Azure 통합 HSM은 가상 머신에서 암호화 작업의 보안 및 성능을 향상시키기 위해 설계된 HSM(하드웨어 보안 모듈) 캐시 및 암호화 오프로드입니다. 암호화에 크게 의존하고 성능 집약적인 워크로드를 사용하는 고객을 위해 Azure 통합 HSM은 빠르고 안전한 사용을 위해 암호화 키를 저장하는 안전한 하드웨어 지원 방법을 제공합니다.
새 Azure 서버 하드웨어 AMD D 시리즈 v7 및 AMD E 시리즈 v7부터 Microsoft 설계된 HSM 칩은 FIPS(Federal Information Processing Standards) 140-3 수준 3 표준을 충족하여 서버에 직접 포함됩니다. 이러한 변조 방지 칩은 보안 하드웨어 경계 내에서 암호화 키를 유지하여 대기 시간 및 노출 위험을 제거합니다. 통합 HSM은 Azure Key Vault 및 Azure Storage 암호화와 같은 지원되는 서비스에 대해 기본적으로 투명하게 작동하므로 추가 구성 없이 하드웨어 적용 트러스트를 제공합니다. 이러한 통합을 통해 암호화 작업은 클라우드 서비스의 성능과 확장성을 유지하면서 하드웨어 수준 보안 격리의 이점을 얻을 수 있습니다.
Azure 통합 HSM의 이점
-
짧은 대기 시간
- VM(Virtual Machine)과 동일한 노드에서 로컬로 암호화 작업을 수행하여 Azure Key Vault 또는 관리형 HSM에 대한 네트워크 왕복을 줄입니다.
-
키는 보호된 상태로 유지됩니다.
- Azure 통합 HSM에 저장된 키는 명확한 텍스트로 노출되지 않으며 FIPS 140-3 수준 3 HSM 경계 내에 유지됩니다.
-
메모리 보호
- 메모리 및 크래시 덤프 공격으로부터 보호
-
기본 제공 인프라
- Azure 통합 HSM은 Azure 인프라의 일부로 지원되는 각 노드에 연결됩니다.
-
추가 비용 없음
- 추가 비용 없이 사용 가능
지원되는 작업
다음 암호화 작업은 Azure 통합 HSM에 대해 지원됩니다.
-
AES - 암호화 + 암호 해독 (
BCRYPT_AES_ALGORITHM)-
AES-CBC (
BCRYPT_CHAIN_MODE_CBC)- 128비트
- 192비트
- 256비트
-
AES-GCM (
BCRYPT_CHAIN_MODE_GCM)- 256비트
-
AES-XTS (
BCRYPT_XTS_AES_ALGORITHM)- 512비트
-
AES-CBC (
-
RSA (
BCRYPT_RSA_ALGORITHM)-
암호 해독 + 기호
- RSA 2048(2k)
- RSA 3072(3k)
- RSA 4096(4k)
-
래핑 해제
- RSA 2048(2k)
-
암호 해독 + 기호
-
ECC
-
ECDSA - 기호 (
BCRYPT_ECDSA_ALGORITHM)- ECC P256(
BCRYPT_ECDSA_P256_ALGORITHM) - ECC P384(
BCRYPT_ECDSA_P384_ALGORITHM) - ECC P521(
BCRYPT_ECDSA_P521_ALGORITHM)
- ECC P256(
-
ECDH - 비밀 교환(
BCRYPT_ECDH_ALGORITHM)- ECC P256(
BCRYPT_ECDH_P256_ALGORITHM) - ECC P384(
BCRYPT_ECDH_P384_ALGORITHM) - ECC P521(
BCRYPT_ECDH_P521_ALGORITHM)
- ECC P256(
-
ECDSA - 기호 (
-
키 파생
-
HKDF ("HMAC 기반 키 파생 함수") (
BCRYPT_HKDF_ALGORITHM)-
IETF RFC 5869에 정의되고 NCrypt
BCRYPT_HKDF_ALGORITHM에서 문자열로 참조됨
-
IETF RFC 5869에 정의되고 NCrypt
-
HKDF ("HMAC 기반 키 파생 함수") (
가용성 및 가격 책정
Azure 통합 HSM은 이제 AMD v7 지원되는 모든 지역에서 일반적으로 사용 가능한 AMD v7 플랫폼에서 사용할 수 있습니다. 이는 8개 vCore 이상을 위한 Trusted Launch VM의 범용 Dasv7 시리즈, Dadsv7 시리즈, Easv7 시리즈 및 Eadsv7 시리즈에서 지원됩니다. Azure 통합 HSM 일반 공급은 Windows 지원 전용이며 Linux 지원은 곧 제공될 예정입니다. 이 기능은 추가 비용 없이 제공됩니다.
GitHub 리포지토리에는 Azure 통합 HSM을 사용하는 방법에 대한 자세한 내용에 대한 고객 샘플 및 지침이 있습니다.
Limitations
- Windows 게스트만 지원
- WS2025 또는 WS2022를 사용하는 Windows 게스트 이미지는 AziHSM을 지원할 수 있습니다. GitHub 페이지를 방문하여 디바이스와 상호 작용하는 데 필요한 게스트 드라이버 및 주요 서비스 공급자를 설치하는 방법에 대한 자세한 지침을 확인하세요.
- 모든 SKU에 대해 기본적으로 사용하도록 설정되지 않은 고객 옵트인(opt-in)이 필요합니다.
- 옵트인하는 방법에 대한 자세한 내용은 설명서를 배포하는 방법을 참조하세요.
- 선택한 VM SKU에서만 지원됨
- 최소 VM 크기 요구 사항
- Azure 통합 HSM은 크기 8vCores 이상에서만 지원됩니다.
- 신뢰할 수 있는 시작 보안 유형만 지원됨
- 이 기능은 신뢰할 수 있는 시작 보안 유형에만 사용할 수 있습니다. 표준 및 기밀은 지원되지 않습니다.
- VM 할당 취소 및 다시 부팅 시나리오에서 로컬로 캐시된 키의 지속성 없음
- Azure 통합 HSM은 임시 암호화 작업을 지원하도록 설계된 로컬 키 캐시입니다. 키는 가상 머신을 다시 부팅하는 동안 유지되지 않습니다.