BLOG
| [SEC336] Introducing AWS KMS external keys
연사 : Jeremy Stieglits, Vipul Gupta 일시: 2022.12.01 15:30 ~ 16:30 장소: Venetian, Level 3, Lido 3106 작성자 : 메가존클라우드 Cloud Technology Center 이재정 매니저 |
본 세션은 Amazon이 11월 29일날 발표한 AWS KMS 외부 키 저장소(XKS)에 대한 내용 및 표준 KMS key와 XKS를 비교하고, XKS 프록시 솔루션에 대해 설명한 세션 이었습니다
전체적인 Agenda는 아래와 같습니다.
- AWS KMS 서비스에 외부 키가 있는 이유
- XKS를 지원하기 위해 AWS가 구축한 것
- Demo를 통해 XKS를 어디서 활용할 수 있는지 확인
기술적으로 강조되는 점으로는 하기와 같습니다.
- AWS KMS에서 RoT(Root of Trust)가 완전히 제거되었습니다.
- 모든 key는 고객의 외부 키 관리자에서 동작.
- 모든 키 요청에 대한 외부 가시성 및 제어.
- XKS 프록시는 ‘킬 스위치’ 역할을 합니다. XKS 프록시를 끄면 XKS 키를 사용하는 모든 새로운 암호화 및 암호 해독 작업이 작동을 멈추게 됩니다.
데이터 키를 이미 메모리에 프로비저닝한 서비스는 리소스를 비활성화 하거나 서비스 키 캐시가 만료될 때까지 계속 작동합니다.
XKS의 KMS키로 암호화된 데이터는 두 번의 암호화를 거치게 됩니다.
- 먼저 AWS KMS는 KMS 키에 따른 KMS 키 자료로 데이터를 암호화합니다.
- 그런 다음 외부 키 관리자가 외부 키를 사용하여 AWS KMS로 암호화된 암호문을 다시 암호화합니다.
이중 암호화를 사용하여 암호화된 데이터는 최소한 표준 KMS 키로 암호화된 데이터 만큼 안전 해 집니다.
외부 프록시를 통해 외부 키에 대한 AWS 액세스를 영구적으로 취소하면 AWS에 남아 있는 모든 암호문은 효과적으로 crypto-shredded(암호화 파쇄)됩니다.
XKS와 표준 KMS key에 대한 비교 분석 입니다.
먼저 공통점은 아래와 같습니다.
- 대칭 암호화를 위한 AWS KMS API는 동일하며, XKS에 대한 ARN도 변경되지 않습니다.
- 액세스를 보호하고 AWS 측에서 액세스를 모니터링하는 방법은 변경되지 않습니다. XKS는 동일한 IAM 정책과 동일한 키 정책을 사용합니다. API 호출은 AWS CloudTrail에 기록되며 AWS CloudWatch에는 사용량 지표가 있습니다.
XKS에 새롭게 추가된 부분입니다.
- XKS는 고객이 제공하는 HSM에서 관리되는 비대칭 또는 HMAC 키를 지원 하지 않습니다.
KMS 가격은 동일하게 유지되지만 HSM을 조달하고 XKS 관련 인프라를 운영 상태로 유지하는 데 드는 비용이 크게 증가할 수 있습니다.
모니터링 콘솔을 제공하며 외부 키 스토어와의 각 상호작용에 대한 지표를 수집하여 CloudWatch에 게시합니다.
- 총 요청량
- 지연시간
- 인증서 만료일
- 가용성: XKS Proxy가 성공적인 응답 또는 재시도할 수 없는 오류를 반환한 AWS KMS request의 비율
- 상위 에러 : 지정된 시간 범위 동안 실패한 암호화 및 관리 작업의 상위 5개 예외
Client의 요청이 실패되는 사례 중 한 가지 입니다.
관리 콘솔에서 Key block 기능을 on하게 되면 crypto-shredded(암호화 파쇄)되어 요청에 대해 정상적으로 응답되지 않습니다.
XKS key block을 통해 Client의 요청이 실패한 모습입니다.
이런 경우 XKS key를 다시 unblock 시키면 문제를 해결할 수 있습니다.
암호화 키를 온프레미스 또는 AWS 클라우드 외부에 저장하고 사용해야 하는 규정이 있는 고객이 있다면 AWS XKS를 통해 해소할 수 있겠다는 생각이 들었습니다.
Standard KMS 사용 대비 명확한 장점이 있지만, XKS 인프라 운영을 위한 추가적인 비용이 발생할 수 있기 때문에 워크로드에 맞추어 해당 서비스를 활용하는 것이 중요할 것 같습니다.
본 세션 내용 관련하여 추가 문의나 요청 사항이 있으시다면? 우측 링크로 이동하셔서 편하게 의견을 남겨주세요! https://www.megazone.com/contact/
다른 세션 후기글이 궁금하시다면? 아래 링크를 통해 확인해 주세요!
Keynote Report #1. Day1 Monday Night Live with Peter DeSantis 확인하기
Keynote Report #2. Day2 Adam Selipsky Keynote 확인하기
Keynote Report #3. Day3 Swami Sivasubramanian Keynote 확인하기
Keynote Report #4. Day4 Dr.Werner Vogels Keynote 확인하기
3. 현대화 (Modernization)세션 후기 확인하기
10. 현대화 (Modernization) 2 세션 후기 확인하기
11. 현대화 (Modernization) 3 세션 후기 확인하기
13. 네트워킹 세션 후기 확인하기
16. 보안 세션 후기 확인하기
17. SAP 2 세션 후기 확인하기
21. 스토리지 세션 후기 확인하기
23. 신규업데이트2 후기 확인하기
24. 거버넌스 후기 확인하기
25. 거버넌스2 후기 확인하기
26. DevOps 2 후기 확인하기
28. 분석2 세션 후기 확인하기
30. 분석 3 세션 후기 확인하기
34. 보안 2 세션 후기 확인하기
35. 분석 4 세션 후기 확인하기
36. 모니터링 세션 후기 확인하기
38. 운영 세션 후기 확인하기
39. 운영 2 세션 후기 확인하기
42. 보안 3 세션 후기 확인하기
43. SaaS 세션 후기 확인하기
44. 컴퓨팅 세션 후기 확인하기
45. 신규 업데이트 : AWS SnapStart 세션 후기 확인하기
46. 신규 업데이트 : 네트워크 최적화 인스턴스와 최신 Amazon EC2 네트워킹 세션 후기 확인하기
47. 아키텍처 세션 후기 확인하기
48. SAP 3 세션 후기 확인하기
49. 고객사례 세션 후기
50. SAP 4 세션 후기 확인하기
52. 보안 4 세션 후기 확인하기
53. 보안 규정 세션 후기 확인하기
57. 분석 5 세션 후기 확인하기
61. 분석 6 세션 후기 확인하기