AWS CloudHSM 키 동기화 이해

AWS CloudHSM 는 키 동기화를 사용하여 클러스터의 모든 하드웨어 보안 모듈(HSM)에 토큰 키를 복제합니다. 키 생성, 가져오기 또는 래핑 해제 작업 중에 토큰 키를 영구 키로 생성합니다. 클러스터 전체에 이러한 키를 분산하기 위해 CloudHSM은 클라이언트 측 키 동기화 및 서버 측 키 동기화 모두를 제공합니다.

서버 측과 클라이언트 측 모두에서 키 동기화의 목표는 새 키를 생성한 후 가능한 한 빨리 클러스터 전체에 배포하는 것입니다. 이는 새 키를 사용하기 위해 거는 후속 호출이 클러스터의 사용 가능한 모든 HSM으로 라우팅될 수 있기 때문에 중요합니다. 키가 없는 HSM으로 호출하면 호출이 실패합니다. 키 생성 작업 후에 수행된 후속 호출을 응용 프로그램에서 재시도하도록 지정하여 이러한 유형의 실패를 완화할 수 있습니다. 동기화에 필요한 시간은 클러스터의 워크로드 및 기타 무형 자산에 따라 달라질 수 있습니다. CloudWatch 지표를 사용하여 이러한 유형의 상황에서 애플리케이션이 채택해야 하는 타이밍을 결정하십시오. 자세한 내용은 CloudWatch 지표를 참조하십시오.

클라우드 환경에서 키 동기화의 문제는 키 내구성입니다. 단일 HSM에서 키를 생성하고 해당 키를 즉시 사용하기 시작하는 경우가 많습니다. 키가 클러스터의 다른 HSM에 복제되기 전에 키를 생성한 HSM에서 장애가 발생하면 키를 잃고 키로 암호화된 모든 항목에 액세스할 수 없게 됩니다. 이러한 위험을 완화하기 위해 클라이언트측 동기화를 제공합니다. 클라이언트측 동기화는 키 생성, 가져오기 또는 래핑 해제 작업 중에 생성한 키를 복제하는 클라이언트측 프로세스입니다. 키를 생성할 때 복제하면 키의 내구성이 향상됩니다. 물론 단일 HSM으로 클러스터의 키를 복제할 수는 없습니다. 키의 내구성을 높이려면 최소 두 개의 HSM을 사용하도록 클러스터를 구성하는 것도 좋습니다. 클라이언트측 동기화와 HSM이 두 개 있는 클러스터를 사용하면 클라우드 환경에서 키 내구성 문제를 해결할 수 있습니다.