이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Google Security Operations용 CMEK

이 문서에서는 Google Security Operations용 고객 관리 암호화 키 (CMEK)를 구성하는 방법을 설명합니다. Google SecOps는 고객의 추가 조치 없이 Google 기본 암호화를 사용하여 미사용 상태로 보관 중인 고객 데이터를 기본적으로 암호화합니다. 하지만 암호화 키를 더 세부적으로 제어해야 하거나 조직에서 요구하는 경우 Google SecOps 인스턴스에 CMEK를 사용할 수 있습니다.

CMEK는 사용자가 소유하고 Cloud Key Management Service에서 관리 및 저장하는 암호화 키입니다. CMEK를 사용하면 수명 주기, 순환, 액세스 정책을 관리하는 등 암호화 키를 완전히 제어할 수 있습니다. CMEK를 구성하면 서비스가 지정된 키를 사용하여 모든 데이터를 자동으로 암호화합니다. CMEK에 대해 자세히 알아보세요.

Cloud KMS에서 CMEK 사용

암호화 키를 제어하려면 다음과 같이 Google SecOps를 비롯한 CMEK 통합 서비스와 함께 Cloud KMS에서 CMEK를 사용하면 됩니다.

Cloud KMS에서 이러한 키를 관리하고 저장합니다.
Google SecOps 데이터 레이크의 데이터는 저장 상태로 암호화됩니다.
CMEK로 Google SecOps 인스턴스를 구성하면 선택한 Cloud KMS 키를 사용하여 데이터 레이크 내의 저장 데이터를 암호화합니다.
Cloud KMS와 함께 CMEK를 사용하는 경우 사용 패턴에 따라 추가 비용이 발생할 수 있습니다.

암호화 키를 제어하려면 Google SecOps를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 CMEK를 사용하면 됩니다. Cloud KMS에서 이러한 키를 관리하고 저장합니다. SecOps Data Lake의 데이터는 저장 상태로 암호화됩니다. CMEK로 Google SecOps 인스턴스를 구성하면 Google SecOps에서 선택한 Cloud KMS 키를 사용하여 데이터 레이크 내의 저장 데이터를 암호화합니다. Cloud KMS와 함께 CMEK를 사용하는 경우 사용 패턴에 따라 추가 비용이 발생할 수 있습니다. Cloud KMS 가격 책정에 대해 자세히 알아보세요.

리전별 CMEK 지원

다음 리전은 CMEK를 지원합니다.

africa-south1 (남아프리카 공화국 요하네스버그)
europe-west3 (독일 프랑크푸르트)
europe-west2 (영국 런던)
europe-west12 (이탈리아 토리노)

CMEK 사용 설정

다음 단계에서는 Google SecOps로 CMEK를 온보딩하는 대략적인 프로세스를 설명합니다.

Google SecOps 인스턴스의 구성 프로비저닝: 프로비저닝 초대를 수락하여 시작합니다. Google SecOps 전문가팀이 전문적인 구성 및 통합을 처리합니다.
인스턴스를 호스팅할 리전에서 Cloud KMS 키를 만듭니다.
새 Google SecOps 인스턴스를 만들고 2단계에서 만든 CMEK 키를 선택합니다. 인스턴스를 만드는 동안 이 키에 대한 Google SecOps 액세스 권한을 부여하라는 메시지가 표시됩니다.
선택사항: 키마다 키 순환을 예약합니다. 잠재적인 키 유출의 영향을 최소화하기 위해 이 보안 관행을 권장합니다.

온보딩을 완료하면 해당 인스턴스에 대해 API 또는 UI를 사용하여 키를 제공할 필요가 없습니다.

키 관리

Cloud KMS를 사용하여 키를 관리합니다. Google SecOps는 Cloud KMS에서 전파될 때까지 어떤 키 변경사항도 감지하거나 대응할 수 없습니다. 권한 변경은 일반적으로 빠르게 적용되지만 키를 사용 중지하거나 삭제하는 등의 중요한 변경사항은 Google SecOps에 적용되는 데 최대 4시간이 걸릴 수 있습니다. Cloud KMS 및 Cloud KMS 서비스 수준 목표에 대해 자세히 알아보세요.

CMEK 키를 사용 중지하면 Google SecOps가 데이터에 액세스할 수 없게 되어 더 이상 데이터를 처리할 수 없습니다. 즉, Google SecOps는 기존 데이터를 읽거나 쓰거나 업데이트할 수 없으며 새 데이터를 수집할 수 없습니다. 키를 다시 사용 설정하지 않으면 30일 후에 데이터가 삭제됩니다. KMS 키 액세스를 다시 사용 설정하면 Google SecOps에서 키가 사용 중지된 이후의 모든 새 데이터를 자동으로 수집하고 처리합니다.

Google SecOps는 두 가지 유형의 키 관리를 지원합니다.

Cloud KMS 키 만들기 (권장)
Cloud 외부 키 관리자(Cloud EKM) 사용: Cloud EKM 키를 사용하면 외부 시스템에 의존하기 때문에 가용성에 영향을 미칠 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.