이 콘텐츠는 2025년 2월에 마지막으로 업데이트되었으며 작성된 당시의 상황을 나타냅니다. Google의 보안 정책 및 시스템은 고객 보호를 지속적으로 개선함에 따라 앞으로도 계속 변경될 수 있습니다.
고객 제공 암호화 키 (CSEK)는 Cloud Storage 및 Compute Engine의 기능입니다. 자체 암호화 키를 제공할 경우 Google은 이 키를 사용하여 데이터를 암호화 및 복호화하는 데 사용되는 Google 생성 키를 보호합니다.
이 문서에서는 CSEK의 작동 방식과Google Cloud에서 CSEK가 보호되는 방식을 설명합니다.
CSEK가 Cloud Storage에서 작동하는 방식
Cloud Storage에서 CSEK를 사용하는 경우 다음 키가 래핑 프로세스의 일부가 됩니다.
- 원시 CSEK: API 호출의 일부로 원시 CSEK를 제공합니다. 원시 CSEK 키는 Google 프런트엔드 (GFE)에서 스토리지 시스템의 메모리로 전송됩니다. 이 키는 사용자의 데이터에 대한 Cloud Storage의 키 암호화 키 (KEK)입니다.
- 래핑된 청크 키: 원시 CSEK는 래핑된 청크 키를 래핑하는 데 사용됩니다.
- 원시 청크 키: 래핑된 청크 키는 메모리에서 원시 청크 키를 래핑합니다. 원시 청크 키는 스토리지 시스템에 저장된 데이터 청크를 암호화하는 데 사용됩니다. 이 키는 Cloud Storage에서 사용자의 데이터에 대한 데이터 암호화 키 (DEK)로 사용됩니다.
다음 다이어그램은 키 래핑 프로세스를 보여줍니다.
다음 표에서는 키를 설명합니다.
| 키 | 저장 위치 | 목적 | 다음 시점까지 액세스 가능 |
|---|---|---|---|
원시 CSEK |
저장소 시스템 메모리 |
래핑된 청크 키를 보호합니다. |
고객 요청 작업 (예: |
래핑된 청크 키 |
저장 기기 |
저장된 후 미사용 상태의 원시 청크 키를 보호합니다. |
저장소 객체가 삭제됩니다. |
원시 청크 키 |
저장 기기의 메모리 |
디스크에서 읽거나 디스크에 쓰는 데이터를 보호합니다. |
고객 요청 작업이 완료될 때까지 |
Compute Engine에서 CSEK가 작동하는 방식
Compute Engine에서 CSEK를 사용하면 다음 키가 래핑 프로세스의 일부가 됩니다.
- 원시 CSEK: API 호출의 일부로 원시 CSEK 또는 RSA 래핑 키를 제공합니다. CSEK는 GFE에서 내부 클러스터 관리자의 프런트엔드로 전송됩니다. 클러스터 관리자는 디스크 및 VM 인스턴스와 같은 Compute Engine 리소스를 관리하기 위한 로직을 구현하는 Google의 프로덕션 인프라에서 클러스터 관리자 ID로 실행되는 프로세스 모음입니다.
- Google 소유 비대칭 래핑 키: RSA 래핑 키가 CSEK로 제공된 경우 Google 소유 비대칭 래핑 키를 사용하여 키가 래핑 해제됩니다.
CSEK 파생 키: 원시 CSEK는 영구 디스크별 암호화 난스와 결합되어 CSEK 파생 키를 생성합니다. 이 키는 Compute Engine에서 사용자 데이터의 KEK로 사용됩니다. 클러스터 관리자 프런트엔드에서 CSEK와 CSEK 파생 키는 모두 클러스터 관리자 메모리에만 유지됩니다. CSEK 파생 키는 자동 재시작이 사용 설정된 경우 클러스터 관리자 메모리에서 클러스터 관리자 인스턴스 메타데이터와 인스턴스 관리자 메타데이터에 저장되어 있는 래핑된 디스크 키를 래핑 해제하는 데 사용됩니다(이 메타데이터는 인스턴스 메타데이터와 다름).
원시 디스크 키: CSEK 파생 키는 디스크를 만들 때 원시 디스크 키를 래핑하고 디스크에 액세스할 때 원시 디스크 키를 래핑 해제하는 데 사용됩니다. 다음과 같은 이벤트가 발생합니다.
- 자동 재시작이 사용 설정된 경우 비정상 종료 발생 시 VM을 다시 시작할 수 있도록 VM의 수명이 끝날 때까지 클러스터 관리자가 래핑된 디스크 키를 영구적으로 저장합니다. 래핑된 디스크 키는 Google 소유의 대칭 래핑 키로 래핑됩니다. 래핑 키의 권한에 따라 Compute Engine에서만 이 키를 사용할 수 있습니다. 자동 재시작이 사용 중지된 경우 래핑된 디스크 키는 Google Cloud의 데이터 삭제에 설명된 삭제 프로세스를 사용하여 삭제됩니다.
- 라이브 마이그레이션이 사용 설정된 경우 이전 VM 인스턴스 메모리에서 새 VM 인스턴스 메모리로 원시 디스크 키가 전달되며 키 복사에 인스턴스 관리자 또는 클러스터 관리자가 관여하지 않습니다.
원시 디스크 키는 클러스터 관리자 (CM), 인스턴스 관리자, VM의 메모리로 전달됩니다. 이러한 키는 Compute Engine에서 사용자 데이터의 DEK로 사용됩니다.
다음 다이어그램은 키 래핑의 작동 방식을 보여줍니다.
| 키 | 보유자 | 목적 | 다음 시점까지 액세스 가능 |
|---|---|---|---|
원시 CSEK |
Cluster Manager 프런트엔드 |
암호화 난스를 추가하여 CSEK 파생 키를 파생합니다. |
고객이 요청한 작업 (예: |
공개 키 래핑 CSEK (RSA 키 래핑이 사용되는 경우) |
Cluster Manager 프런트 엔드 |
먼저 Google 소유 비대칭 키로 래핑 해제하여 CSEK 파생 키를 파생합니다. |
고객 요청 작업이 완료되었습니다. |
Google 소유 비대칭 키 (RSA 키 래핑이 사용되는 경우) |
키 저장소 |
RSA 래핑 키를 래핑 해제합니다. |
무기한으로 유지됩니다. |
CSEK 파생 키 |
Cluster Manager 프런트엔드 |
디스크 키를 래핑합니다. |
키 래핑 또는 래핑 해제 작업이 완료됩니다. |
Google 래핑 디스크 키 (자동 재시작이 사용되는 경우) |
Cluster Manager 프런트엔드 |
실행 중인 인스턴스에 연결된 디스크의 경우 저장된 후 미사용 상태의 디스크 키를 보호합니다. VM 메모리가 손실된 경우 인스턴스를 다시 시작합니다 (예: 호스트 비정상 종료). |
VM이 중지되거나 삭제됩니다. |
원시 디스크 키 |
가상 머신 모니터 (VMM) 메모리, 클러스터 관리자 메모리 |
데이터를 읽거나 디스크에 쓰고, VM을 실시간 이전하고, 인플레이스 업그레이드를 수행합니다. |
VM이 중지되거나 삭제될 때까지 |
Google 래핑 CSEK 파생 키 |
Cluster Manager 데이터베이스 |
장애가 발생할 경우 작업을 다시 시작합니다. |
고객 요청 작업이 완료될 때까지 |
CSEK 보호 방법
이 섹션에서는 CSEK가 Google Cloud 인프라와 메모리 내에서 이동할 때 디스크에서 어떻게 보호되는지에 관한 정보를 제공합니다.
원시 CSEK, CSEK 파생 키, 원시 디스크 키는 암호화되지 않은 상태로는 결코 디스크에 저장되지 않습니다. 원시 디스크 키는 CSEK 파생 키와 자동 재시작이 사용되는 Google 키로 래핑되어 저장됩니다. Google은 사용자의 키를 서버에 영구 저장하지 않습니다.
각 서비스는 인프라에서 제공하는 액세스 관리 기능을 사용하여 통신 가능한 다른 서비스를 정확히 지정합니다. 허용된 서비스 계정 ID의 허용 목록으로 서비스를 구성하며 그러면 인프라가 이 액세스 제한사항을 자동으로 적용합니다. Google Cloud 자세한 내용은 서비스 ID, 무결성, 격리를 참고하세요.
또한 인프라는 네트워크의 RPC 데이터에 대한 암호화 개인 정보 보호 및 무결성을 제공합니다. 서비스는 각 인프라 RPC에 대해 원하는 암호화 보호의 수준을 구성할 수 있고 CSEK에 이러한 서비스를 사용할 수 있습니다. 자세한 내용은 워크로드 간 통신 암호화를 참고하세요.
키 자료는 클러스터 관리자 메모리와 VMM 메모리를 비롯한 다양한 시스템의 메모리에 상주합니다. 이러한 시스템의 메모리에 대한 액세스는 예외적으로만 (예: 이슈가 발생할 경우) 허용되며 액세스 제어 목록에 의해 관리됩니다. 이러한 시스템은 메모리 덤프를 사용 중지하거나 메모리 덤프에 있는 키 자료를 자동으로 검색합니다. 이러한 작업에 대한 보호에 관한 자세한 내용은 Google에서 프로덕션 서비스를 보호하는 방법을 참고하세요.