데이터 암호화 및 암호화 키
이 페이지에서는 Google Cloud의 데이터 암호화와 암호화 키에 대한 정보를 제공합니다.
전송 및 저장 시 암호화
Google Cloud는 기본적으로 전송 중인 데이터 암호화를 통해 전송 전에 요청을 암호화하고 전송 계층 보안(TLS) 프로토콜을 사용하여 원시 데이터를 보호합니다.
데이터가 저장을 위해 Google Cloud로 전송되면 Google Cloud에서 기본적으로 저장 데이터 암호화를 적용합니다. 저장 데이터 암호화 방식을 더 세부적으로 제어하려는 Google Cloud 고객은 Cloud Key Management Service를 사용하여 자체 정책에 따라 암호화 키를 생성, 사용, 순환, 폐기할 수 있습니다. 이러한 키를 고객 관리 암호화 키(CMEK)라고 합니다.
특정 제어 패키지의 경우 Assured Workloads 폴더를 만들 때 Assured Workloads에서 리소스 프로젝트와 함께 CMEK 프로젝트를 배포할 수 있습니다.
CMEK의 대안으로 기본적으로 제공되는 Google 소유 및 Google 관리 키는 FIPS-140-2를 준수하며 Assured Workloads에서 대부분의 제어 패키지를 지원할 수 있습니다. 고객이 CMEK 프로젝트를 삭제하고 Google 소유 및 Google 관리 키만 사용할 수 있습니다. 하지만 사용 중인 기존 CMEK를 삭제하면 데이터에 액세스하거나 복구할 수 없게 되므로 Assured Workloads 폴더를 만들기 전에 CMEK 키를 사용할지 여부를 결정하는 것이 좋습니다.
고객 관리 암호화 키(CMEK)
Google Cloud 프로젝트 내에서 저장 데이터를 암호화하는 데 사용되는 키를 Google Cloud의 기본 암호화가 제공하는 수준보다 더 세밀하게 제어해야 하는 경우 Google Cloud 서비스는 Cloud KMS 내에서 고객이 관리하는 암호화 키를 사용하여 데이터를 보호하는 기능을 제공합니다. 이러한 암호화 키를 고객 관리 암호화 키(CMEK)라고 합니다.
CMEK에서 제공되는 키의 수명 주기 및 관리에 대한 자세한 내용은 Cloud KMS 문서의 고객 관리 암호화 키(CMEK)를 참조하세요. Cloud KMS를 사용하여 키와 암호화된 데이터를 관리하는 방법을 안내하는 튜토리얼은 빠른 시작 또는 Codelab을 참조하세요.
다음 단계
- Cloud KMS를 사용한 대칭 키 만들기 자세히 알아보기