고객 관리 암호화 키(CMEK)

이 주제에서는 고객 관리 암호화 키(CMEK)를 간략하게 설명합니다. CMEK를 사용하면 Google Cloud의 저장 데이터를 보호하는 키를 제어할 수 있습니다.

기본 암호화

Google Cloud에 저장된 모든 데이터는 Google이 암호화된 자체 데이터에 사용하는 동일한 강화 키 관리 시스템을 사용하여 저장 상태에서 암호화됩니다. 이러한 키 관리 시스템은 엄격한 키 액세스 제어 및 감사 기능을 제공하며 AES-256 암호화 표준을 사용하여 사용자 저장 데이터를 암호화합니다. 설정, 구성 또는 관리가 필요하지 않습니다. 조직에 암호화 자료의 규정 준수 또는 지역과 관련된 특정 요구사항이 없는 경우 기본 암호화가 가장 적합합니다.

Google Cloud의 기본 암호화에 대한 자세한 내용은 저장 데이터 기본 암호화를 참조하세요.

고객 관리 암호화 키(CMEK)

고객 관리 암호화 키는 Cloud KMS를 사용하여 관리하는 암호화 키입니다. 이 기능을 사용하면 지원되는 Google Cloud 서비스 내에서 저장 데이터를 암호화하는 데 사용되는 키를 보다 효과적으로 제어할 수 있습니다. 서비스가 CMEK 키를 지원하는지 확인하려면 지원되는 서비스 목록을 참조하세요. CMEK로 Google Cloud 서비스의 데이터를 보호하는 경우 CMEK 키를 제어할 수 있습니다.

CMEK를 사용한다고 해서 기본 암호화 메커니즘보다 보안이 무조건 향상되는 것은 아닙니다. 또한 CMEK를 사용하면 Cloud KMS와 관련된 추가 비용이 발생합니다. CMEK를 사용하면 다음 기능을 포함하여 키의 수명 주기 및 관리의 여러 측면을 제어할 수 있습니다.

  • 데이터 보호를 위해 사용되는 키를 사용 중지하면 Google에서 저장 데이터를 복호화할 수 없도록 방지할 수 있습니다.
  • 특정 지역 또는 보존 요구사항을 충족하는 키를 사용하여 데이터를 보호할 수 있습니다.
  • 데이터를 보호하는 데 사용되는 키를 자동 또는 수동으로 순환할 수 있습니다.
  • 다양한 유형의 키를 사용하여 데이터를 보호할 수 있습니다.
    • 생성된 소프트웨어 키
    • Cloud HSM(하드웨어 지원) 키
    • Cloud 외부 키 관리자(외부 관리) 키
    • Cloud KMS로 가져오는 기존 키.
  • 각 키에 무제한 키 버전을 사용할 수 있습니다. 대부분의 서비스는 기본 암호화를 사용할 때 무제한 키 버전을 지원하지 않습니다.

CMEK 통합

서비스가 CMEK를 지원하면 CMEK 통합을 가진다고 지칭합니다. GKE와 같은 일부 서비스에는 서비스와 관련된 다양한 유형의 데이터를 보호하기 위한 여러 CMEK 통합이 있습니다.

CMEK를 사용 설정하는 정확한 단계는 관련 Google Cloud 서비스에 대한 문서를 참조하세요. 다음과 유사한 단계를 따를 것으로 예상할 수 있습니다.

  1. Cloud KMS 키링을 만들거나 기존 키링을 선택합니다. 키링을 만들 때 보호 중인 리소스와 지리적으로 가까운 위치를 선택합니다. 키링은 보호하는 리소스와 동일한 프로젝트 또는 다른 프로젝트에 있을 수 있습니다. 다른 프로젝트를 사용하면 Identity and Access Management(IAM) 권한을 보다 효과적으로 제어할 수 있습니다.

  2. 선택한 키링에 Cloud KMS 키를 만들거나 가져옵니다. 이 키는 CMEK 키입니다.

  3. CMEK 키의 CryptoKey Encrypter/Decrypter IAM 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 해당 서비스의 서비스 계정에 부여합니다.

  4. CMEK 키를 사용하여 데이터를 보호하도록 서비스를 구성하세요. 예를 들어 GKE 클러스터가 CMEK를 사용하여 노드의 부팅 디스크에서 데이터를 보호하도록 구성할 수 있습니다.

서비스 계정에 CyptoKey 암호화/복호화 역할이 있는 경우 서비스는 해당 데이터를 암호화하고 복호화할 수 있습니다. 이 역할을 취소하거나 CMEK 키를 사용 중지하거나 폐기하면 해당 데이터에 액세스할 수 없습니다.

CMEK 규정 준수

일부 서비스는 데이터를 직접 저장하거나, 장기적인 실행 작업의 중간 단계로 데이터를 짧은 기간 동안만 저장하지 않습니다. 이 유형의 워크로드에서는 쓰기마다 개별적으로 암호화하는 것은 실용적이지 않습니다. 이런 서비스는 CMEK 통합을 제공하지 않지만 CMEK 호환을 제공 할 수는 있으며, 종종 사용자 측에서는 구성할 필요가 없습니다.

CMEK 인증 서비스는 메모리에만 존재하고 디스크에 기록되지 않는 임시 키를 사용하여 임시 데이터를 암호화합니다. 임시 데이터가 더 이상 필요하지 않으면 임시 키는 메모리에서 비워집니다. 임시 키가 없으면 암호화된 데이터에는 스토리지 리소스가 여전히 존재하더라도 액세스할 수 없습니다.

CMEK 호환 서비스는 Cloud Storage 같은 CMEK 통합을 통해 서비스에 출력을 전송하는 기능을 제공할 수 있습니다.

CMEK 조직 정책

Google Cloud에서는 조직 리소스 내 CMEK 사용을 보장하기 위해 두 가지 조직 정책 제약조건이 사용됩니다. 이러한 제약조건은 CMEK 사용을 요구하고 CMEK 보호에 사용되는 클라우드 KMS 키를 제한할 수 있는 제어 수단을 조직 관리자에게 제공합니다. 자세한 내용은 CMEK 조직 정책을 참조하세요.

다음 단계