BLOG
[SEC336] Introducing AWS KMS external keys
연사 : Jeremy Stieglits, Vipul Gupta 일시: 2022.12.01 15:30 ~ 16:30 장소: Venetian, Level 3, Lido 3106 작성자 : 메가존클라우드 Cloud Technology Center 이재정 매니저 |
본 세션은 Amazon이 11월 29일날 발표한 AWS KMS 외부 키 저장소(XKS)에 대한 내용 및 표준 KMS key와 XKS를 비교하고, XKS 프록시 솔루션에 대해 설명한 세션 이었습니다
전체적인 Agenda는 아래와 같습니다.
- AWS KMS 서비스에 외부 키가 있는 이유
- XKS를 지원하기 위해 AWS가 구축한 것
- Demo를 통해 XKS를 어디서 활용할 수 있는지 확인
기술적으로 강조되는 점으로는 하기와 같습니다.
- AWS KMS에서 RoT(Root of Trust)가 완전히 제거되었습니다.
- 모든 key는 고객의 외부 키 관리자에서 동작.
- 모든 키 요청에 대한 외부 가시성 및 제어.
- XKS 프록시는 ‘킬 스위치’ 역할을 합니다. XKS 프록시를 끄면 XKS 키를 사용하는 모든 새로운 암호화 및 암호 해독 작업이 작동을 멈추게 됩니다.
데이터 키를 이미 메모리에 프로비저닝한 서비스는 리소스를 비활성화 하거나 서비스 키 캐시가 만료될 때까지 계속 작동합니다.
XKS의 KMS키로 암호화된 데이터는 두 번의 암호화를 거치게 됩니다.
- 먼저 AWS KMS는 KMS 키에 따른 KMS 키 자료로 데이터를 암호화합니다.
- 그런 다음 외부 키 관리자가 외부 키를 사용하여 AWS KMS로 암호화된 암호문을 다시 암호화합니다.
이중 암호화를 사용하여 암호화된 데이터는 최소한 표준 KMS 키로 암호화된 데이터 만큼 안전 해 집니다.
외부 프록시를 통해 외부 키에 대한 AWS 액세스를 영구적으로 취소하면 AWS에 남아 있는 모든 암호문은 효과적으로 crypto-shredded(암호화 파쇄)됩니다.
XKS와 표준 KMS key에 대한 비교 분석 입니다.
먼저 공통점은 아래와 같습니다.
- 대칭 암호화를 위한 AWS KMS API는 동일하며, XKS에 대한 ARN도 변경되지 않습니다.
- 액세스를 보호하고 AWS 측에서 액세스를 모니터링하는 방법은 변경되지 않습니다. XKS는 동일한 IAM 정책과 동일한 키 정책을 사용합니다. API 호출은 AWS CloudTrail에 기록되며 AWS CloudWatch에는 사용량 지표가 있습니다.
XKS에 새롭게 추가된 부분입니다.
- XKS는 고객이 제공하는 HSM에서 관리되는 비대칭 또는 HMAC 키를 지원 하지 않습니다.
KMS 가격은 동일하게 유지되지만 HSM을 조달하고 XKS 관련 인프라를 운영 상태로 유지하는 데 드는 비용이 크게 증가할 수 있습니다.
모니터링 콘솔을 제공하며 외부 키 스토어와의 각 상호작용에 대한 지표를 수집하여 CloudWatch에 게시합니다.
- 총 요청량
- 지연시간
- 인증서 만료일
- 가용성: XKS Proxy가 성공적인 응답 또는 재시도할 수 없는 오류를 반환한 AWS KMS request의 비율
- 상위 에러 : 지정된 시간 범위 동안 실패한 암호화 및 관리 작업의 상위 5개 예외
Client의 요청이 실패되는 사례 중 한 가지 입니다.
관리 콘솔에서 Key block 기능을 on하게 되면 crypto-shredded(암호화 파쇄)되어 요청에 대해 정상적으로 응답되지 않습니다.
XKS key block을 통해 Client의 요청이 실패한 모습입니다.
이런 경우 XKS key를 다시 unblock 시키면 문제를 해결할 수 있습니다.
암호화 키를 온프레미스 또는 AWS 클라우드 외부에 저장하고 사용해야 하는 규정이 있는 고객이 있다면 AWS XKS를 통해 해소할 수 있겠다는 생각이 들었습니다.
Standard KMS 사용 대비 명확한 장점이 있지만, XKS 인프라 운영을 위한 추가적인 비용이 발생할 수 있기 때문에 워크로드에 맞추어 해당 서비스를 활용하는 것이 중요할 것 같습니다.
👉본 세션 내용 관련하여 추가 문의나 요청 사항이 있으시다면? 우측 링크로 이동하셔서 편하게 의견을 남겨주세요! https://www.megazone.com/contact/
👉 다른 세션 후기글이 궁금하시다면? 아래 링크를 통해 확인해 주세요!
🔷Keynote Report #1. Day1 Monday Night Live with Peter DeSantis 확인하기
🔷Keynote Report #2. Day2 Adam Selipsky Keynote 확인하기
🔷Keynote Report #3. Day3 Swami Sivasubramanian Keynote 확인하기
🔷Keynote Report #4. Day4 Dr.Werner Vogels Keynote 확인하기
✅3. 현대화 (Modernization)세션 후기 확인하기
✅4. SAP 세션 후기 확인하기
✅5. 쿠버네티스 세션 후기 확인하기
✅7. 분석 세션 후기 확인하기
✅8. AI/ML 세션 후기 확인하기
✅10. 현대화 (Modernization) 2 세션 후기 확인하기
✅11. 현대화 (Modernization) 3 세션 후기 확인하기
✅13. 네트워킹 세션 후기 확인하기
✅14. 마이그레이션3 세션 후기 확인하기
✅16. 보안 세션 후기 확인하기
✅17. SAP 2 세션 후기 확인하기
✅18. 마이그레이션4 세션 후기 확인하기
✅19. DevOps 세션 후기 확인하기
✅20. 신규업데이트 세션 후기 확인하기
✅21. 스토리지 세션 후기 확인하기
✅22. Amazon 세션 후기 확인하기
✅23. 신규업데이트2 후기 확인하기
✅24. 거버넌스 후기 확인하기
✅25. 거버넌스2 후기 확인하기
✅26. DevOps 2 후기 확인하기
✅27. AI/ML 3 세션 후기 확인하기
✅28. 분석2 세션 후기 확인하기
✅29. 쿠버네티스2 세션 후기 확인하기
✅30. 분석 3 세션 후기 확인하기
✅31. 서버리스 컴퓨팅 세션 후기 확인하기
✅32. 신규 업데이트 3 세션 후기 확인하기
✅33. 신규 업데이트 4 세션 후기 확인하기
✅34. 보안 2 세션 후기 확인하기
✅35. 분석 4 세션 후기 확인하기
✅36. 모니터링 세션 후기 확인하기
✅37. AI/ML 4 세션 후기 확인하기
✅38. 운영 세션 후기 확인하기
✅39. 운영 2 세션 후기 확인하기
✅40. 데이터베이스 세션 후기 확인하기
✅41. 데이터베이스 2 세션 후기 확인하기
✅42. 보안 3 세션 후기 확인하기
✅43. SaaS 세션 후기 확인하기
✅44. 컴퓨팅 세션 후기 확인하기
✅45. 신규 업데이트 : AWS SnapStart 세션 후기 확인하기
✅46. 신규 업데이트 : 네트워크 최적화 인스턴스와 최신 Amazon EC2 네트워킹 세션 후기 확인하기
✅47. 아키텍처 세션 후기 확인하기
✅48. SAP 3 세션 후기 확인하기
✅49. 고객사례 세션 후기
✅50. SAP 4 세션 후기 확인하기
✅51. 데이터베이스, 마이그레이션 세션 후기 확인하기
✅52. 보안 4 세션 후기 확인하기
✅53. 보안 규정 세션 후기 확인하기
✅54. 데이터베이스 3 세션 후기 확인하기
✅55. 신규 업데이트 5 세션 후기 확인하기
✅56 .DevOps 3 세션 후기 확인하기
✅57. 분석 5 세션 후기 확인하기
✅58. AI/ML 5 세션 후기 확인하기
✅59. DevOps 4 세션 후기 확인하기
✅60. 신규업데이트 6 세션 후기 확인하기
✅61. 분석 6 세션 후기 확인하기
✅62. 데이터 보호 세션 후기 확인하기
✅63. AI/ML 6 세션 후기 확인하기
✅64. DevOps 5 세션 후기 확인하기
✅65. 신규업데이트 7 세션 후기 확인하기
✅66. 신규 업데이트 8 세션 후기 확인하기