Certificate Authority Service 권장사항
이 페이지에서는 Certificate Authority Service를 더 효과적으로 사용하는 데 도움이 되는 몇 가지 권장사항을 살펴봅니다.
역할 및 액세스 제어
Identity and Access Management(IAM)를 사용하여 사용자에게 역할을 부여할 수 있습니다. 역할은 하나 이상의 권한 모음입니다. IAM의 역할은 기본, 사전 정의 또는 커스텀 역할일 수 있습니다.
IAM 역할 유형 | 설명 |
---|---|
기본 | IAM 도입 전에 있었던 기존의 소유자, 편집자, 뷰어 역할이 포함됩니다. |
사전 정의됨 | 사전 정의된 역할은 Google에서 만들고 유지관리합니다. |
커스텀 | 커스텀 역할은 사용자가 정의하며 지원되는 권한을 사용자의 필요에 맞도록 하나 이상 결합할 수 있습니다. 자세한 내용은 맞춤 역할의 이해를 참조하세요. |
개인에게 한 번에 1개 이상의 역할을 할당해서는 안 됩니다. 또한 할당된 역할을 가진 모든 사용자는 책임과 보안 관행에 대한 적절한 설명과 교육을 받아야 합니다. 개인에게 다양한 권한 집합을 할당하려면 IAM을 사용하여 커스텀 역할을 만드는 것이 좋습니다. 커스텀 역할을 만드는 방법에 대한 자세한 내용은 커스텀 역할 만들기 및 관리를 참조하세요.
권한과 사전 정의된 IAM 역할에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.
CA Service 등급
인증 기관(CA) 풀에는 등급이 설정됩니다. 한 CA 풀의 모든 CA에는 동일한 등급이 할당됩니다. CA Service는 CA 풀에 DevOps와 Enterprise라는 두 가지 운영 서비스 등급을 제공합니다. 이 두 등급을 통해 조직에서 운영 요구사항에 따라 성능과 수명 주기 관리 기능의 균형을 맞출 수 있습니다.
- DevOps 등급은 인증서 취소를 지원하지 않으므로 신중하게 사용하는 것이 좋습니다.
- DevOps 등급의 CA의 경우 발급된 인증서가 저장되지 않습니다. 사용 설정한 경우 Cloud 감사 로그를 검토하여 인증서를 추적하는 것만 가능합니다. 마이크로서비스, 컨테이너, 세션 인증서, 비영구 가상 머신, 기타 격리된 요구사항에 사용된 인증서 등 해지할 필요가 없는 단기 인증서에만 DevOps 등급을 사용하는 것이 좋습니다.
- 공개 키 인프라(PKI)는 DevOps 및 Enterprise 등급의 CA 조합으로 구성되어 다양한 요구사항을 충족할 수 있습니다.
- 대부분의 경우 Enterprise 등급을 사용하여 다른 CA 및 종단 개체에 인증서를 발급하는 CA 풀을 만드는 것이 좋습니다.
CA Service 등급에 대한 자세한 내용은 작업 등급 선택을 참조하세요.
Cloud 감사 로그 사용 설정에 대한 자세한 내용은 데이터 액세스 감사 로그 구성을 참조하세요.
CA 서명 키
CA 인증서에 대한 기본 암호화 키 쌍의 적절한 제어에 따라 PKI에서 제공하는 보안 및 무결성이 결정됩니다. 이 섹션에는 CA 서명 키를 보호하기 위한 몇 가지 권장사항이 나와 있습니다.
하드웨어 보안 모듈(HSM)
키 생성, 저장, 사용에 Cloud HSM을 사용하는 Google 소유 및 Google 관리 키를 사용하도록 CA Service를 구성할 수 있습니다. 하지만 기존 Cloud KMS 키를 사용하려면 CA를 설정할 때 이 키를 사용하면 됩니다.
Cloud HSM에 대한 자세한 내용은 Cloud HSM을 참조하세요.
암호화 키를 Cloud HSM 또는 Cloud KMS로 가져오는 방법에 대한 자세한 내용은 Cloud KMS로 키 가져오기를 참조하세요.
Google 관리 키와 고객 관리 키 비교
CA Service 외부에서 키를 직접 관리해야 하는 커스텀 보안 또는 운영 요구사항이 없는 경우 Google 소유 및 Google 관리 키를 사용하는 것이 좋습니다. Google 소유 및 Google 관리 키는 기본적으로 간편하고 안전한 키 생성, 저장, 활용 시스템을 제공합니다.
Google 소유 및 Google 관리 키는 Cloud HSM을 사용하며 다른 조직에서 액세스하거나 사용할 수 없습니다. Cloud HSM 서명 키 액세스 및 사용은 Cloud 감사 로그를 통해 감사할 수 있습니다.
수명 주기 관리 모델에 대한 자세한 내용은 리소스 관리를 참조하세요.
외부 CA 가져오기
이전에 발급한 인증서를 CA Service로 가져올 수는 없습니다. 발급된 인증서가 있는 기존 외부 CA를 CA Service로 가져오지 않는 것이 좋습니다.
키 에스크로
CA Service는 Cloud KMS 및 Cloud HSM을 사용하여 내보내기 및 추출로부터 키를 보호합니다. 조직에서 CA 키 복사본을 유지하려면 온프레미스 도구를 사용하여 키를 생성하면 됩니다. CA Service에서 이러한 키를 사용하려면 Cloud KMS 및 Cloud HSM으로 키를 가져옵니다. 그러면 이후 필요할 때까지 키를 안전하게 에스크로에 보관하고 소유를 유지할 수 있습니다.
Cloud KMS로 키를 가져오는 방법에 대한 자세한 내용은 Cloud KMS로 키 가져오기를 참조하세요.
CA 키 크기 및 알고리즘
암호화 키 크기와 알고리즘은 인증서와 해지 인증서 목록(CRL)에 서명하는 데 사용되는 비대칭 키 쌍의 유형과 강도를 정의합니다. CA는 비교적 오랜 기간 동안 지속될 수 있습니다. 따라서 CA의 의도된 수명 동안 키를 충분히 보호할 수 있을 만큼 강력한 키를 만드는 것이 중요합니다.
최신 기기에 잘 정의된 PKI 환경이 있는 경우 타원 곡선 디지털 서명 알고리즘(ECDSA)이 최고의 성능과 보안을 제공합니다. 광범위한 시스템과 키 지원의 불확실성이 존재하는 조직에서는 RSA 기반 키만으로 충분할 수 있습니다.
인증 준수, 다른 시스템과의 호환성, 특정 위협 모델 등 CA 서명 키에 대한 다른 고려사항도 있습니다. 키 크기 및 알고리즘을 선택할 때 사용 사례를 고려하세요.
CA 수명 또는 키 크기 및 알고리즘에 관계없이 CA 키의 정기 순환 프로세스를 설정하는 것이 좋습니다.
키 서명 알고리즘 선택에 대한 자세한 내용은 키 알고리즘 선택을 참조하세요.