 확장 지역으로 확장하여 자동 복제를 통해 활성-활성 배포를 제공합니다. 두 지역 모두 요청을 처리할 수 있으며 Traffic Manager는 요청을 가장 가까운 사용 가능한 지역으로 라우팅하여 SLA를 99.99로% 증가합니다. 다중 지역 복제를 참조하세요.