Azure는 클라우드에서 암호화 키 스토리지 및 관리를 위한 몇 가지 솔루션인 Azure Key Vault(표준 및 프리미엄 제품), Azure Key Vault 관리형 HSM, Azure Dedicated HSM 및 Azure Payment HSM을 제공합니다. 고객이 적합한 주요 관리 솔루션을 결정하는 것은 압도적일 수 있습니다. 이 문서는 고객이 시나리오, 요구 사항 및 산업의 세 가지 고려 사항에 따라 솔루션 범위를 제시하여 이 의사 결정 프로세스를 탐색하는 데 도움이 됩니다.
주요 관리 개념의 개요 및 각 솔루션에 대한 자세한 설명은 Azure의 키 관리를 참조하세요.
키 관리 솔루션의 범위를 좁히려면 일반적인 상위 수준 요구 사항 및 키 관리 시나리오에 따라 순서도를 따릅니다. 또는 그 뒤에 나오는 구체적인 고객 요구 사항에 따른 표를 사용합니다. 여러 제품을 솔루션으로 제공하거나 올바른 제품을 선택하는 것에 대해 확신하려는 경우 순서도와 테이블의 조합을 사용하여 최종 결정을 내립니다. 동일한 업계의 다른 고객이 어떤 용도를 사용하는지 궁금한 경우 업계 세그먼트별 공통 키 관리 솔루션 표를 읽어봅니다.
시나리오별 Azure 키 관리 솔루션 선택
다음 차트에서는 일반적인 요구 사항 및 사용 사례 시나리오와 권장되는 Azure 키 관리 솔루션에 대해 설명합니다.
차트는 다음과 같은 일반적인 요구 사항을 참조합니다.
- FIPS-140은 다양한 수준의 보안 요구 사항이 있는 미국 정부 표준입니다. 자세한 내용은 FIPS(Federal Information Processing Standard) 140을 참조하세요.
- 키 주권은 고객의 조직이 키와 키 관리 정책에 액세스할 수 있는 사용자와 서비스에 대한 제어를 포함하여 키에 대한 완전하고 배타적인 제어권을 갖는 경우입니다.
- 단일 테넌시는 여러 고객 간에 공유 인스턴스가 아닌 각 고객에 대해 배포된 애플리케이션의 단일 전용 인스턴스를 나타냅니다. 단일 테넌트 제품에 대한 필요성은 금융 서비스 산업의 내부 규정 준수 요구 사항으로 자주 발견됩니다.
또한 다음과 같은 다양한 키 관리 사용 사례도 참조합니다.
- 미사용 암호화는 일반적으로 Azure IaaS, PaaS 및 SaaS 모델에 대해 사용하도록 설정됩니다. Microsoft 365와 같은 애플리케이션, Microsoft Purview Information Protection, 스토리지, 분석, 서비스 버스 기능에 클라우드를 사용하는 플랫폼 서비스, 운영 체제와 애플리케이션이 클라우드에서 호스팅 및 배포되는 인프라 서비스는 미사용 암호화를 사용합니다. 미사용 암호화를 위한 고객 관리형 키 는 Azure Storage 및 Microsoft Entra와 함께 사용됩니다. 가장 높은 수준의 보안을 위해 키는 HSM 지원, 3k 또는 4k RSA 키여야 합니다. 미사용 암호화에 대한 자세한 내용은 Azure 미사용 데이터 암호화를 참조하세요.
- SSL/TLS 오프로드 는 Azure Managed HSM 및 Azure Cloud HSM에서 지원됩니다. 고객은 F5 및 Nginx용 Azure Managed HSM에서 고가용성, 보안 및 최상의 가격 포인트를 개선했습니다.
- 리프트 앤 시프트는 PKCS11 애플리케이션 온-프레미스가 Azure Virtual Machines로 마이그레이션되고 Azure Virtual Machines의 Oracle TDE와 같은 소프트웨어를 실행하는 시나리오를 나타냅니다. 결제 PIN 처리가 필요한 리프트 앤 시프트는 Azure Payment HSM에서 지원됩니다. 다른 모든 시나리오는 Azure Cloud HSM에서 지원됩니다. 레거시 API 및 라이브러리(예: PKCS11, JCA/JCE 및 CNG/KSP)는 Azure Cloud HSM에서만 지원됩니다.
- 결제 PIN 처리에는 카드 및 모바일 결제 권한 부여 및 3D 보안 인증 허용, PIN 생성, 관리 및 유효성 검사, 카드, 웨어러블 및 연결된 디바이스에 대한 결제 자격 증명 발급, 키 및 인증 데이터 보안, 지점 간 암호화, 보안 토큰화, EMV 결제 토큰화를 위한 민감한 데이터 보호가 포함됩니다. 여기에는 PCI DSS, PCI 3DS 및 PCI PIN과 같은 인증도 포함되며 Azure Payment HSM에서만 지원됩니다.
순서도 결과는 요구 사항에 가장 적합한 솔루션을 식별하기 위한 시작점입니다.
다른 고객 요구 사항 비교
Azure는 고객이 높은 수준의 요구 사항과 관리 책임에 따라 제품을 선택할 수 있도록 여러 키 관리 솔루션을 제공합니다. 고객 책임이 적은 Azure Key Vault 및 Azure Managed HSM에 이르기까지 다양한 관리 책임이 있으며, 그 뒤에는 Azure Cloud HSM 및 Azure Payment HSM이 가장 많은 고객 책임이 있습니다.
고객과 Microsoft 간의 관리 책임과 기타 요구 사항 간의 장단점은 아래 표에 자세히 설명되어 있습니다.
프로비전 및 호스팅은 모든 솔루션에서 Microsoft에 의해 관리됩니다. 키 생성 및 관리, 역할 및 권한 부여, 모니터링 및 감사는 모든 솔루션에서 고객의 책임입니다.
표를 사용하여 모든 솔루션을 나란히 비교합니다. 관리 오버헤드와 비용을 포함하여 모든 요구 사항을 충족하는 솔루션을 선택하는 데 도움이 되도록 맨 왼쪽 열에 있는 각 질문에 답하면서 위에서부터 아래로 진행합니다.
| AKV 표준 | AKV 프리미엄 | Azure Key Vault 관리형 HSM | Azure Dedicated HSM | Azure 결제 HSM | |
|---|---|---|---|---|---|
| 어떤 수준의 규정 준수가 필요한가요? | FIPS 140-2 수준 1 | FIPS 140-2 수준 2 | FIPS 140-2 수준 3, PCI DSS, PCI 3DS | FIPS 140-2 수준 3, HIPAA, PCI DSS, PCI 3DS, eIDAS | FIPS 140-2 수준 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| 키 주권이 필요한가요? | 아니요 | 아니요 | 예 | 예 | 예 |
| 어떤 종류의 테넌시를 찾고 있나요? | 다중 테넌트 | 다중 테넌트 | 단일 테넌트 | 단일 테넌트 | 단일 테넌트 |
| 사용 사례는 무엇인가요? | 미사용 암호화, CMK, 사용자 지정 | 미사용 암호화, CMK, 사용자 지정 | 미사용 암호화, TLS 오프로드, CMK, 사용자 지정 | PKCS11, TLS 오프로드, 코드/문서 서명, 사용자 지정 | 결제 PIN 프로세스, 사용자 지정 |
| HSM 하드웨어 보호를 원하시나요? | 아니요 | 예 | 예 | 예 | 예 |
| 예산은 얼마나 되나요? | $ | $$ | $$$ | $$$ | $$$$ |
| 패치 및 유지 관리에 대한 책임은 누구에게 있나요? | Microsoft | Microsoft | Microsoft | Microsoft | Customer |
| 서비스 상태 및 하드웨어 장애 조치(failover)에 대한 책임은 누구에게 있나요? | Microsoft | Microsoft | 공유됨 | 공유됨 | Customer |
| 어떤 종류의 개체를 사용하고 있나요? | 비대칭 키, 비밀, 인증서 | 비대칭 키, 비밀, 인증서 | 비대칭/대칭 키 | 비대칭/대칭 키, 인증서 | 로컬 마스터 키 |
| 신뢰 제어의 루트 | Microsoft | Microsoft | Customer | Customer | Customer |
업계 세그먼트별 공통 키 관리 솔루션 사용
다음은 업계에 따라 일반적으로 활용되는 키 관리 솔루션의 목록입니다.
| 업종 | 추천 Azure 솔루션 | 추천 서비스에 대한 고려 사항 |
|---|---|---|
| 엄격한 보안 및 규정 준수 요구 사항을 갖춘 기업 또는 조직입니다(예: 은행, 정부, 규제가 엄격한 산업). | Azure Key Vault 관리형 HSM, Azure Dedicated HSM | Azure Key Vault 관리형 HSM은 FIPS 140-2 수준 3 규정 준수를 제공하며 전자 상거래를 위한 PCI 규격 솔루션입니다. PCI DSS 4.0에 대한 암호화를 지원합니다. HSM 지원 키를 제공하고 고객에게 키 주권 및 단일 테넌시를 제공합니다. Azure Dedicated HSM은 FIPS 140-2 수준 3 규정 준수, HSM 클러스터의 고객 소유권 및 PKCS#11 및 암호화 작업에 대한 기타 표준 API에 대한 지원을 제공합니다. |
| 저는 고객의 신용 카드를 저장, 처리 및 외부 결제 프로세서/게이트웨이로 전송하고 PCI 규격 솔루션을 모색해야 하는 직접 소비자 전자 상거래 판매자입니다. | Azure Key Vault 관리되는 HSM | Azure Key Vault 관리형 HSM은 FIPS 140-2 수준 3 규정 준수를 제공하며 전자 상거래를 위한 PCI 규격 솔루션입니다. PCI DSS 4.0에 대한 암호화를 지원합니다. HSM 지원 키를 제공하고 고객에게 키 주권 및 단일 테넌시를 제공합니다. |
| PCI 및 여러 주요 규정 준수 프레임워크를 충족할 수 있는 단일 테넌트 서비스를 찾고 있는 금융 서비스용 서비스 공급자, 발급자, 카드 취득자, 카드 네트워크, 결제 게이트웨이/PSP 또는 3DS 솔루션 공급자입니다. | Azure Payment HSM | Azure Payment HSM은 FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS 및 PCI PIN 규정 준수를 제공합니다. 결제 처리와 관련하여 키 주권 및 단일 테넌트, 일반적인 내부 규정 준수 요구 사항을 제공합니다. Azure Payment HSM은 전체 결제 트랜잭션 및 PIN 처리 지원을 제공합니다. |
| 클라우드 네이티브 애플리케이션의 프로토타입을 찾고 있는 초기 단계의 스타트업 고객입니다. | Azure Key Vault 표준 | Azure Key Vault 표준은 경제적인 가격으로 소프트웨어 지원 키를 제공합니다. |
| 클라우드 네이티브 애플리케이션을 생성하고자 하는 스타트업 고객입니다. | Azure Key Vault Premium, Azure Key Vault 관리형 HSM | Azure Key Vault 프리미엄 및 Azure Key Vault 관리형 HSM은 모두 HSM 지원 키*를 제공하며 클라우드 네이티브 애플리케이션을 빌드하기 위한 최상의 솔루션입니다. |
| Azure VM/HSM을 사용하도록 애플리케이션을 이동하려는 IaaS 고객입니다. | Azure 전용 HSM | Azure Dedicated HSM은 SQL IaaS 고객을 지원합니다. PKCS11 및 사용자 지정 비클라우드 네이티브 애플리케이션을 지원하는 유일한 솔루션입니다. |
기술 사양 및 사용 사례를 포함하여 각 Azure 키 관리 솔루션에 대한 자세한 내용은 Azure의 키 관리를 참조하세요.