Proposed Solution
VREM의 DSM은 Fortanix사의 HSM(Hardware Security Module)을 응용하여 글로벌 최초로 KMaaS(Key Management as-a-Service)을 제공하고 있습니다. VREM은 블록체인의 고질적 문제점인 니모닉(Mnemonic)키의 안전한 백업 부재 및 중앙화 된 키 매니지먼트로 인한 거래소 해킹 등 다양한 문제점을 해결하기 위해 VREM 재단을 설립하였습니다. VREM의 KMaaS는 공공, 사설, 하이브리드 및 멀티클라우드 환경에서 데이터를 보호하는 전체 키 라이프사이클 관리 기능을 제공합니다.
VREM KMaaS을 통해 조직은 암호화 키를 안전하게 관리할 수 있는 능력을 갖추게 되며, Bring your Own key(BYOK) 및 Hold Your Own Key(HYOK)와 같은 키 시나리오를 활용하여 암호화 키에 대한 얼마나 많은 제어를 유지하길 원하는 지에 따라 선택할 수 있습니다. 이러한 키 시나리오 중 하나 이상을 사용하면 조직은 기능적, 재무적 및 규정 준수 요구에 가장 잘 부응하는 고객 관리형 암호화 키 접근 방식을 정의할 수 있습니다.
VREM BYOK to KMaaS
BYOK(Bring Your Own Key) 시나리오는 공개 클라우드를 활용하는 기업이 온프레미스에서 자체 마스터 키를 생성하고 선택한 CSP로 키를 안전하게 전송할 수 있도록 합니다. 기업은 BYOK 시나리오를 위해 온프레미스에서 유지하거나 서비스로 임대하는 하드웨어 보안 모듈(HSM)을 사용하여 키를 생성하고 관리해야 합니다.
VREM의 BYOK을 KMaaS와 함께 사용하면 기업은 VREM DSM에서 암호화 키를 KMaaS로 안전하게 내보낼 수 있습니다. KMaaS 고객은 가져온 키를 완전히 제어하며, 이를 권한 있는 목적으로만 사용하고 응용 프로그램 데이터의 무결성을 보호합니다.
이러한 방법은 기업이 클라우드에서 데이터를 보호하는 동시에, 키 관리에 대한 통제를 유지할 수 있게 해주므로 매우 중요합니다. VREM DSM을 사용한 BYOK을 통해 고객의 공용 클라우드 및 응용 프로그램 데이터를 HSM에서 생성된 키를 사용하여 보호합니다. VREM은 DSM 고객이 쉽게 KMaaS와 BYOK 기능을 구현할 수 있도록 사용하기 쉬운 플러그인을 개발했습니다. 이를 통해 고객은 다음을 수행할 수 있습니다
- VREM DSM 키(AES 또는 RSA)을 KMaaS에 가져오기.
- VREM DSM에서 키를 회전(갱신)하고, 새 버전의 기존 키를 KMaaS에 가져오기.
이러한 구성은 클라우드 및 애플리케이션 데이터의 보안을 높이는 동시에, 키 관리에 대한 유연성과 제어를 기업에게 제공합니다.
HYOK in VREM DSM
대부분의 암호화 필요성은 BYOK 접근 방식을 사용하여 안전하게 제공할 수 있지만, 일부 고객은 민감한 데이터가 보안 경계 외부로 공유되거나 전송되지 않아야 하는 특정 사용 사례를 가질 수 있습니다. 이러한 민감한 내용에 대한 보안은 엄격히 온프레미스에서 이루어져야 하며, 접근과 공유가 매우 제한되어야 합니다. HYOK 시나리오에서 고객은 자체 환경에서 암호화 키를 생성, 관리, 저장합니다. CSPs는 이러한 키에 액세스할 수 없으며 암호화된 파일의 내용을 알 수 없습니다
KMaaS 고객이 민감한 데이터에 대한 최대한의 통제를 유지하려는 경우, VREM DSM과 함께 HYOK (Hold Your Own Key) 시나리오를 사용하여 암호화 키를 안전하게 관리할 수 있습니다. 이 키 시나리오에서 KMaaS 고객은 VREM DSM FIPS 140-2 레벨 3 하드웨어 보안 모듈 (HSM)을 사용하여 클라우드나 온프레미스에 키 암호화 키(KEK)를 저장하고 보호합니다.
VREM은 KMaaS와 통합하여 키 관리 서비스를 제공하면서 고객이 암호화 키에 대한 완전한 통제를 유지합니다. VREM DSM은 KMaaS에 연결하여 고객이 애플리케이션에서 데이터 암호화 작업을 위한 마스터 키로 사용할 수 있는 허가된 키를 등록하도록 합니다.
KMaaS은 시스템 무결성을 유지하기 위해 HYOK 설정 활동을 키 관리자 사용자 역할로 제한합니다. KMaaS고객은 또한 VREM 키 스토어가 사용 중인 서비스와 사용자의KMaaS 테넌트와 동일한 지역에 활성화되어 있어야 합니다.
KMaaS은 JSON 웹 토큰(JWT) 기반의 인증을 사용하고, 키 관리 작업을 위해 VREM DSM의 Restful API를 활용합니다. KMaaS에서 데이터 암호화 키를 래핑하고 언래핑하는 마스터 키는 고객이 자신의 키 스토어에서 키를 제어할 수 있도록 VREM DSM에 위치하고 있습니다.