AWS 클라우드 보안 시스템에서는 데이터 암호화, 키 관리, 기밀 정보 보호가 시스템 보안을 보장하는 핵심 요소입니다. AWS는 다음을 포함한 다양한 보안 서비스를 제공합니다. AWS 키 관리 서비스(KMS),AWS 클라우드HSM 그리고 AWS 시크릿 관리자 가장 일반적으로 사용되는 세 가지 기능은 다음과 같습니다. 하지만 이 기능들은 기능을 중복하지 않고 다양한 보안 요구 사항을 처리합니다.
- AWS KMS:관리형 키 관리 및 암호화 서비스로, 대부분 애플리케이션 시나리오에 적합하며, 사용 편의성, 낮은 비용, AWS 서비스와의 높은 통합을 특징으로 합니다.
- AWS 클라우드HSM: 독점적인 하드웨어 보안 모듈 서비스로, 매우 높은 보안 요구 사항이 있는 산업(예: 금융, 정부)에 적합한 최고 수준의 키 자율성과 규정 준수 보호를 제공합니다.
- AWS 시크릿 관리자: 수동 유지 관리의 위험을 줄이기 위해 애플리케이션 기밀 정보(예: 비밀번호, API 키, OAuth 토큰)의 안전한 저장 및 자동 순환에 중점을 둡니다.
이 세 가지의 작동 방식, 장점, 단점, 차이점을 이해하는 것은 건축 설계에서 합리적인 선택을 하는 데 매우 중요합니다.
AWS KMS란 무엇인가요?
AWS KMS는완전 관리됨KMS의 키 관리 서비스를 이용하면 사용자는 클라우드에서 암호화 키를 안전하게 생성, 저장, 사용할 수 있으며, S3, EBS, RDS, Lambda 등 거의 모든 AWS 서비스와 원활하게 통합할 수 있습니다. FIPS 140-2 키의 암호화 자료를 보호하기 위한 표준 하드웨어 보안 모듈(HSM)입니다.
1. KMS 키 유형
KMS의 키는 다음과 같이 불립니다. KMS 키(이전 명칭: CMK)는 세 가지 범주로 구분됩니다.
1. 고객 관리 키(고객 관리 키)
- 사용자가 만들고 유지 관리하며, 권한을 완벽하게 제어할 수 있습니다.
- 키 정책을 사용자 정의하고, 별칭과 태그를 설정하고, 키를 활성화하거나 비활성화하고, 수동 또는 자동으로 순환할 수 있습니다.
- SSE-KMS로 암호화된 S3 버킷과 같이 세분화된 권한 제어가 필요한 시나리오에 적합합니다.
2. AWS 관리 키(AWS 관리 키)
- AWS에서 자동으로 생성 및 관리되며, 일반적으로 기본 암호화 시나리오에서 사용됩니다.
- 운영 및 유지관리 비용은 낮지만, 통제 권한이 제한적입니다.
3. AWS 소유 키(AWS 자체 키)
- 사용자 계정에 표시되지 않지만 AWS에서는 이를 사용하여 일부 리소스를 암호화합니다.
- 사용자는 관리할 필요도 없고, 직접적인 통제권도 없습니다.
2. 대칭 키 vs. 비대칭 키
- 대칭 키: 암호화와 복호화에 동일한 키가 사용되므로 빠르고 대부분의 애플리케이션에 적합합니다.
- 비대칭 키: 크로스 시스템 암호화, 디지털 서명 및 기타 시나리오에 적합한 공개 키와 개인 키가 포함되어 있습니다.
데이터가 필요한 경우 AWS 외부 암호화와 복호화에는 비대칭 키가 더 적합할 수 있습니다. 그렇지 않은 경우 대부분의 경우 대칭 키가 더 효율적입니다.
3. KMS 비용
(예를 들어 2025년 표준을 살펴보자)
- 각 키:1달러/월
- 정기 요청: 10,000건마다 0.03 달러
- 비대칭 키는 생성하는 데 더 많은 비용이 듭니다. 예를 들어, RSA 키는 생성하는 데 더 많은 비용이 듭니다(10,000회 생성 시 10달러 이상).
AWS Secret Manager란 무엇인가요?
Secrets Manager는 다음에 중점을 둡니다.애플리케이션 기밀성 관리데이터베이스 비밀번호, API 키, 타사 서비스 자격 증명 등과 같은 기밀 정보를 암호화합니다. KMS와 통합하여 저장된 기밀 정보를 자동으로 암호화하고 필요할 때 다시 복호화합니다.
1. Secrets Manager가 필요한 이유는 무엇인가요?
기존 방식은 비밀번호를 구성 파일이나 코드에 직접 쓰는 방식인데, 이 방법에는 두 가지 문제가 있습니다.
- 비밀번호가 노출될 위험이 높은데, 코드가 유출되면 자격 증명이 도난당할 수 있기 때문입니다.
- 비밀번호 교체는 복잡하고 여러 애플리케이션과 구성을 수동으로 업데이트해야 하므로 변경 사항을 놓치기 쉽습니다.
Secrets Manager는 다음과 같은 문제점을 해결합니다.
- 자동 회전: RDS, Aurora, Redshift 등의 데이터베이스에 대한 정기적인 자동 비밀번호 업데이트를 지원합니다.
- 중앙 집중식 스토리지: 모든 비밀은 안전한 저장소에 중앙 집중화되어 더 이상 코드에 분산되지 않습니다.
- 버전 제어: AWSCURRENT 및 AWSPENDING과 같은 태그를 통해 여러 버전의 비밀을 관리하여 원활한 전환을 달성합니다.
2. 사용 프로세스 예시
- 비밀(예: 데이터베이스 연결 비밀번호)을 생성하고 암호화에 사용되는 KMS 키를 선택합니다.
- 자동 순환 정책을 구성합니다(예: 30일마다 업데이트).
- 비밀번호를 하드코딩하는 대신, 애플리케이션은 런타임에 API를 통해 현재 유효한 비밀번호를 얻습니다.
3. Secrets Manager 비용
- 처음 30일 동안 무료 체험
- 그 이후의 각 비밀은 다음과 같습니다.0.4달러/월
- API 요청: 10,000개마다 0.05 달러
AWS CloudHSM이란 무엇인가요?
CloudHSM은전용 하드웨어 보안 모듈이 서비스를 통해 AWS 클라우드에서 본인만 소유하는 HSM 인스턴스를 확보할 수 있습니다. 본인만 키 소유자이며 AWS는 해당 키에 접근할 수 없습니다.
1. 주요 특징
- FIPS 140-2 레벨 3 보안 표준을 준수하므로 금융, 의료, 정부 등 산업의 규정 준수 요구 사항을 충족합니다.
- 표준 암호화 API(PKCS#11, JCE, CNG)를 지원하므로 기존 시스템과 쉽게 통합할 수 있습니다.
- 키를 생성하고, 가져오고, 내보낼 수 있으며 암호화 및 복호화, 서명, HMAC, 난수 생성과 같은 작업을 수행할 수 있습니다.
2. KMS와의 차이점
- 케이엠에스: 완전 관리형, AWS가 인프라와 고가용성을 관리합니다.
- 클라우드HSM: 키 백업, 복구, 고가용성 배포 등을 포함하여 자체 HSM을 관리합니다.
3. CloudHSM 비용
(예를 들어 도쿄 지역을 살펴보자)
- 시간당 1.81달러
- 한 달에 한 번 인스턴스 1,321달러(추가 네트워크/저장 비용은 제외).
세 가지의 비교 요약
| 특성 | AWS KMS | AWS 시크릿 관리자 | AWS 클라우드HSM |
|---|---|---|---|
| 핵심 기능 | 에스크로 키 관리 및 암호화 | 기밀 정보 저장 및 순환 | 전용 하드웨어 보안 모듈 |
| 완전히 관리되나요? | 예 | 예 | 아니요 |
| AWS와의 통합 | 높은 | 높은 | 중간 |
| 권한 제어 | 중간(부분적으로 구성 가능) | 중간 | 최고(완전 자체 관리) |
| 일반적인 용도 | S3/EBS 데이터 암호화 | 데이터베이스 비밀번호 및 API 키 관리 | 금융 등급 암호화 및 디지털 서명 |
| 비용 | 낮은 | 중간 | 높은 |
| 규정 준수 | 높은 | 높은 | 제일 높은 |
선택 권장 사항
- 일일 클라우드 데이터 암호화 → 우선순위 케이엠에스, 사용하기 쉽고 비용이 저렴합니다.
- 애플리케이션 자격 증명 및 비밀번호 관리 → 사용 비밀 관리자수동 유지관리의 위험을 줄입니다.
- 높은 보안 및 규정 준수 요구 사항 → 선택 클라우드HSM, 키에 대한 완전한 제어권을 얻습니다.
많은 실제 아키텍처에서 세 가지복합 사용:
- 사용 클라우드HSM 최상위 마스터 키 생성 → 매일 암호화를 위해 KMS로 가져오기 → Secrets Manager를 통해 애플리케이션 자격 증명 관리
- 이 솔루션은 보안, 운영 및 유지 관리 효율성, 비용 관리를 고려합니다.
