AWS Key Management Service의 데이터 보호 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Key Management Service의 데이터 보호

AWS Key Management Service는 암호화 키를 저장하고 보호하여 높은 가용성을 제공하는 동시에 강력하고 유연한 액세스 제어를 제공합니다.

키 구성 요소 보호

기본적으로 AWS KMS는 KMS 키의 암호화 키 구성 요소를 생성하고 보호합니다. 또한 AWS KMS는 AWS KMS 외부에서 생성되고 보호되는 키 구성 요소에 대한 옵션도 제공합니다.

AWS KMS에서 생성된 키 구성 요소 보호

KMS 키를 생성하면 기본적으로 AWS KMS는 해당 KMS 키에 대한 암호화 구성 요소를 생성하고 보호합니다.

KMS 키의 키 구성 요소를 보호하기 위해 AWS KMS는 FIPS 140-2 보안 레벨 3 검증 하드웨어 보안 모듈(HSM)의 분산 플릿을 사용합니다. 각 AWS KMS HSM은 전용 독립 실행형 하드웨어 어플라이언스로, AWS KMS의 보안 및 확장성 요구 사항을 충족하기 위한 전용 암호화 기능을 제공하도록 설계되었습니다. (AWS KMS가 중국 리전에서 사용하는 HSM은 OSCCA의 인증을 받았으며 모든 관련 중국 규정을 준수하지만, FIPS 140-2 암호화 모듈 검증 프로그램에 따른 검증은 받지 않습니다.)

KMS 키의 키 구성 요소는 HSM에서 생성될 때 기본적으로 암호화됩니다. 키 구성 요소는 HSM 휘발성 메모리 내에서만 암호화 작업에 사용하는 데 걸리는 몇 밀리초 동안만 암호 해독됩니다. 키 구성 요소가 활성 상태로 사용되지 않을 때마다 HSM 내에서 암호화되어 내구성이 뛰어나고(99.999999999%), 지연 시간이 짧은 영구 스토리지로 전송되어 HSM과 분리되어 격리된 상태로 유지됩니다. 일반 텍스트 키 구성 요소는 HSM 보안 경계를 절대 벗어나지 않으며, 결코 디스크에 기록되거나 저장 매체에 지속되지 않습니다. (유일한 예외는 비밀이 아닌 비대칭 키 쌍의 퍼블릭 키입니다.)

AWS는 어떤 유형의 AWS 서비스에서도 일반 텍스트 암호화 키 구성 요소와 인간의 상호 작용이 존재하지 않는다는 점을 기본 보안 원칙으로 주장합니다. AWS 서비스 운영자를 포함한 누구도 일반 텍스트 키 구성 요소를 보거나 액세스하거나 내보낼 수 있는 메커니즘은 없습니다. 이 원칙은 심각한 장애 및 재해 복구 이벤트 중에도 적용됩니다. AWS KMS의 일반 텍스트 고객 키 구성 요소는 고객 또는 대리인이 서비스에 대해 승인한 요청에 대한 응답으로만 AWS KMS FIPS 검증 HSM 내 암호화 작업에 사용됩니다.

고객 관리형 키의 경우 키를 생성한 AWS 계정은 해당 키의 유일한 소유자이며 양도할 수 없습니다. 소유 계정은 키에 대한 액세스를 제어하는 권한 부여 정책에 대한 완전하고 독점적인 제어를 갖습니다. AWS 관리형 키의 경우 AWS 계정는 AWS 서비스에 대한 요청을 승인하는 IAM 정책에 대한 완전한 제어를 갖습니다.

AWS KMS 외부에서 생성된 키 구성 요소 보호

AWS KMS는 AWS KMS에서 생성된 키 구성 요소에 대한 대안을 제공합니다.

선택적 AWS KMS 기능인 사용자 지정 키 스토어를 사용하면 AWS KMS 외부에서 생성되고 사용되는 키 구성 요소에 의해 백업되는 KMS 키를 생성할 수 있습니다. AWS CloudHSM 키 스토어의 KMS 키는 사용자가 제어하는 AWS CloudHSM 하드웨어 보안 모듈의 키에 의해 백업됩니다. 이러한 HSM은 FIPS 140-2 보안 레벨 3에서 인증됩니다. 외부 키 스토어의 KMS 키는 프라이빗 데이터 센터의 물리적 HSM과 같이 AWS 외부에서 제어 및 관리하는 외부 키 관리자의 키에 의해 백업됩니다.

또 다른 옵션 기능을 사용하면 KMS 키에 대한 키 구성 요소를 가져올 수 있습니다. 가져온 키 구성 요소가 AWS KMS로 전송되는 동안 이를 보호하기 위해, AWS KMS HSM에서 생성된 RSA 키 쌍의 퍼블릭 키를 사용하여 키 구성 요소를 암호화합니다. 가져온 키 구성 요소는 AWS KMS HSM으로 해독되고 HSM의 대칭 키로 다시 암호화됩니다. 모든 AWS KMS 키 구성 요소와 같이, 일반 텍스트로 가져온 키 구성 요소는 HSM을 암호화되지 않은 상태로 두지 않습니다. 그러나 키 구성 요소를 제공한 고객은 AWS KMS 외부 키 구성 요소를 안전하게 사용하고, 지속적으로 관리 및 유지 보수할 할 책임이 있습니다.

데이터 암호화

AWS KMS의 데이터는 AWS KMS keys와 이를 나타내는 암호화 키 구성 요소로 구성됩니다. 이 키 구성 요소는 AWS KMS 하드웨어 보안 모듈(HSM) 내에서만 일반 텍스트로 존재하며 사용 중일 때만 존재합니다. 그렇지 않으면 키 구성 요소가 암호화되어 내구성이 뛰어난 영구 스토리지에 저장됩니다.

AWS KMS가 KMS 키에 대해 생성하는 키 구성 요소는 AWS KMS HSM의 경계를 암호화되지 않은 상태로 두지 않습니다. AWS KMS API 작업에서 내보내거나 전송되지 않습니다. 다중 리전 키의 경우는 예외로, AWS KMS에서 리전 간 복제 메커니즘을 사용하여 한 AWS 리전의 HSM에서 다른 AWS 리전의 HSM으로 다중 리전 키의 키 구성 요소를 복사합니다. 자세한 내용은 AWS Key Management Service 암호화 세부 정보의 다중 리전 키의 복제 프로세스 단원을 참조하십시오.

저장 중 암호화

AWS KMS는 FIPS 140-2 레벨 3 준수 하드웨어 보안 모듈(HSM)에서 AWS KMS keys에 대한 키 구성 요소를 생성합니다. 단, 중국 리전만 예외로, AWS KMS가 KMS 키를 생성하는 데 사용하는 HSM은 모든 관련 중국 규정을 준수하지만 FIPS 140-2 암호화 모듈 검증 프로그램에 따른 검증은 받지 않았습니다. 사용하지 않을 경우 키 구성 요소는 HSM 키에 의해 암호화되어 내구성이 뛰어난 영구 스토리지에 기록됩니다. KMS 키의 키 구성 요소와 키 구성 요소를 보호하는 암호화 키는 HSM을 일반 텍스트 형식으로 남기지 않습니다.

KMS 키에 대한 키 구성 요소의 암호화 및 관리는 전적으로 AWS KMS에 의해 처리됩니다.

자세한 내용은 AWS Key Management Service 암호화 세부 정보의 AWS KMS keys 작업을 참조하십시오.

전송 중 암호화

AWS KMS가 KMS 키에 대해 생성한 키 구성 요소는 AWS KMS API 작업에서 내보내거나 전송되지 않습니다. AWS KMS는 키 식별자를 사용하여 API 작업에서 KMS 키를 나타냅니다. 마찬가지로 AWS KMS 사용자 지정 키 스토어의 KMS 키에 대한 키 구성 요소는 AWS KMS 또는 AWS CloudHSM API 작업에서 내보낼 수 없으며 전송할 수 없습니다.

그러나, 일부 AWS KMS API 작업은 데이터 키를 반환합니다. 또한 고객은 API 작업을 사용하여 선택한 KMS 키에 대한 키 구성 요소를 가져옵니다.

모든 AWS KMS API 호출은 전송 계층 보안(TLS)을 사용하여 서명하고 전송해야 합니다. AWS KMS에는 TLS 1.2가 필요하며 모든 리전에서 TLS 1.3을 권장합니다. AWS KMS는 또한 중국 리전을 제외한 모든 리전의 AWS KMS 서비스 엔드포인트에 대해 하이브리드 포스트 퀀텀 TLS를 지원합니다. AWS KMS는 AWS GovCloud (US)의 FIPS 엔드포인트에 대한 하이브리드 포스트 퀀텀 TLS를 지원하지 않습니다. AWS KMS에 대한 호출은 또한 완전 순방향 암호화를 지원하는 최신 암호 제품군을 필요로 합니다. 즉, 프라이빗 키와 같은 암호가 손상되어도 세션 키가 손상되지 않습니다.

명령행 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-2 검증된 암호화 모듈이 필요한 경우, FIPS 엔드포인트를 사용합니다. 표준 AWS KMS 엔드포인트 또는 AWS KMS FIPS 엔드포인트를 사용하려면 클라이언트가 TLS 1.2 이상을 지원해야 합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal Information Processing Standard(FIPS) 140-2를 참조하십시오. AWS KMS FIPS 엔드포인트 목록은 AWS 일반 참조의 AWS Key Management Service 엔드포인트 및 할당량을 참조하세요.

AWS KMS 서비스 호스트와 HSM 간의 통신은 인증된 암호화 체계에서 Elliptic Curve Cryptography(ECC) 및 Advanced Encryption Standard(AES)를 사용하여 보호됩니다. 자세한 내용은 AWS Key Management Service 암호화 세부 정보의 내부 통신 보안을 참조하십시오.

인터네트워크 트래픽 개인 정보 보호

AWS KMS는 AWS Management Console 및 AWS KMS keys를 생성 및 관리하고 암호화 작업에서 사용할 수 있는 API 작업 집합을 지원합니다.

AWS KMS는 사설 네트워크에서 AWS로의 두 가지 네트워크 연결 옵션을 지원합니다.

  • 인터넷을 통한 IPSec VPN 연결

  • AWS Direct Connect는 표준 이더넷 광섬유 케이블을 통해 내부 네트워크를 AWS Direct Connect 위치에 연결합니다.

모든 AWS KMS API 호출은 서명되어야 하며 전송 계층 보안(TLS)을 사용하여 전송되어야 합니다. 호출에는 또한 완벽한 순방향 보안을 지원하는 최신 암호 제품군도 필요합니다. KMS 키에 대한 키 구성 요소를 저장하는 하드웨어 보안 모듈(HSM)에 대한 트래픽은 AWS 내부 네트워크를 통해 알려진 AWS KMS API 호스트에서만 허용됩니다.

공용 인터넷을 통해 트래픽을 전송하지 않고 Virtual Private Cloud(VPC)에서 AWS KMS에 직접 연결하려면 AWS PrivateLink에서 제공하는 VPC 엔드포인트를 사용하십시오. 자세한 정보는 VPC 엔드포인트를 통해 AWS KMS에 연결을 참조하세요.

AWS KMS에서는 전송 계층 보안(TLS) 네트워크 암호화 프로토콜에 대한 하이브리드 포스트 퀀텀 키 교환 옵션을 지원합니다. AWS KMS API 엔드포인트에 연결할 때 TLS와 함께 이 옵션을 사용할 수 있습니다.