일반 FAQ
IBM Cloud® Hyper Protect Crypto Services에 대한 일반적인 질문에 대한 답변을 얻을 수 있습니다.
IBM Cloud Hyper Protect Crypto Services는 무엇입니까?
IBM Cloud Hyper Protect Crypto Services 는 다음 기능을 제공하는 전용 키 관리 서비스 및 클라우드 HSM(Hardware Security Module)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service. 서비스입니다.
- IBM Cloud 관리자가 키에 액세스할 수 없는 전체 키 계층 구조를 완전히 제어할 수 있는 FIPS 140-2 레벨 4 인증 HSM이 사용된 KYOK(Keep Your Own Key)
- 표준화된 API를 사용하여 키를 작성하고, 가져오고, 순환시키고, 관리하기 위한 싱글 테넌트 키 관리 시스템입니다.
- 완벽한 다른 IBM Cloud 데이터 및 스토리지 서비스와의 통합으로 고객 소유 키를 사용한 저장 데이터 암호화
- 클라우드에서 보안 레벨이 가장 높은 Hyper Protect Crypto Services HSM에서 사용할 수 있으며 암호화 오퍼레이션에 적합한 PKCS #11 라이브러리 및 Enterprise PKCS #11(EP11) 라이브러리
Unified Key Orchestrator의 개념
Unified Key Orchestrator에서는 엔터프라이즈의 하이브리드 멀티클라우드 환경에서 암호화 키에 대한 유일한 클라우드 기본 제어 단일 지점을 제공합니다.
- Unified Key Orchestrator 을 사용하면 온프레미스 환경을 포함하는 하이브리드 멀티클라우드 환경에서 고유 키 유지 및 고유 키 가져오기 기능을 모두 사용할 수 있습니다.
- Unified Key Orchestrator은(는) IBM Cloud의 멀티클라우드 환경에서 모든 키를 관리하고 조정합니다.
키 관리 서비스는 무엇입니까?
Hyper Protect Crypto Services에서는 키를 작성하고, 가져오고, 순환시키고, 관리하기 위한 싱글 테넌트 키 관리 서비스를 제공합니다. 암호화 키가 삭제되면 이 키로 보호되는 데이터를 더 이상 검색할 수 없습니다. 이 서비스는 클라우드 업계 최고 수준의 보호를 제공하는 FIPS 140-2 레벨 4 인증 HSM을 기반으로 빌드됩니다. Hyper Protect Crypto Services에서는 애플리케이션을 빌드하거나 IBM Cloud 데이터 및 인프라 서비스를 활용하기 위해 IBM Key Protect for IBM Cloud과(와) 동일한 키 관리 서비스 API를 제공합니다.
Hardware Security Module은 무엇입니까?
HSM(Hardware Security Module)은 변조 방지 하드웨어 디바이스 내에서 민감한 데이터에 대해 안전한 키 스토리지 및 암호화 오퍼레이션을 제공합니다. HSM은 하드웨어의 암호화 경계 외부에 키 자료를 노출하지 않고 키 자료를 사용합니다.
클라우드 HSM은 무엇입니까?
클라우드 HSM은 자체 암호화 키를 관리하고 IBM Cloud에서 암호화 조작을 수행하는 클라우드 기반 하드웨어 보안 모듈입니다. Hyper Protect Crypto Services은(는) 클라우드 업계에서 최고 수준의 보호를 제공하는 FIPS 140-2 레벨 4 인증 HSM을 기반으로 빌드됩니다. KYOK (Keep Your Own Key) 지원을 사용하여 고객은 마스터 키An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. 를 구성하고 클라우드 HSM의 소유권을 가질 수 있습니다. 고객은 IBM Cloud 관리자가 키에 액세스할 수 없는 전체 키 계층 구조를 완전히 제어하고 전체 권한을 가질 수 있습니다.
Hyper Protect Crypto Services가 단일 테넌트 클라우드 서비스를 제공하는 방법은 무엇입니까?
각 고객은 모든 암호화 단위마다 데디케이티드 소프트웨어 스택과 데디케이티드 HSM 도메인을 보유하고 있으므로 Hyper Protect Crypto Services에는 단일 테넌트 클라우드 서비스가 있습니다. 고객의 경우 자신의 데이터만 처리하는 전용 서비스 스택과 상호작용하게 됩니다. 서비스 아키텍처에 대한 자세한 정보는 Hyper Protect Crypto Crypto Services 작동 방법을 참조하십시오.
IBM Cloud에 대한 사용자 및 Hyper Protect Crypto Services의 책임은 무엇입니까?
Hyper Protect Crypto Services은(는) IBM Cloud 기반의 서비스형 플랫폼입니다. IBM Cloud은(는) 서버, 네트워크, 스토리지, 가상화, 미들웨어 및 런타임의 관리를 담당하며 우수한 성능 및 고가용성을 보장합니다. 고객은 데이터 및 애플리케이션의 관리에 대한 책임이 있으며, 특히 Hyper Protect Crypto Services에 저장된 암호화 키와 암호화 오퍼레이션에 적합한 키 또는 암호화 기능을 사용하는 사용자 애플리케이션에 대한 책임이 있습니다.
이 서비스가 IBM Cloud HSM과 다른점은 무엇입니까?
IBM에는 Hyper Protect Crypto Services과(와)는 다른 IaaS IBM Cloud HSM 서비스가 포함되어 있습니다. IBM Cloud HSM은 FIPS 140-2 레벨 3을 준수합니다. Hyper Protect Crypto Services에서는 키를 로드하는 것 이외에 HSM을 관리하기 위해 특별한 기술이 필요하지 않은 관리 HSM 서비스를 제공합니다. Hyper Protect Crypto Services은(는) FIPS 140-2 레벨 4 인증 하드웨어에 빌드되며 사용자가 마스터 키를 제어할 수 있도록 해주는 HSM을 제공하는 유일한 클라우드 서비스입니다.
Hyper Protect Crypto Services가 Key Protect와 다른점은 무엇입니까?
IBM Key Protect for IBM Cloud는 BYOK(Bring Your Own Key) 기능을 지원하는 공유 다중 테넌트 키 관리 서비스입니다. 서비스는 IBM에서 관리하는 FIPS 140-2 레벨 3 인증 HSM에 빌드됩니다.
Hyper Protect Crypto Services은(는) 암호화 키를 완전히 관리하고 암호화 조작을 수행할 수 있는 싱글 테넌트 키 관리 서비스 및 클라우드 HSM입니다. 이 서비스는 FIPS 140-2 레벨 4 인증 HSM에 빌드되며 KYOK(Keep Your Own Key) 기능을 지원합니다. IBM Cloud 관리자에게도 액세스 권한이 없는 전체 키 계층을 완전히 제어할 수 있도록 소유권을 확보할 수 있습니다. Hyper Protect Crypto Services에서는 디지털 서명 및 SSL(Secure Sockets Layer) 오프로딩과 같은 암호화 조작을 위해 공개 키 암호화 표준 #11(PKCS #11) 등의 산업 표준도 지원됩니다.
KYOK(Keep Your Own Key)가 BYOK(Bring Your Own Key)와 다른 점은 무엇입니까?
BYOK(Bring Your Own Key)를 통해 고유한 키를 사용하여 데이터를 암호화할 수 있습니다. BYOK를 제공하는 키 관리 서비스는 일반적으로 다중 테넌트 서비스입니다. 이러한 서비스를 사용하는 경우 온프레미스 하드웨어 보안 모듈(HSM)에서 암호화 키를 가져온 후 해당 키를 관리할 수 있습니다.
KYOK(Keep Your Own Key)를 사용하여 IBM은 고유한 암호화 키에 대해 작업할 수 있는 업계 최고 수준의 제어를 제공합니다. BYOK 기능 외에도 KYOK는 IBM이 고객 키에 액세스할 수 없다는 기술 보증을 제공합니다. KYOK를 사용하여 마스터 키를 포함한 전체 키 계층 구조를 독점적으로 제어할 수 있습니다.
다음 표에서는 KYOK와 BYOK의 다른 점에 대해 자세히 설명합니다.
| 클라우드 키 관리 기능 | BYOK | KYOK |
|---|---|---|
| 암호화 키 라이프사이클 관리 | 예 | 예 |
| 기타 클라우드 서비스와 통합 | 예 | 예 |
| 온프레미스 HSM에서 고유한 키 가져오기 | 예 | 예 |
| 운영 보증 - 클라우드 서비스 제공자는 키에 액세스할 수 없습니다. | 예 | 예 |
| 기술 보증 - IBM은 키에 액세스할 수 없습니다. | 아니오 | 예 |
| 싱글 테넌트, 전용 키 관리 서비스입니다. | 아니오 | 예 |
| 마스터 키의 독점 제어입니다. | 아니오 | 예 |
| 최고 수준의 보안 - FIPS 140-2 레벨 4 HSM입니다. | 아니오 | 예 |
| 스마트 카드를 사용하여 마스터 키를 관리합니다. | 아니오 | 예 |
| 핵심 절차를 수행합니다. | 아니오 | 예 |
IBM Cloud Hyper Protect Crypto Services으로 수행할 수 있는 작업은 무엇입니까?
IBM Cloud Hyper Protect Crypto Services는 키 관리 서비스 및 암호화 오퍼레이션에 사용될 수 있습니다.
Hyper Protect Crypto Services은(는) IBM Cloud 데이터 및 스토리지 서비스와 VMware® vSphere® 및 VSAN을 통합하여 저장 중 데이터 암호화를 제공할 수 있습니다. 관리되는 클라우드 HSM은 산업 표준(예: Enterprise PKCS(Public-Key Cryptography Standards) #11)을 지원합니다. 애플리케이션은 Enterprise PKCS #11(EP11 API)을 통해 디지털 서명 및 유효성 검증과 같은 암호화 조작을 통합할 수 있습니다. EP11 라이브러리는 산업 표준 PKCS #11 애플리케이션 프로그래밍 인터페이스(API)와 유사한 인터페이스를 제공합니다.
Hyper Protect Crypto Services은(는) gRPC와 같은 프레임워크를 활용하여 원격 애플리케이션 액세스를 사용할 수 있도록 해줍니다. gRPC는 로드 밸런싱, 추적, 상태 검사 및 인증을 위해 여러 데이터 센터의 서비스를 연결할 수 있는 최신 오픈 소스 고성능 원격 프로시저 호출(RPC) 프레임워크입니다. 애플리케이션은 gRPC를 통해 원격으로 EP11 API를 호출하여 Hyper Protect Crypto Services에 액세스합니다.
자세한 정보는 Hyper Protect Crypto Services 유스 케이스를 참조하십시오.
Hyper Protect Crypto Services가 회사에 적합한지는 어떻게 알 수 있습니까?
클라우드에서 데이터 보안 및 규제 준수에 관심이 있는 경우 클라우드 사용 HSM에서 데이터 암호화 및 서명 키An encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. 에 대한 완전한 제어를 유지할 수 있습니다. HSM은 클라우드 데이터 및 디지털 자산에 대한 업계 최고의 보안으로 지원됩니다. 보안 및 규제 준수 지원을 통해 데이터가 암호화되고 권한 있는 액세스가 제어됩니다. IBM Cloud 관리자도 키에 액세스할 수 없습니다.
Hyper Protect Crypto Services를 사용하면 규제 준수를 보장하고 데이터 보안을 강화할 수 있습니다. 데이터는 KYOK(Keep Your Own Key)를 지원하며 완전하게 관리하는 데디케이티드 키 관리 시스템 및 클라우드 HSM 서비스에서 암호화 키로 보호됩니다. 클라우드 데이터 암호화를 위한 KYOK(Keep Your Own Key)는 데디케이티드 클라우드 HSM에서 보호합니다. 규제가 엄격한 애플리케이션 또는 민감한 데이터가 포함된 애플리케이션을 실행하는 경우 이 솔루션은 사용자에게 적합합니다.
주요 기능은 다음과 같습니다.
- 마스터 키를 포함한 전체 키 계층 구조의 완전한 제어.
- 민감한 데이터를 위한 위조 방지 하드웨어 디바이스.
- 클라우드 데이터 및 디지털 자산에 대한 업계 최고의 보안.
- 권한 있는 액세스 위협에 대한 기본 제공 보호 기능으로 인한 데이터 손상 위험 감소.
- 권한 있는 액세스에 대한 데이터 암호화 및 제어를 통한 규제 준수.
- 전체 키 계층 구조에 대한 완전한 제어를 보장하는 KYOK(Keep Your Own Key).
Hyper Protect Crypto Services 작동 방법
Hyper Protect Crypto Services를 사용하는 경우 지역 내 여러 가용성 구역에 상주하는 여러 암호화 단위가 포함된 서비스 인스턴스를 작성합니다. 서비스 인스턴스는 Secure Service Container(SSC)에서 빌드되며, 이는 격리된 컨테이너 런타임 환경을 보장하고 엔터프라이즈 레벨의 보안 및 난공불락을 제공합니다. 서비스 인스턴스의 여러 암호화 단위는 다중 가용성 구역에서 자동으로 동기화되고 로드 밸런싱됩니다. 하나의 가용성 구역에 액세스할 수 없는 경우 서비스 인스턴스의 암호화 단위를 서로 교환해서 사용할 수 있습니다.
암호화 단위는 암호화를 위해 하드웨어 보안 모듈 및 하드웨어 보안 모듈 전용인 해당 소프트웨어 스택을 표시하는 단일 단위입니다. 암호화 키는 표준 RESTful API를 통해 관리하고 사용할 수 있도록 암호화 장치에 생성된 후 전용 키 저장소에 저장됩니다. Hyper Protect Crypto Services를 사용하면 CLI 또는 관리 유틸리티 애플리케이션을 통해 마스터 키를 로드하고 고유한 관리자를 지정하여 암호화 단위의 소유권을 획득합니다. 이러한 방식으로 암호화 키를 독점적으로 제어할 수 있습니다.
FIPS 140-2 레벨 4 HSM에 빌드된 Hyper Protect Crypto Services는 암호화 오퍼레이션에 적합한 Enterprise PKCS #11을 지원합니다. 함수는 gRPC API 호출을 통해 액세스할 수 있습니다.
Hyper Protect Crypto Services에서 사용하는 암호화 카드는 무엇입니까?
VPC (Virtual Private Cloud) 인프라를 기반으로 하는 지역 에서 인스턴스를 작성하는 경우, Hyper Protect Crypto Services 는 IBM 4769 crypto card(Crypto Express 7S (CEX7S) 라고도 함) 를 사용합니다. 다른 비VPC 지역에서 인스턴스를 작성하는 경우, Hyper Protect Crypto Services 는 IBM 4768 crypto card(Crypto Express 6S (CEX6S) 라고도 함) 를 사용합니다. IBM CEX6S 및 IBM CEX7S는 상업용 암호화 디바이스에 적용할 수 있는 가장 높은 인증 레벨인 FIPS 140-2 레벨 4에서 인증됩니다. 다음 사이트에서 인증서를 확인할 수 있습니다.
Hyper Protect Crypto Services를 사용할 수 있는 IBM 지역은 어디입니까?
현재 Hyper Protect Crypto Services 는 댈러스 및 프랑크푸르트에서 사용 가능합니다. 지원되는 지역의 최신 목록은 지역 및 위치를 참조하십시오.
워크로드가 Hyper Protect Crypto Services를 사용할 수 없는 데이터 센터에 있습니다. 계속해서 이 서비스를 구독할 수 있습니까?
예. Hyper Protect Crypto Services의 경우 키 관리 및 클라우드 HSM 기능을 위해 전세계에서 원격으로 액세스할 수 있습니다.
