유스 케이스

IBM Cloud® Hyper Protect Crypto Services은(는) 범용 암호화 조작을 위한 클라우드 HSM은 물론 IBM Cloud에서 미사용 데이터를 영구적으로 보호하기 위한 키 관리 서비스로 사용될 수도 있습니다.

클라우드의 퍼베이시브 저장 데이터 보호

IBM Cloud Security Architecture에서 통합하면 Hyper Protect Crypto Services를 사용하여 고유 키를 통해 가장 높은 보안 레벨에서 클라우드 데이터 및 스토리지 서비스를 위한 저장 데이터를 암호화할 수 있습니다. 이 서비스에서는 Key Protect과(와) 동일한 키 제공자 API를 사용하여 IBM Cloud 서비스를 채택하기 위한 일관성 있는 엔벨로프 암호화 및 파일 시스템 암호화 접근법을 제공합니다.

IBM Cloud Hyper Protect Crypto Services는 가져오고, 제어하고, 관리할 수 있는 암호화 키로 데이터에 대한 제어 및 권한을 더 강화할 수 있도록 KYOK(Keep Your Own Key)를 지원합니다. 동시에 암호화 키가 위치한 HSM을 통해 계속해서 제어를 유지합니다. Hyper Protect Crypto Services를 사용하면 가장 민감한 데이터를 관리하기 위해 대기업에서 공동으로 개발하고 운영하는 검증된 기술을 충분히 활용할 수 있습니다.

Hyper Protect Crypto Services에서 생성되고 보호되는 암호화 키는 데이터베이스 관리자와 같은 다른 내부자 위협으로부터 데이터를 보호하기 위해 애플리케이션 레코드 레벨 또는 필드 레벨 암호화를 제공하는 데 사용될 수 있습니다.

KYOK를 사용한 저장 데이터 암호화

키가 고객이 관리하는 데디케이티드 HSM으로 보호됩니다. 즉, 해당 사용자만 자신의 데이터에 액세스할 수 있습니다. Hyper Protect Crypto Services의 암호화 기능은 FIPS 140-2 레벨 인증 4 HSM(Hardware Security Module)에서 빌드됩니다. 새 워크로드 및 기존 워크로드 모두에서 Hyper Protect Crypto Services의 암호화 기능에 대한 이점을 얻을 수 있습니다. IBM Key Protect for IBM Cloud API는 암호화 키를 생성하고 보호하기 위해 통합됩니다.

Hyper Protect Crypto Services의 키 관리 API를 사용하여 클라우드 애플리케이션을 암호화하는 방법에 대한 학습서는 클라우드 애플리케이션에 엔드 투 엔드 보안 적용 및 통합 데이터베이스에 기록하는 보안 마이크로서비스 작성을 참조하십시오.

KYOK를 사용한 VMware 이미지 보호

개인 정보를 처리하고 저장하기 위해 IBM Cloud의 VMware® 환경을 사용하는 조직은 가장 높은 보안 레벨을 요구합니다. Hyper Protect Crypto Services의 사용자는 다른 사용자가 액세스할 수 없도록 사용자 스스로 설정하는 고유한 데디케이티드 슬롯을 받게 됩니다. Hyper Protect Crypto Services 및 VMware는 동일한 인터페이스와 통신하지 않으므로 Key Management Interoperability Protocol for VMware 컴포넌트는 VMware 환경이 Hyper Protect Crypto Services의 키를 저장하고 사용할 수 있도록 상호 운용성의 역할을 수행합니다.

싱글 테넌트 서비스인 Hyper Protect Crypto Services는 고객별로 VMware용 HSM(Hardware Security Module) 이미지에 대한 전용 제어를 제공합니다. Hyper Protect Crypto Services은(는) 전용 하드웨어 시크릿 제어를 사용하여 IBM Cloud에 있는 키 관리 서비스 제품군을 단일 테넌트 인스턴스로 확장합니다.

자세한 정보는 IBM Cloud Hyper Protect Crypto Services 및 VMware on IBM Cloud 솔루션에 대한 개요 비디오를 참조하십시오. 단계별 학습서는 키 관리 및 배포를 위해 Hyper Protect Crypto Services에서 KMIP 구성 및 데모 비디오를 참조하십시오.

KYOK를 사용한 VMware 이미지 보호 및 vSAN 암호화 — 그림 2. KYOK를 사용한 VMware 이미지 보호

PKCS #11 HSM으로 Hyper Protect Crypto Services 사용

IBM Cloud Hyper Protect Crypto Services는 PKCS #11 API를 제공합니다. PKCS #11은 공개 키 암호화 표준으로 정의됩니다. 암호화 오퍼레이션은 클라우드 측의 HSM 내부에서 실행됩니다. 그러면 암호화 키가 HSM 외부에 명확하게 존재하지 않는 구성이 허용되고, 모든 해당 민감한 암호화 오퍼레이션이 HSM 경계 내에서도 처리됩니다.

PKCS #11 API를 사용하여 애플리케이션 레벨 암호화

Hyper Protect Crypto Services를 사용하면 애플리케이션 프로그래머는 암호화를 요청하거나 애플리케이션 데이터에 서명하기 위해 표준 PKCS #11 API로 애플리케이션을 설계하고 개발할 수 있습니다. 이는 프로그래머가 암호화 전문가가 되지 않고도 보안을 호출할 수 있음을 의미합니다. 이제 디지털 서명을 통해 데이터 무결성을 개선하고 데이터 암호화를 통해 기밀성을 개선할 수 있습니다. 애플리케이션은 Hyper Protect Crypto Services PKCS #11 라이브러리를 사용하여 암호화 오퍼레이션을 수행할 수 있습니다. 이 기능을 사용하면 개인용 데이터가 포함된 디지털 워크플로우와 안전하고 신뢰할 수 있는 디지털 검토, 승인 및 서명이 있는 애플리케이션 빌드를 통해 비즈니스 프로세스를 현대화할 수 있습니다.

PKCS #11 API를 사용하여 클라우드 간의 애플리케이션을 암호화할 수 있습니다. PKCS #11의 지원으로 다양한 고급 암호화 오퍼레이션(예: 서명, 서명 유효성 검증, 메시지 인증 코드 및 고급 암호화)에 액세스할 수 있습니다.

Application encryption by using PKCS #11 — 그림 3. PKCS #11을 사용하여 애플리케이션 암호화

PKCS #11 API를 사용한 데이터베이스 암호화

Hyper Protect Crypto Services을(를) 사용하는 경우 TDE(Transparent Data Encryption)를 사용하여 Oracle® Database를 암호화하고 Db2 기본 암호화를 사용하여 IBM Db2® Database를 암호화할 수 있습니다.

TDE를 사용하여 데이터베이스 스토리지 매체(예: 테이블스페이스 및 파일) 및 백업 매체에서 민감한 데이터를 암호화할 수 있습니다. Transparent Data Encryption은 민감한 데이터의 암호화를 보장하고, 규제 준수를 충족하고, 암호화 오퍼레이션을 간소화하는 기능을 제공합니다. 데이터베이스 시스템은 권한 있는 사용자 및 애플리케이션이 사용할 때 데이터를 자동으로 투명하게 암호화하고 복호화합니다. 데이터베이스 사용자는 기본 암호화를 알아야 할 필요가 없고, 데이터베이스 애플리케이션은 TDE에 맞게 특별히 조정될 필요가 없습니다.

TDE는 TDE 마스터 암호화 키와 TDE 데이터 암호화 키로 구성되는 두 개의 계층화된 키 계층 구조를 사용합니다. TDE 데이터 암호화 키는 데이터를 암호화하고 복호화하는 데 사용되고, TDE 마스터 암호화 키는 TDE 데이터 암호화 키를 암호화하고 복호화하는 데 사용됩니다.

그림 4. 표준 PKCS #11 API를 사용한 TDE(Transparent Database Encryption)
IBM Db2 기본 암호화는 키 데이터베이스 파일 및 데이터베이스 백업 이미지를 외부 스토리지 매체에 저장하는 중에도 이들을 보호합니다. 데이터베이스 시스템은 권한 있는 사용자 및 애플리케이션이 사용할 때 데이터를 자동으로 암호화하고 복호화합니다. 일반적으로 데이터베이스 사용자는 기본 암호화를 알아야 할 필요가 없고, 데이터베이스 클라이언트 애플리케이션은 특별히 조정될 필요가 없습니다.

Db2 기본 암호화는 다음과 같이 두 개의 계층화된 키 계층 구조를 사용합니다. 데이터는 데이터 암호화 키(DEK)로 암호화됩니다. DEK는 마스터 키로 암호화되고 데이터베이스 또는 백업 이미지와 함께 암호화된 양식으로 저장됩니다. Db2는 암호화된 데이터베이스 및 암호화된 백업마다 고유한 DEK를 생성합니다. 마스터 키는 DEK를 암호화하는 데 사용됩니다. 암호화된 각 데이터베이스는 한 번에 하나의 마스터 키와 연관됩니다.

그림 5. 표준 PKCS #11 API를 사용한 IBM Db2 기본 암호화

PKCS #11 라이브러리 통합을 사용하여 Hyper Protect Crypto Services는 산업 표준 PKCS #11 API를 지원합니다. Hyper Protect Crypto Services PKCS #11 라이브러리는 데이터베이스를 Hyper Protect Crypto Services에 연결하여 암호화 오퍼레이션을 수행합니다. 데이터베이스 시스템은 TDE 마스터 암호화 키 또는 Hyper Protect Crypto Services PKCS #11 라이브러리의 마스터 키를 관리하도록 오퍼레이션을 호출할 수 있습니다. 이제 Hyper Protect Crypto Services PKCS #11 라이브러리는 Hyper Protect Crypto Services 인스턴스와 상호작용하여 TDE 마스터 암호화 키 또는 마스터 키를 클라우드에 저장하고 관리하기 위한 최상위 레벨의 보안을 제공합니다. 결과적으로 데이터 암호화 키 및 데이터에 대한 최상위 레벨의 보안을 제공합니다.

Hyper Protect Crypto Services에서 TDE를 사용하는 방법에 대한 튜토리얼은 튜토리얼: Hyper Protect Crypto Services PKCS #11로 Oracle Transparent Database Encryption 사용을 참조하십시오.
Hyper Protect Crypto Services에서 Db2 기본 암호화를 사용하는 방법에 대한 튜토리얼은 Hyper Protect Crypto Services PKCS #11로 IBM Db2 기본 암호화 사용을 참조하십시오.

TLS/SSL 오프로딩을 사용하여 이동 중인 데이터 보호

TLS(Transport Layer Security) 및 SSL(Secure Sockets Layer)은 컴퓨터 네트워크를 통해 통신 보안을 제공하도록 디자인된 암호화 프로토콜입니다. TLS/SSL 프로토콜은 주로 두 개 이상의 통신 컴퓨터 애플리케이션 사이에서 개인정보 보호 및 데이터 무결성을 제공하는 것을 목적으로 합니다.

웹 서버의 컨텍스트에서 TLS/SSL 프로토콜은 웹 사이트에서 ID를 설정할 수 있도록 허용합니다. 웹 사이트의 사용자는 다른 사용자 중 누구도 웹 사이트로 위장하지 않는다고 확신할 수 있습니다. 이 작업은 공개-개인 키 쌍을 통해 수행됩니다.

Hyper Protect Crypto Services은(는) TLS/SSL 개인 키가 전용 HSM에 안전하게 저장되어 있는 동안 TLS 핸드쉐이크 중에 수행되는 암호화 오퍼레이션을 오프로드하여 웹 서버에 대한 보안 연결을 설정하는 방법을 제공합니다. 이러한 방식으로 TLS/SSL 키 및 처리를 제어할 수 있습니다. 결과적으로 보안은 강화되고 평판 리스크가 줄어듭니다.

TLS/SSL을 Hyper Protect Crypto Services HSM에 오프로드하는 경우 표준 PKCS #11 API를 사용하여 웹, API및 모바일 트랜잭션에 대한 전송 중 데이터 보호를 사용할 수 있습니다. Hyper Protect Crypto Services을(를) 사용하는 경우 TLS/SSL 오프로딩을 다른 클라우드 프록시와 통합할 수 있습니다.

Hyper Protect Crypto Services을(를) 사용하여 키를 관리하는 중에 NGINX와 같은 로드 밸런서에 SSL 워크로드를 오프로드하는 방법에 대한 학습서는 IBM Cloud Hyper Protect Crypto Services을(를) 사용하여 NGINX TLS 오프로드를 참조하십시오.

Enterprise PKCS #11 HSM으로 Hyper Protect Crypto Services 사용

Hyper Protect Crypto Services는 Enterprise PKCS #11(EP11) API를 제공합니다. 클라우드 애플리케이션은 gRPC를 통해 이 함수를 사용할 수 있습니다.

Enterprise PKCS #11은 Stateless 암호 유스 케이스를 지원하고 엔터프라이즈 환경에서 스케일링 및 중복성을 허용합니다. 자산 보호에 대한 일부 유스 케이스의 경우, 모든 민감한 오퍼레이션이 HSM 경계 내에서 실행되는 반면 키는 암호화 서비스 외부에서 관리될 수 있습니다. 특히 Enterprise PKCS #11의 Stateless 문자에 대한 이점을 얻는 엔터프라이즈 애플리케이션에서 상태 처리가 문제이면 Enterprise PKCS #11을 사용할 수 있습니다.

클라우드 개발자는 데이터 무결성 및 기밀성이 유지된 암호화 오퍼레이션을 위해 애플리케이션의 표준 인터페이스를 사용할 수 있습니다. Hyper Protect Crypto Services는 클라우드 애플리케이션에서 클라우드 HSM까지 안전한 연결을 지원하며 애플리케이션 키에 대해 클라우드 HSM의 엔터프라이즈 제어가 허용됩니다.

IBM에서 워크로드를 클라우드로 이동하는 작업을 지원하기 위한 새로운 기능 세트를 제공하기 시작함에 따라 새 워크로드 및 기존 워크로드 모두에 대해 Hyper Protect Crypto Services의 암호화 기능을 활용할 수 있습니다. gRPC(GREP11)를 통해 Enterprise PKCS #11을 도입하면 다양한 암호화 오퍼레이션(예: 서명, 서명 유효성 검증, 메시지 인증 코드, 난수 생성)에 액세스할 수 있습니다.

Golang에서 GREP11 사용 및 JavaScript에 대한 몇 가지 코드 샘플을 사용해 볼 수 있습니다.

EP11 HSM — 그림 7. Enterprise PKCS#11을 사용한 암호화 오퍼레이션

다음에 수행할 작업

기타 IBM Cloud 서비스에 대한 루트 키 제공자로 Hyper Protect Crypto Services를 사용할 수 있습니다. Hyper Protect Crypto Services 통합에 대한 자세한 정보는 서비스 통합을 확인하십시오.
Hyper Protect Crypto Services을(를) 사용하여 암호화 키에 대한 높은 보안 키 관리 기능을 제공할 수 있습니다. 프로그래밍 방식으로 키를 관리하는 방법에 대해 자세히 알아보려면 Hyper Protect Crypto Services 키 관리 API 참조 문서를 확인하십시오.
Hyper Protect Crypto Services의 클라우드 HSM 기능을 사용한 데이터 암호화에 대해 자세히 알아보려면 PKCS #11 API 참조 및 GREP11 API 참조 문서를 확인하십시오.