본문 바로가기

nCipher HSM (Thales-HSM )

서버 내장형 보안 모듈 Thales HSM nShield™ Solo



Thales HSM nShield™ Solo는 탈레스 전자 보안에서 nShield 솔로 독립 실행 형 서버 또는 제품에 내장 용으로 설계된 PCIe 카드로 비용절감과 고효율성을 보장하는 보안 솔루션입니다.


이 서버 내장형 HSM(하드웨어 보안 모듈)은 전용 암호화 오프로드 및 가속화 기능을 제공하여 고성능 요구 사항을 충족합니다. nShield Solo는 소프트웨어 기반 암호 기술이 부적절한 경우 전용 물리적 제어 및 논리적 제어를 제공합니다. 여기서는 Security World 아키텍처를 사용하므로 nShield Solo는 고보장성과 운영 편의성을 이상적으로 조합하여 제공합니다. 이를 통해 보다 쉽게 이중 제어 등의 보안 정책을 정의하고 적용하면서 번거롭고 위험한 관리 작업을 자동화할 수 있습니다.  


nShieldSolo는 다른 nShield HSM 제품군과 완벽하게 호환되기때문에 성능 요구사항 증가에 따라 다른 HSM과 쉽게 혼용 및 마이그레이션이 가능합니다. 또한 다양한 기능적 요구를 충족 할 수 있도록 타원 곡선 암호(Elliptic Curve Cryptography : ECC)에 최적화 된 모델을 포함한 다양한 성능의 모델이 준비되어 있습니다. 이중화된 nShield Solo는 하드웨어 내결함성을 실현하고 고가용성이 필수적인 데이터 센터에 이상적입니다. 제 3 기관에 의해 검증된 보안 플랫폼은 다양한 상용 비즈니스 애플리케이션 및 사용자 지정 빌드의 비즈니스 응용 프로그램을 위해 공개 키 인프라 (Public Key Infrastructures : PKI) ID 관리 시스템, 데이터베이스, 인터넷 망, DNS 보안 확장 (Domain Name System Security Extension : DNSSEC)의 코드서명 구현을 포함한 중요한 보안 시스템을 위해 암호화와 디지털 서명 키 관리 및 암호화 작업을 수행합니다.


nShield Solo의 특장점

1. HSM은 소프트웨어 기반 암호화가 가지는 본질적인 취약점을 해결합니다.

2. 강력한 키 관리 아키텍처를 통해 규정 준수 보고를 비롯하여 운영 비용을 절감합니다.

3. 성능 향상에 특화된 서버 내장형입니다.

4. 중요한 보안 기능을 분리하여 IT의 상호 의존성을 최소화합니다.

5. 보증에 관한까다로운 어플라이언스 공급 업체를 위해 FIPS 140-2 인증을 획득하였습니다.








nShield Solo 기능

HSM(하드웨어 보안 모듈)의 주요 목적은 대부분 도청, 구성 오류, 수정에 취약한 소프트웨어 응용 프로그램, 운영 체제 또는 보호되지 않는 서버 하드웨어에서 수행되는 암호화 작업의 보안을 향상시키는 것입니다. 다층적인 접근 방식이 결합된, 입증된 여러 기술을 사용하여 추가적인 보호가 실현됩니다. 이러한 기술에는 다음이 포함됩니다.



물리적보안 방법

1. 전용 카드 기반 보안 모듈(PCI 및 PCIe 설치 공간): 응용 프로그램 및 호스트 운영 체제에서 암호화 프로세스 및 키를 분리시켜 엄격하게 제어된 암호화 API를 통해서만 액세스할 수 있습니다.

2. 선택적 기능: CodeSafe 기능을 통해 호스트로부터 응용 프로그램 코드에서 보안이 중요한 부분을 마이그레이션하고 HSM의 물리적 보안으로 보호되는 조작 방지 응용 프로그램 '샌드박스' 내에서 해당 코드를 안전하게 실행합니다.

3. 맞춤 제작 하드웨어: 탐색을 통해 공격으로부터 내부 회로를 보호하는 epoxy 포팅 사용을 비롯하여 물리적인 공격으로부터 보호합니다.

4. 환경 상태 모니터링: 전원 공급 장치 무결성 및 온도를 비롯하여 잠재적 공격을 감지하는 환경 상태를 모니터링합니다.


논리적보안 방법

1. HSM에 직접 액세스하는 모든 관리자와 사용자는 HSM 자체에서 발급 및 관리하는 스마트 카드를 사용하여 강력하고 개별적으로 인증됩니다. 이에 따라 다른 시스템 내에서 관리되고 종종 공유되거나 다른 응용 프로그램에 노출되는 취약한 암호에 의존할 필요가 없습니다.

2. 명확한 임무 분리: HSM 관리자와 HSM 사용을 승인하는 주요 관리인을 구분하여 소프트웨어 기반 시스템과 다른 방식으로 키를 보호합니다. 소프트웨어 기반 시스템에서는 응용 프로그램 '슈퍼 사용자' 또는 루트 수준 관리자들이 널리 확산된 자격을 사용할 수 있습니다.

3. 이중 제어: 여러 관리자 또는 운영자가 키 복구 등의 특정한 중요 작업을 쿼럼으로 작동시키는 데 필요할 수 있습니다. 

4. 상호 감독 방식: 악의적인 내부자의 위협을 최소화하는 일반적인 방법으로 HSM 내에서 고도로 구성 가능하고 강력하게 실행됩니다. 

CodeSafe 보호 응용 프로그램을 위한 강력한 무결성 검증 및 정책 적용(옵션).



운영상의 특징 

이전에는 고급 보안 기능이 사용하기 번거로워 추가적인 노력이 필요한데다 성능이 저하되는 경향이 있었습니다. 그 결과 관리자들은 보안과 성능/효율성 중에서 불가피하게 타협해야 하는 상황에 봉착하곤 했습니다. HSM nShield 제품군(Security World 키 관리 아키텍처 포함): 다수의 중요 키 관리 작업을 자동화하고 용량 및 성능을 제한하는 제한 사항을 제거하여 보안과 편의성을 동시에 제공합니다. 


1. 기존 데이터 백업, 복제 및 파일 공유 실행 기능을 통해 응용 프로그램 키 공유, 배포, 백업을 안전하게 자동 수행하고 값비싼 HSM 전용 실행의 필요성을 제거하여 HSM 배포 및 관리 작업을 대폭 간소화합니다.

2. 표준 응용 인터페이스에서 가장 다양한 응용 프로그램, 시스템 및 업계 최고의 응용 프로그램 공급업체에서 사전 테스트를 거친 광범위한 프로그램을 지원하여 배포 위험성을 최소화합니다.

3. 암호화 가속화 및 오프로드: 호스트 CPU에서 리소스를 많이 소모하는 작업을 제거함으로써 전반적인 성능을 개선하고 용량을 극대화합니다.

4. 보호 대상 키 스토리지에 대해 제한 없는 용량을 제공하여 전반적인 확장성을 증대시킵니다.

5. 백업 기술: 전용 하드웨어 또는 값비싼 백업 HSM에서 키를 아카이빙할 필요가 없습니다.

6. 단일 호스트 또는 여러 호스트 시스템 내에 다중 HSM을 결합하는 기능을 통해 분산 부하 및 페일오버를 위한 탄력적인 리소스 풀을 생성합니다.

7. 원격 제어를 통해 키 관리인과 관리자가 안전한 방식으로 업무를 수행하여 비용을 절감하고 번거로움을 해소할 수 있도록 합니다.

8. CodeSafe 보호 응용 프로그램을 위한 원격 프로비저닝(옵션).


nShield™ Solo 사양

 지원되는 암호화 알고리즘

 대칭

 AES (128, 192 및 256 비트)

 ARIA (128, 192 및 256 비트)

 Camelia (128, 192 및 256 비트)

 Triple DES (112, 168 비트)

 비대칭

 RSA (1024, 2048, 4096, 8192 비트)

 Diffie-Hellman

 DSA

 ECC 제품군 B

 해싱

 SHA-1, SHA-2 (224, 256, 384 및 512 비트)

 인증

 FIPS 140-2 Level 3

 UL, CE, FCC

 RoHS, WEEE

 지원되는 운영

 Windows

 Linux

 Solaris

 IBM AIX

 HP-UX

 AIX LPARs





Thales HSM 제품 관련 문의는 아래의 아이마켓코리아 Thales HSM 담당자에게 연락 주시면 친절하게 상담해드립니다.