기존 HSM 수준의 보안성과 소프트웨어의 유연성을 겸비하여, 글로벌 시장에서 경쟁력 있는 솔루션으로, 클라우드 환경과 대용량 키관리에 최적화 된 새로운 패러다임의 HSM입니다.
클라우드 스케일의 애플리케이션을 지원할 수 있도록 확장성을 제공하여, 비싸기만하고 배치 및 관리에 따른 확장성이 떨어지는 장비 구매 없이도 , 대용량의 암호키 생성 및 처리가 가능합니다.
클라우드 환경에서 설치 및 설정이 용이하여, 기존 HSM을 다룰 수 있는 특화된 엔지니어가 없어도, 여러분의 암호키를 클라우드에서 편리하게 관리할 수 있게 해 줍니다.
기존 HSM 수준 이상의 보안성을 제공하여, 클라우드 회사 (MS, Amazon, Google)의 관리자나 심지어 TEEware에서도 여러분의 암호키와 민감한 데이터에 접근할 수 없도록 안전을 보장합니다. 따라서, 악의적인 내부자 또는 악의적인 클라우드 서비스 관리자로부터도 당신의 중요한 디지털 자산을 지킬 수 있습니다.
또한, 소프트웨어에 기반한 유연성을 제공하여 새로운 암호알고리즘이 쉽게 적용될 수 있는 글로벌 수준의 경쟁력을 가진 제품입니다.
KangaLock vHSM 기술소개 – TEE란?
KangaLock vHSM은 차세대 보안 기술인 TEE (Trusted Execution Environment; 신뢰실행환경)을 적용하여 어플리케이션에서 생성된 암호키가 노출되지 않고, 안전한 암호키를 기반으로 안전하게 데이터를 처리할 수 있습니다.
TEE 기술은 1) 기존에 알려진 모든 형태의 공격을 포함하여, 클라우드 환경에서 발생할 수 있는 2) 운영 체제를 통한 공격과 3) 실행중인 다른 프로그램을 통한 공격 및 4) 악의적인 관리자에 의한 공격까지도 막기 위해서 설계된 강력한 보안 기술로 업계에서 주목하고 있습니다.
TEE기술은 OS나 다른 어플리케이션이나, 관리자의 위협에 대비하여 공격할 수 있는 부분을 축소시켜 안전한 실행 환경을 CPU 안에서 제공하는 모델입니다. CPU 환경을 일반실행환경(REE)과 신뢰실행환경(TEE)으로 분리하여 암호키와 같이 민감한 데이터를 생성하거나 처리할 때는 TEE 영역에서 실행되도록 격리시켜 인가되지 않은 접근을 차단할 수 있습니다.
신뢰실행환경 안에서는 변조되지 않은 프로그램만 실행 가능하고, 신뢰실행환경에서 생성된 데이터는 자동으로 암호화되어 보호됩니다.
CPU 고유의 키를 사용하여 자동 암호화되어 메모리에 저장되므로, 기존에 알려진 메모리 공격만으로는 정보를 알아낼 수 없으며, 데이터를 암호화한 CPU 이외의 다른 CPU에서는 처리가 불가능합니다.
Key Features
•
수요량에 따른놀라운 확장성
클라우드에서 확장성을 고려한 로드밸런싱과 고가용성을 제공하며, 대용량의 암호키 생성 및 처리할 수 있음
•
즉각적인 설치 및관리의 편의성
소프트웨어 방식으로 클라우드 및 기존 장비를 활용하여 짧은 시간안에 빠르게 설치가 가능하고 복잡한 기능을 단순화시켜 관리가 편리함
•
기존 시스템과의호환성
표준 인터페이스를 활용하여 기존에 사용하던 HSM이 있는 경우에도, 기존 HSM과 같이 운영하거나 대체가 용이함
•
저비용의암호화 전략
심플하고 예측가능한 가격정책으로 서비스 기획 및 서비스의 확대 에도 낮은 비용으로도 암호화 전략 수립이 가능함
활용분야
KangaLock vHSM은 은행이나 보험과 같은 금융 서비스, 데이터베이스 보안, DRM, 코드 및 전자문서 서명 등의 전통적인 영역에서 기존 HSM과 같이 사용될 수 있으며, 최근 들어 클라우드, IoT, 블록체인, 커넥티드 카 등의 영역에서도 암호화를 위한 필수 요소로 활용될 수 있습니다.
Usecase
클라우드 규모의 키관리 및 암호처리가 필요할 때
KangaLock vHSM은 분산 환경에서 확장 가능하게 설계되어, 수요에 따라 확장 가능한 퍼포먼스를 제공합니다. 클라우드 레벨에서 제공하는 고가용성과 재난 복구 기능을 활용함으로써 운영의 복잡성을 최소화시켜주고 단순화된 시스템 운영이 가능합니다.
완전한 프라이버시가 보장되어야 할 때
민감한 데이터가 평문으로 복호화되어 처리중일 때도 데이터를 보호할 수 있으므로, 진정한 의미의 end-to-end 보안 (at-rest, in-transit, and in-use; 저장중, 전송중, 처리중) 을 제공합니다. 따라서 민감한 데이터의 완전한 프라이버시가 보장되어야 할 때 그 진가를 발휘할 수 있습니다.
주요 비즈니스 로직을 안전하게 처리해야 할 때
주요 비지니스 로직을 암호화/복호화 기능과 연계하여 처리해야 하는 경우가 있습니다. 이럴 경우 비즈니스 로직을 TEE 영역안에서만 암호화/복호화 기능과 연계하여 처리함으로써 기업의 핵심 자산인 주요 비지니스 로직도 함께 보호할 수 있습니다.
새로운 암호 알고리즘의 도입이 필요할 때
KangaLock vHSM은 NSA Suite B에 정의된 알고리즘들을 포괄적으로 지원하며, 소프트웨어 기반의 HSM으로 새로운 알고리즘에 대한 지속적인 추가지원이 가능합니다. 예를들어, ECDSA secp256k1 등과 같이 블록체인 애플리케이션에서 사용되는 커브 및 알고리즘을 지원합니다.
제품사양
Operating System | Linux (Ubuntu, Debian, RHEL, CentOS), Windows |
Interface | PKCS#11 (Supports C, C++, Go, Python, Node.js, OpenSSL) |
Algorithm | RSA, ECDSA, EdDSA, HMAC, SHA-2, AES, Triple DES, ARIA, SEED |
Application | NGINX, Apache HTTP Server, Oracle Database |
Certification | FIPS 140-2 Compliant Algorithm |