고성능 PCIe 내장형 암호화 모듈 Thales HSM nShield Solo

Thales e-Security nShield Solo는 높은 비용 효율성과 안전을 겸비한 보안 솔루션으로 독립형 서버 나 어플라이언스에 내장 되는 PCI 또는 PCIe 카드입니다. 서버 내장형 하드웨어 보안 모듈 (HSM) 은 암호화 전용 오프로드 및 가속화 기능을 갖추고 있으며, 매우 까다로운 성능 요구를 충족합니다. nShield Solo는 소프트웨어 기반 암호화로는 부족한 상황에 대응할 수 있는 전용적인 물리적 및 논리적 제어 기능을 제공합니다. 또한 Security World 아키텍처를 채용하고 있기 때문에, 높은 보안성과 사용성의 이상적인 조합을 제공합니다. 따라서 듀얼 컨트롤 등의 보안 정책 결정과 동시에 일이 많고 부담이 큰 관리자 업무를 자동화 할 수 있습니다.

nShield Solo는 다른 nShield HSM 제품군과 완벽하게 호환되기 때문에 성능 요구사항 증가에 따라 다른 HSM과 쉽게 혼용 및 마이그레이션이 가능합니다. 또한 다양한 기능적 요구를 충족 할 수 있도록 타원 곡선 암호 (Elliptic Curve Cryptography : ECC)에 최적화 된 모델을 포함한 다양한 성능의 모델이 준비되어 있습니다. 이중화된 nShield Solo는 하드웨어 내결함성을 실현하고 고 가용성이 필수적인 데이터 센터에 이상적입니다. 제 3 기관에 의해 검증된 보안 플랫폼은 다양한 상용 비즈니스 애플리케이션 및 사용자 지정 빌드의 비즈니스 응용 프로그램을 위해 공개 키 인프라 (Public Key Infrastructures : PKI) ID 관리 시스템, 데이터베이스, 인터넷 망, DNS 보안 확장 (Domain Name System Security Extension : DNSSEC)의 코드서명 구현을 포함한 중요한 보안 시스템을 위해 암호화와 디지털 서명 키 관리 및 암호화 작업을 수행합니다. nShield Solo는 FIPS 140-2 레벨 3 및 CC EAL4+ 인증을 받아 그 보안성이 검증되었습니다.

nShield Solo의 장점

• HSM 소프트웨어 기반 암호화가 가지는 본질적인 취약점을 해결합니다.

• 강력한 키 관리 아키텍처는 규제 준수를 포함한 운영 비용을 최소화합니다.

• 성능 향상에 특화된 서버 내장형입니다.

• 중요한 보안 기능을 분리하여 IT의 상호 의존성을 최소화합니다.

• 보증에 관한 까다로운 어플라이언스 공급 업체를 위해 FIPS 140-2 인증을 획득하고 있습니다.

nShield Solo의 특징

보안 관련

하드웨어 보안 모듈 (HSM)의 주요 목적은 소프트웨어 응용 프로그램이나 운영 체제 또는 보호되지 않은 서버 하드웨어에 의해 수행되는 암호화 작업의 보안을 강화하는 데 있습니다. 이러한 HSM 이외에 의한 방법의 대부분은 데이터 유출, 잘못된 구성 설정, 변경 등에 취약합니다. HSM을 통해 이루어지는 추가적 보안요소는 다중의 단계를 통합하는 여러 가지 입증된 기술을 사용합니다. 이러한 기술들은 아래와 같습니다.

물리적 보안 대책

• 암호화 프로세스와 키를 응용 프로그램과 호스트 운영 체제에서 분리하여 고립시키고 엄격하게 관리되는 암호화 API를 통한 접근 만을 허용하는 카드 기반의 전용 보안 모듈 (PCI 또는 PCIe 형태).

• CodeSafe 사용을 통해 보안에 민감한 응용 프로그램 코드 부분을 호스트 서버에서 HSM으로 옮겨와서 HSM의 물리적 보안으로 보호되는 위변조 방지 응용 프로그램 "샌드박스"로 안전하게 실행할 수 있는 옵션 기능을 포함합니다.

• 프로빙의 공격으로부터 내부 회로를 보호하기 위한 에폭시 포팅 사용을 포함함으로써 물리적 공격을 방지

• 전원 및 온도의 무결성을 포함한 환경 조건에 대한 모니터링을 통한 공격 가능성을 탐지 합니다.

논리적 보안 대책

• HSM에 직접 접속하는 모든 관리자와 사용자는 HSM 자체가 발행하고 관리하는 스마트 카드를 사용하여 강력하게 개별 인증되므로 비밀번호에만 의존하지 않습니다. 비밀번호는 그 자체로 취약할 수 있으며, 다른 시스템에서 관리되거나 다른 응용 프로그램에 의해 노출되는 경우가 많아 취약합니다.
• 응용 프로그램의 "수퍼 유저" 또는 루트 권한의 관리자가 광범위한 권한을 갖게 되는 소프트웨어 기반 시스템과는 달리, HSM 관리자와 HSM에서 보호하는 키의 사용을 승인하는 키 관리자 사이의 역할을 명확히 분리합니다.
• 키 복구 등 특히 신중하게 취급해야 작업을 수행하기 위해 일정 수의 인원을 요구하는 정족수 설정으로 작업에 여러 관리자 및 운영자를 요구하는 듀얼 컨트롤을 지원합니다. 이러한 상호 감시 기법은 악의적인 내부자 위협을 최소화하며, 자유로운 구성 설정을 지원하며, HSM 내에서 엄격하게 실행됩니다.
• CodeSafe 의해 보호되는 응용 프로그램에 대해서 강력한 무결성 검증 및 정책 실행을 보장합니다. (옵션)

운영 관련

과거에는 고급 보안 기능은 단지 귀찮고 추가적인 노력이 요구되며 성능에 안좋은 영향을 미치는 것이 보통이었습니다. 결과적으로 관리자는 보안과 성능 및 효율성 사이의 무의식적인 트레이드 오프를 수행할 수 밖에 없었습니다. nShield 제품군 HSM과 Security World 키 관리 아키텍처는 여러 중요한 키 관리 작업을 자동화하고, 용량 및 성능에 대한 제약을 제거하여 보안과 편리함을 동시에 제공합니다. 자세한 특징은 다음과 같습니다.

• 기존 데이터 백업, 복제 및 파일 공유 등의 방법을 이용하여 안전하고 자동화된 응용 프로그램 키의 공유, 배포 및 백업을 수행하는 강력한 기능을 통해 HSM의 실제 적용 및 운용에 발생되는 여러 비용들을 최소화함으로써 HSM 설치 및 관리 작업을 크게 단순화 합니다.
• 다양한 애플리케이션 및 시스템, 그리고 애플리케이션 선두 업체의 광범위한 사전 테스팅 프로그램을 지원하는 표준 API를 지원함으로써 도입 위험 부담을 최소화 합니다.
• 암호화 처리의 가속 및 오프로드는 클라이언트 시스템에서 리소스 집약적인 작업을 없애고 전체적인 성능을 향상시켜 최대한의 용량을 제공 합니다.
• 안전한 키 저장소의 용량 제한을 없애고, 전반적인 확장성이 향상 됩니다.
• 키 저장을 위한 고가의 백업 전용 하드웨어 또는 키 백업 전용 HSM의 필요성을 없애는 백업 기술 제공.
• 단일 호스트 또는 호스트 시스템의 그룹에 속한 여러 HSM들을 통합하여 로드 밸런싱 및 fail-over 기능을 갖춘 재해 복구 자원 풀을 구축 가능 합니다.
• 원격제어를 통해 키 관리자 및 시스템 관리자가 안전한 방식으로 업무를 수행함과 동시에 비용을 절감하고 불편함을 감소 시킵니다.
• CodeSafe로 보호된 응용 프로그램의 원격 프로비저닝 (옵션).

Thales nShield HSM SOLO(PCIe Type) 제품에 대한 문의는 아래 아이마켓코리아 암호화 솔루션 담당자에게 연락주시면 컨설팅을 받으실 수 있습니다.

(주) 아이마켓코리아
김 경 일
대리 │ IT 솔루션 영업팀
TEL : +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090