콘텐츠로 이동하기
보안 & 아이덴티티

Google Cloud CA Service 정식 버전 출시

2021년 8월 17일
https://storage.googleapis.com/gweb-cloudblog-publish/images/GCP_Security.max-2600x2600.jpg
Anoosh Saboori

Group Product Management Lead

GCP 사용해 보기

$300의 무료 크레딧과 20개 이상의 항상 무료인 제품으로 Google Cloud 사용을 시작해보세요.

무료 체험

* 본 아티클의 원문은 2021년 7월 13일 Google Cloud 블로그(영문)에 게재되었습니다. 

Google Cloud에서 제공하는 Certificate Authority Service(Google Cloud CAS) 정식 버전이 출시되었다는 반가운 소식을 전해드립니다. 디지털 환경에서 인증서 사용이 전례 없이 증가함에 따라,Google Cloud CAS는 확장성과 가용성이 우수한 비공개 CA를 제공해 이에 대응하고자 합니다. 인증서 사용이 기하급수적으로 증가한 원인은 클라우드 컴퓨팅 증가, 컨테이너로의 이전, 고속 연결의 보편화, 사물 인터넷(IoT)과 스마트 기기의 급증 등으로 지난 몇 년간 여러 가지 조건이 겹치면서 플라이휠 효과에 맞먹는 영향을 미쳤습니다(이 주제를 다룬 백서 참조). 

Google Cloud CAS에서 CA를 얼마나 간편하게 설정할 수 있는지 확인해 보세요.

Video Thumbnail

지난 10월 퍼블릭 프리뷰 버전이 출시된 이후 시장에서 Google Cloud CAS는 큰 호응을 얻었으며 이 서비스를 활용한 혁신적인 여러 고객 사례가 등장했습니다. 주목할 만한 CAS 고객 사례 몇 가지를 소개합니다. 

"Credit Karma에서는 보안에 최우선순위를 두고 보안 수준을 개선할 방법을 항상 모색하고 있습니다. 워크로드 ID를 주제로 Google과 1년 넘게 협력해 왔으며 플랫폼 기능을 활용해 오늘날 보안 및 DevOps팀이 실행해야 할 시간 소모적인 작업을 클라우드로 오프로드하는 방법을 찾기 위해 노력했습니다. GCP가 Credit Karma의 의견을 반영하여 이루어낸 발전에 매우 만족하고 있습니다. CA Service는 클라우드에서, 클라우드에 의한 강력한 ID 프로세스를 빌드하기 위한 기본 요소라고 생각합니다." - 제이슨 로버츠, Credit Karma 보안 엔지니어

“Commerzbank AG는 데이터 보안을 매우 중요하게 생각합니다. Google Cloud Platform에 수준 높은 보안 제어가 포함되어 있지만, 자사는 데이터 전송에 대한 최고 수준의 보안 표준을 지원하여 보안 제어 기능을 더욱 강화해야 했습니다. 이를 위해서는 Commerzbank에서 소유한 인증서를 기반으로 GCP에서 신뢰를 구축해야 합니다. Google은 자사의 니즈를 이해하여 Certificate Authority Service 기능에 투자하였고 그 결과, 자사에서는 신뢰할 수 있는 인증서 및 보안 표준을 사용하고 완전 자동화된 확장 가능한 인증서 처리를 제공할 수 있게 되었습니다. 이를 토대로 Commerzbank에서는 GCE, GKE 및 기타 승인 서비스를 사용하여 제품과 가치를 제공하고 있습니다.” - 크리스찬 고르케, Commerzbank AG 사이버 보안 센터 책임자

“규정을 준수하는 안전한 PKI 시스템을 구축하는 것은 복잡하고 많은 비용이 드는 작업으로 알려져 있는 만큼 대다수 규제 대상 정부 거래는 비용 부담이 큽니다. GCP의 Certificate Authority Service(CAS)를 사용한 덕분에 Vitu Authority Trust의 디지털 서명 서비스는 최초로 승인된 정부 디지털 서명 서비스로서 미국에서 완전 디지털 자동차 구매 경험을 제공하게 되었습니다. GCP의 Certificate Authority Service가 Vitu Authority Trust에 최고 수준의 규정 준수를 경제적인 가격으로 제공하여 Vitu Authority Trust는 디지털 인증서 관리에 대한 부담을 클라우드에 맡길 수 있었습니다.” - 아라쉬 니쿠, Vitu 기술 운영 부문 부사장

CAS에서 가장 호평을 받은 기능 3가지를 소개합니다.

  1.  고객들이 Google Cloud CAS에 가장 많이 요구했던 기능은 확장성과 가용성입니다. 이 경우 확장성은 a) 초당 발급되는 인증서 수와 b) 프로젝트당 허용되는 총 인증서/CA 수로 측정됩니다. 가용성은 리전별 인증서 발급에 대한 SLA 지원 업타임을 의미합니다. 
    제품을 기획할 당시 Google에서는 고객들에게 가장 일반적인 문제는 클라우드 변환 도중 머신 및 서비스 ID를 처리하는 방법이라는 사실을 발견했습니다. 고객이 수동 배포를 통해 온프레미스에서 수행하는 작업에 비해 대부분의 클라우드 워크로드는 단기적인 성격이 강하다는 점이 특히 문제가 되었습니다(예: 단기 컨테이너 및 마이크로서비스).
    인증서 발급에 필요한 확장성으로 인해 고객이 지원할 수 없는 기존 CA에 대한 많은 수요가 발생하며 예측 가능성도 대폭 떨어집니다. 고객은 특별한 이벤트를 지원하기 위해 동적으로 확장할 때 ID 인프라에서 확장성 병목 현상이 발생하기를 원치 않습니다. 소매 업계에서는 블랙 프라이데이 판매가 그 예에 해당합니다. 블랙 프라이데이에 급증하는 판매를 처리하기 위해 수천 개의 노드/VM을 가동했다가 급증 이후에 빠르게 삭제하기 때문에 블랙 프라이데이를 지원하기 위해 이루어졌던 모든 투자가 무용지물이 됩니다.
    확장성에 대한 관심이 커진 또 다른 이유는 코로나19 및 재택근무 요구사항이 제로 트러스트 액세스 모델로의 이전을 앞당겼기 때문입니다. 인터넷 전반에서 기기 관리를 개방해야 할 필요성으로 인해 인터넷에서 기기를 보호할 수 있는 인증서 등록에 관한 새로운 확장 요구사항이 등장했습니다. 
  2. 확장성과 가용성 외에도 Google Cloud CAS에는 다른 솔루션을 빌드할 때보다 비용이 절감된다는 이점이 있습니다. 이러한 작업을 수행하려면 하드웨어 보안 모듈(HSM)을 구매하고, 소프트웨어 라이선스를 획득하고, 서버 기기를 구매하고, 여러 중복 루트 키 자료 위치를 보호하며, 규모에 맞게 시스템을 운영하기 위한 전문 PKI/DevOps팀을 고용해야 합니다(높은 자본 지출 및 운영 지출 필요).
    고객들은 프로젝트가 너무 많기 때문에 신중히 선택해야 한다고 말합니다. CA와 인증서는 비즈니스의 주요 요소이며 확장 문제를 해결하기 위해 내부에서 사용했어야 할 리소스를 확보하여 비즈니스에 중요한 작업에 재할당하고 서비스를 사용하는 프로젝트의 속도를 높이는 데에도 적합합니다. Google Cloud CAS에서는 HSM 구매, 프로비저닝, 관리에 대한 직접적인 고객 개입 없이 하드웨어 보안(HSM)이 지원됩니다. Google Cloud CAS에서 제공하는 비용 절감 효과 때문에 HSM 주문을 취소하는 고객도 있었습니다.
  3. Google Cloud CAS를 고려하는 세 번째 이유는 보안이었습니다. 다른 클라우드 서비스와 원활하게 통합되는 Cloud CA는 클라우드 워크로드를 위한 가장 안전한 솔루션을 제공하며 고객이 직접 소프트웨어, 하드웨어, 펌웨어를 최신 상태로 유지할 필요가 없습니다.

또한 일반적인 CAS 시나리오(예: DevOps) 외에도 인증서 수명 주기 관리 파트너(공개 미리보기 출시 파트너인 VenafiAppViewx)를 이용해 기존 IT 및 온프레미스 CA 작업을 현대화하는 전략이 큰 호응을 얻었습니다. 고객들은 CA를 클라우드로 이전하면 운영 지출 및 자본 지출을 절감할 수 있다는 사실을 잘 알고 있으며 이를 DevOps 및 기존 IT에 CA 작업을 통합하고 한곳에서 완벽한 제어와 관리를 구현할 수 있는 기회로 보고 있습니다. 여러 PKI팀으로부터 인증서 작업을 볼 수 없어서 현대적인 DevOps팀에 대한 통제력을 잃을 수 있다는 점을 우려했다는 이야기를 많이 들었습니다. CAS가 이 문제를 해결하는 데 이상적인 방법이 될 수 있습니다. 제로 트러스트 액세스 모델로 마이그레이션한 고객들은 CAS에서 기대 이상의 가치를 발견했습니다.

퍼블릭 프리뷰 출시 이후 고객이 원하는 파트너도 CAS를 사용할 수 있도록 파트너 생태계를 확장해 달라는 요청이 많았습니다. 이러한 의견을 반영하여 기존 파트너인 VenafiAppViewx외에 Key Factor, JetstackSmallstep (CAS에 ACME 지원 제공) 등의 세 구성원을 파트너 프로그램에 추가했습니다. 

또한 처음에 잠재고객으로 타겟팅하지 않았던 고객들의 흥미롭고도 놀라운 사례를 접할 수 있었습니다. 흥미로운 사실은 대부분이 IoT 분야의 사례라는 것입니다. 무선 충전기, USB 기기, 케이블 등 IoT 주변기기를 만드는 중소기업에서 인증서의 필요성을 느끼고 문의해온 사례가 많았습니다. PKI 및 CA가 핵심 비즈니스가 아니고 시장 규모에도 맞지 않아서 이러한 기업들은 PKI와 CA에 대한 투자를 원치 않습니다. CAS는 사용한 만큼만 지불하는 방식으로 이에 부합하는 완벽한 모델을 제공합니다. CAS는 시나리오에 따른 구현, 운영, 관리, 성장이 용이합니다. 

개선의 여지가 있음은 인정하지만 이러한 사례를 통해 Google이 올바르게 투자했고 적절한 기능을 갖추었음을 알 수 있어 안심이 되었습니다. 유용한 의견을 제공하고 제품의 문제를 파악하도록 도와주는 적극적인 고객들을 만나서 정말 행운이라고 생각합니다. 고객 의견을 바탕으로 몇 가지 기능을 추가하여 정식 버전의 제품을 개선할 수 있었다는 점에서 진심으로 감사드립니다. 

새로운 기능이 많이 있지만 정식 버전의 CAS에 새롭게 포함된 업계 최고의 기능을 2가지 소개합니다.

  • CA 순환(CA 인증서 만료가 임박한 경우)은 어려운 작업이며 일반적으로 만료될 CA를 새 CA로 교체하려면 서비스 중단이 필요한 절차를 거쳐야 합니다. 고객들은 이 절차를 원활하게 만들어 달라고 요청했습니다. 이에 부응하여 한 CA 그룹이 동일한 수신 요청 큐에 제공되는 CA 풀이라는 이름의 새 기능을 정식 버전에 추가했습니다. 새 CA를 풀에 추가하고 이전 CA를 삭제하면 CA 순환을 간단히 수행할 수 있습니다. 워크로드나 클라이언트 코드를 변경할 필요가 없습니다. 또한 풀의 제공 CA가 균일하게 선택되어 처리량을 늘릴 수 있습니다. 
  • 인증서 발급 정책의 세부적인 관리 또한 많은 요청을 받은 기능이었습니다. 정식 버전에서는 사용자 그룹별 정책을 정의할 수 있도록 정책을 개선했습니다. 또한 관리자가 발급된 모든 인증서에 적용되어 발급된 인증서의 (일부 또는 전체) 매개변수를 재정의하는 인증서 템플릿을 정의할 수 있습니다. 

정식 버전에 새롭게 포함된 나머지 기능과 통합을 아래에 요약해 두었습니다.

  • Google Cloud CAS 구성 및 관리를 위한 코드형 구성과 Terraform 지원의 중요성에 대한 의견이 많았습니다. 의견을 반영하여 Google Cloud CAS용 Terraform 제공업체를 마련했습니다.
  • Google Cloud CAS와 cert-manager의 연동에 대한 요구도 많았습니다. 하루에 160만 번 넘게 다운로드되는 cert-manager는 Kubernetes 환경에서 인증서 수명 주기 관리를 자동화하기 위해 가장 일반적으로 사용하는 오픈소스 도구 중 하나입니다. 요구에 부응하여 Jetstack과 함께 cert-manager.io 통합을 개발했습니다. 
  • Hashicorp Vault를 새 서비스에서도 정책 엔진으로 사용하고 싶다는 고객 의견도 있었습니다. 이에 따라 Hashicorp Vault 플러그인을 빌드하여 Hashicorp Vault를 정책 소스로 사용하고 Google Cloud CAS를 인증서 발급기관으로 사용할 수 있게 조치했습니다. 
  • 또한 제품 설정에 대한 안내를 요청하여 CAS Qwiklab을 도입했음을 알려드립니다.

위의 기능/통합 외에도 정식 버전에는 다음 업데이트가 포함되어 있습니다.

  • 가격 책정: 단순한 '사용한 만큼만 지불' 모델을 활용할 수 있습니다. 수요를 예측할 수 없는 경우 청구가 모호하게 이루어지지 않도록 대용량 고객을 위한 구독 모델도 제공합니다.
  • SLA: 현재 SLA가 공개된 상태로서 인증서 생성에 대한 99.9%의 리전별 가용성을 제공합니다. 
  • 추가 리전: 상파울루, 몬트리올, 프랑크푸르트, 런던, 시드니, 뭄바이, 도쿄 등 여러 신규 리전에서 CAS를 사용할 수 있다는 소식을 전하게 되어 기쁘게 생각합니다.
  • 규정 준수: ISO 27001, 27017, 27018, SOC1, SOC2, SOC3, BSI C5, PCI 감사의 일부로 CAS가 포함되었습니다. FedRAMP 감사에도 CAS를 포함하고자 노력 중입니다. 또한 CAS에서는 기본적으로 비공개 키 보호를 위해 FIPS 140-2 Level 3 인증을 받은 Google Cloud HSM을 사용합니다.

Google Cloud CAS에서는 엔터프라이즈 수준의 SLA가 지원되어 모든 현대적 규모를 충족할 수 있는 속도로 거의 무제한의 할당량을 발급된 총 인증서 수에 대해 제공하기 때문에 굳이 고객 관리 배포를 이용할 이유가 없습니다. CAS를 사용할 수 있는 클라우드 지원 CA 플랫폼으로의 전환을 계획해 보세요. 

백서(1) (2)에서 CAS에 대해 자세히 알아보고 여기에서 활성화하세요.
게시 위치