BLOG
[SEC336] Introducing AWS KMS external keys
연사 : Vipul Gupta, Principal Engineer, AWS KMS, Amazon Jeremy Stieglitz, P-PM KMS, Amazon Antal Gyori, Sr Product Manager, Amazon 일시: 2022.12.01 16:30 ~ 17:30 장소: Level 3, Lido 3106, Venetian 작성자 : 메가존클라우드 Cloud Technology Center 송지혜 매니저 |
AWS Key Management Service(AWS KMS)는 자신이 통제하는 외부 키 관리 시스템에 저장된 암호화 키로 데이터를 보호하려는 고객을 위한 새로운 기능인 외부 키 저장소(XKS)를 도입했습니다.
XKS의 작동 방식을 간략하게 설명하고, 기술 설계의 하이라이트를 포함하고, AWS KMS와 함께 작동하는 AWS 파트너 솔루션을 공유, 외부 키 사용을 고려해야 하는 경우에 대한 결정 기준을 발표합니다.
규제 요구 사항이 있는 고객은 온프레미스 또는 AWS 클라우드 외부에서 암호화 키를 저장하고 사용할 수 있게 되었습니다. XKS를 사용하면 AWS KMS 고객 관리형 키를 온프레미스나 원하는 위치에서 운영하는 하드웨어 보안 모듈(HSM)에 저장할 수 있습니다.
XKS는 KMS 키 계층 구조를 새로운 외부 신뢰 루트로 대체하는 구조로 되어 있습니다. 루트 키는 모두 사용자가 제공 및 운영하는 HSM 내에서 생성 및 저장됩니다.
AWS KMS는 데이터 키를 암호화 또는 해독해야 하는 경우 해당 요청을 공급업체별 HSM으로 전달합니다.
외부 HSM과의 모든 AWS KMS 상호 작용은 사용자가 제공 및 관리하는 프록시인 외부 키 스토어 프록시가 조정합니다. 프록시는 일반 AWS KMS 요청을 공급업체별(Atos, Entrust, Fortanix, HashiCorp, Salesforce, Thales, T-Systems) HSM이 이해할 수 있는 형식으로 변환합니다.
XKS가 통신하는 HSM은 AWS 데이터 센터에 위치하지 않습니다.
XKS 기능을 사용하면, Amazon EBS, AWS Lambda, Amazon S3, Amazon DynamoDB 및 100개 이상의 서비스 등 AWS KMS 고객 관리 키를 지원하는 대다수의 AWS 서비스에 대한 외부 키로 데이터를 암호화할 수 있습니다. 기존 AWS 서비스의 구성 파라미터 또는 코드를 변경할 필요가 없습니다.
XKS의 데이터 키 이중 암호화 흐름입니다.
AWS KMS에 고유한 암호화 키를 요청하는데, 이를 데이터 암호화 키라고 합니다.
데이터 암호화 키를 보호하기 위해 루트 키라고 하는 특정 KMS 고객 관리 키로 해당 키를 암호화하도록 AWS KMS에 요청합니다.
암호화된 데이터 키는 보호하는 데이터와 함께 안전하게 저장될 수 있습니다. 이를 봉투 암호화라고 합니다. 루트 키로는 암호화된 모든 데이터 키를 해독할 수 있으므로 이를 반드시 보호해야 합니다. 루트 키 요소는 비밀키를 저장하도록 설계한 하드웨어인 하드웨어 보안 모듈에 안전하게 생성 및 저장됩니다.
XKS와 AWS KMS는 API, 키 식별자(ARN)는 동일합니다. 고객 관리형 키를 지원하는 AWS 서비스는 KMS와 동일하게 XKS와 함께 작동하며, 요금도 동일합니다. XKS는 프록시 수준에서 또 다른 인증, 감사 및 모니터링 계층을 구현할 수 있습니다. KMS 가격은 동일하게 유지되지만 HSM을 구매하고 XKS 관련 인프라를 운영 상태로 유지하려면 비용이 크게 증가할 수 있습니다.
XKS를 사용하면서 성능, 짧은 지연시간을 유지하는 것이 중요합니다. XKS는 CloudWatch에서 모니터링 할 수 있습니다. 총 요청량, 가용성, 지연시간, 상위 오류, 프록시 인증서 만료일을 모니터링할 수 있습니다.
AWS에서 외부 키를 사용하려고 하면 어려움이 있었습니다. 새로 업데이트된 XKS를 이용하여 기존에 사용하고 있던 키를 AWS상에서도 사용할 수 있어, XKS로 등록하여 사용하면 관리포인트가 줄어 사용하기 편할 것으로 보입니다.
👉본 세션 내용 관련하여 추가 문의나 요청 사항이 있으시다면? 우측 링크로 이동하셔서 편하게 의견을 남겨주세요! https://www.megazone.com/contact/
👉 다른 세션 후기글이 궁금하시다면? 아래 링크를 통해 확인해 주세요!
🔷Keynote Report #1. Day1 Monday Night Live with Peter DeSantis 확인하기
🔷Keynote Report #2. Day2 Adam Selipsky Keynote 확인하기
🔷Keynote Report #3. Day3 Swami Sivasubramanian Keynote 확인하기
🔷Keynote Report #4. Day4 Dr.Werner Vogels Keynote 확인하기
✅3. 현대화 (Modernization)세션 후기 확인하기
✅4. SAP 세션 후기 확인하기
✅5. 쿠버네티스 세션 후기 확인하기
✅7. 분석 세션 후기 확인하기
✅8. AI/ML 세션 후기 확인하기
✅10. 현대화 (Modernization) 2 세션 후기 확인하기
✅11. 현대화 (Modernization) 3 세션 후기 확인하기
✅13. 네트워킹 세션 후기 확인하기
✅14. 마이그레이션3 세션 후기 확인하기
✅16. 보안 세션 후기 확인하기
✅17. SAP 2 세션 후기 확인하기
✅18. 마이그레이션4 세션 후기 확인하기
✅19. DevOps 세션 후기 확인하기
✅20. 신규업데이트 세션 후기 확인하기
✅21. 스토리지 세션 후기 확인하기
✅22. Amazon 세션 후기 확인하기
✅23. 신규업데이트2 후기 확인하기
✅24. 거버넌스 후기 확인하기
✅25. 거버넌스2 후기 확인하기
✅26. DevOps 2 후기 확인하기
✅27. AI/ML 3 세션 후기 확인하기
✅28. 분석2 세션 후기 확인하기
✅29. 쿠버네티스2 세션 후기 확인하기
✅30. 분석 3 세션 후기 확인하기
✅31. 서버리스 컴퓨팅 세션 후기 확인하기
✅32. 신규 업데이트 3 세션 후기 확인하기
✅33. 신규 업데이트 4 세션 후기 확인하기
✅34. 보안 2 세션 후기 확인하기
✅35. 분석 4 세션 후기 확인하기
✅36. 모니터링 세션 후기 확인하기
✅37. AI/ML 4 세션 후기 확인하기
✅38. 운영 세션 후기 확인하기
✅39. 운영 2 세션 후기 확인하기
✅40. 데이터베이스 세션 후기 확인하기
✅41. 데이터베이스 2 세션 후기 확인하기
✅42. 보안 3 세션 후기 확인하기
✅43. SaaS 세션 후기 확인하기
✅44. 컴퓨팅 세션 후기 확인하기
✅45. 신규 업데이트 : AWS SnapStart 세션 후기 확인하기
✅46. 신규 업데이트 : 네트워크 최적화 인스턴스와 최신 Amazon EC2 네트워킹 세션 후기 확인하기
✅47. 아키텍처 세션 후기 확인하기
✅48. SAP 3 세션 후기 확인하기
✅49. 고객사례 세션 후기
✅50. SAP 4 세션 후기 확인하기
✅51. 데이터베이스, 마이그레이션 세션 후기 확인하기
✅52. 보안 4 세션 후기 확인하기
✅53. 보안 규정 세션 후기 확인하기
✅54. 데이터베이스 3 세션 후기 확인하기
✅55. 신규 업데이트 5 세션 후기 확인하기
✅56 .DevOps 3 세션 후기 확인하기
✅57. 분석 5 세션 후기 확인하기
✅58. AI/ML 5 세션 후기 확인하기
✅59. DevOps 4 세션 후기 확인하기
✅60. 신규업데이트 6 세션 후기 확인하기
✅61. 분석 6 세션 후기 확인하기
✅62. 데이터 보호 세션 후기 확인하기
✅63. AI/ML 6 세션 후기 확인하기
✅64. DevOps 5 세션 후기 확인하기
✅65. 신규업데이트 7 세션 후기 확인하기
✅66. 신규 업데이트 8 세션 후기 확인하기