06HSM(하드웨어 보안 모듈)HSM(하드웨어 보안 모듈)

게이트웨이가 HSM을 쓸 때, HSM은 오직 Outbound HTTPS Inspection을 위한 객체를 보관합니다. 구체적으로 관리자가 미리 만들어 둔 CA(인증 기관) 인증서와 키 쌍, 그리고 가짜 인증서용 RSA 키 쌍 2~3개(HTTPS Inspection 데몬 초기화 때 1024/2048/4096비트로 생성)입니다. 즉 HTTPS 검사에 쓰는 핵심 키를 HSM이 대신 안전하게 보관·제공 하는 것이 요지입니다.

Check Point 게이트웨이와 함께 쓸 수 있는 HSM은 Gemalto Luna SP SafeNet HSM 과 FutureX 두 가지이며, PKCS#11 API를 쓰는 다른 벤더는 Check Point Solution Center에 문의합니다.

!HSM과 함께 동작하는 Check Point 환경 *① HTTPS 사이트에 접속하는 내부 컴퓨터 ② HTTPS Inspection을 켠 Check Point Security Gateway ③ 인터넷의 HTTPS 웹사이트 ④ 게이트웨이를 관리하는 Security Management Server ⑤ 상호 연결 네트워크 ⑥ SSL 키·인증서를 저장·제공하는 HSM Server ⑦ HSM Server에 CA 인증서를 만드는 HSM Client 워크스테이션*

핵심은 게이트웨이가 HSM Server를 Outbound HTTPS Inspection에만 쓴다 는 점입니다.

게이트웨이를 HSM과 연동하는 절차는 3단계 로 흘러갑니다.

먼저 HSM 없이 HTTPS Inspection을 먼저 동작시킵니다. SmartConsole에서 HTTPS Inspection을 구성한 뒤, 게이트웨이의 $FWDIR/conf/hsm_configuration.C 파일에서 :enabled ("no") 로 HSM을 꺼 둔 채 정상 동작을 확인하는 것입니다. 그다음 HSM Client 워크스테이션을 구성해 CA 인증서·키 쌍을 HSM Server에 만들 고, 마지막으로 게이트웨이에서 HSM을 켜(enabled "yes") 실제로 HSM의 키를 쓰도록 전환합니다.

이때 환경별 주의가 있습니다. Cluster에서는 모든 멤버를 똑같이 설정 하고, VSX에서는 각 Virtual System 컨텍스트에서 수행하며, Scalable Platforms에서는 해당 Security Group에 접속 해 진행합니다.

정리하면 HTTPS Inspection을 먼저 HSM 없이 세우고(1) → HSM Client로 키를 HSM에 만들고(2) → 게이트웨이에서 HSM을 켜는(3) 흐름이며, 이 한 줄기만 잡으면 Gemalto·FutureX 각각의 세부 명령은 그 위에 얹히는 디테일입니다. 통신을 끊거나(Disabling Communication) HSM 연동 시 HTTPS 검사 모니터링하는 방법도 원문 해당 절에 이어집니다.