데이터 암호화 및 암호화 키

이 주제에서는 Google Cloud의 데이터 암호화와 암호화 키에 대한 정보를 제공합니다.

전송 및 저장 시 암호화

Google Cloud는 기본적으로 전송 중 데이터 암호화를 통해 전송 전에 요청을 암호화하고 전송 계층 보안(TLS) 프로토콜을 사용하여 원시 데이터를 보호합니다.

데이터가 저장을 위해 Google Cloud로 전송되면 Google Cloud에서 기본적으로 저장 데이터 암호화를 적용합니다. 저장 데이터 암호화 방식을 더 세부적으로 제어하려는 Google Cloud 고객은 Cloud Key Management Service를 사용하여 자체 정책에 따라 암호화 키를 생성, 사용, 순환, 폐기할 수 있습니다. 이러한 키를 고객 관리 암호화 키(CMEK)라고 합니다.

특정 규정 준수 체계의 경우 Assured Workloads에서 워크로드 환경을 만드는 동안 리소스 프로젝트와 함께 CMEK 프로젝트를 배포할 수 있습니다.

CMEK 대신 기본적으로 제공되는 Google 관리 암호화 키는 FIPS-140-2를 준수하며 FedRAMP 중간 규정 준수를 지원할 수 있습니다. 고객은 CMEK 프로젝트를 삭제하고 Google 관리 키만 사용할 수 있습니다. 하지만 사용 중인 기존 CMEK를 삭제하면 데이터에 액세스하지 못하거나 복구하지 못할 수 있으므로 Assured Workloads 환경을 만들기 전에 CMEK 키를 사용할지 여부를 결정하는 것이 좋습니다.

고객 관리 암호화 키(CMEK)

Google Cloud 프로젝트 내에서 저장 데이터를 암호화하는 데 사용되는 키를 Google Cloud의 기본 암호화가 제공하는 수준보다 더 세밀하게 제어해야 하는 경우 Google Cloud 서비스는 Cloud KMS 내에서 고객이 관리하는 암호화 키를 사용하여 데이터를 보호하는 기능을 제공합니다. 이러한 암호화 키를 고객 관리 암호화 키(CMEK)라고 합니다.

CMEK에서 제공되는 키의 수명 주기 및 관리에 대한 자세한 내용은 Cloud KMS 문서의 고객 관리 암호화 키(CMEK)를 참조하세요. Cloud KMS를 사용하여 키와 암호화된 데이터를 관리하는 방법을 안내하는 튜토리얼은 빠른 시작 또는 Codelab을 참조하세요.

다음 단계