고객 관리 암호화 키(CMEK)

이 주제에서는 고객 관리 암호화 키(CMEK) 개요 및 Google Cloud에서 저장 데이터를 보호하는 키를 제어하는 방법을 설명합니다.

기본 암호화

Google Cloud에 저장된 모든 데이터는 암호화된 자체 데이터에 사용되는 강화 키 관리 시스템을 사용하여 저장 상태에서 암호화됩니다. 이러한 키 관리 시스템은 엄격한 키 액세스 제어 및 감사 기능을 제공하며 AES-256 암호화 표준을 사용하여 사용자 저장 데이터를 암호화합니다. 설정, 구성 또는 관리가 필요하지 않습니다. Google Cloud의 기본 저장 데이터 암호화는 암호화 자료의 규정 준수 또는 지역과 관련된 특정 요구사항이 없는 사용자에게 가장 적합합니다.

고객 관리 암호화 키(CMEK)

Google Cloud 프로젝트 내에서 저장 데이터를 암호화하는 데 사용되는 키를 더 세밀하게 제어해야 하는 경우 Google Cloud 서비스는 Cloud KMS 내에서 고객이 관리하는 암호화 키를 사용하여 이러한 서비스와 관련된 데이터를 보호하는 기능을 제공합니다. 이러한 암호화 키를 고객 관리 암호화 키(CMEK)라고 합니다. CMEK로 Google Cloud 서비스의 데이터를 보호하는 경우 CMEK 키를 제어할 수 있습니다.

CMEK를 사용한다고 해서 Google의 기본 암호화 메커니즘보다 보안이 무조건 향상되는 것은 아닙니다. 또한 CMEK를 사용하면 Cloud KMS와 관련된 추가 비용이 발생합니다. CMEK를 사용하면 다음 기능과 같은 키 수명주기 및 관리의 여러 측면을 제어할 수 있습니다.

  • 데이터 보호를 위해 사용되는 키를 사용 중지하면 Google의 저장 데이터 복호화 기능을 제어할 수 있습니다.
  • 특정 지역 또는 보존 요구사항을 충족하는 키를 사용하여 데이터를 보호할 수 있습니다.
  • 데이터를 보호하는 데 사용되는 키를 자동 또는 수동으로 순환할 수 있습니다.
  • Cloud HSM 키 또는 클라우드 외부 키 관리자 키 또는 Cloud KMS로 가져오는 기존 키를 사용하여 데이터를 보호할 수 있습니다.
  • AES-256보다 더 엄격한 암호화 표준을 사용하여 데이터를 보호할 수 있습니다.

CMEK 통합

서비스가 CMEK를 지원하면 CMEK 통합을 가진다고 지칭합니다. GKE와 같은 일부 서비스에는 서비스와 관련된 다양한 유형의 데이터를 보호하기 위한 여러 CMEK 통합이 있습니다.

CMEK를 사용 설정하는 정확한 단계는 관련 Google Cloud 서비스에 대한 문서를 참조하세요. 다음과 같은 단계를 따라야 합니다.

  1. Cloud KMS 키를 만들거나 가져와서 서비스 리소스 위치와 지리적으로 가장 가까운 위치를 선택합니다. 서비스와 키는 동일한 프로젝트에 있을 수 있습니다. 이것이 CMEK 키입니다.

  2. CMEK 키의 CryptoKey Encrypter/Decrypter IAM 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 해당 서비스의 서비스 계정에 부여합니다.

  3. CMEK 키를 사용하여 데이터를 보호하도록 서비스를 구성하세요. 예를 들어 GKE 클러스터가 CMEK를 사용하여 노드의 부팅 디스크에서 데이터를 보호하도록 구성할 수 있습니다.

서비스 계정에 이 역할이 있는 한 서비스는 데이터를 암호화하고 복호화할 수 있습니다. 역할을 취소하거나 CMEK 키를 사용 중지하거나 폐기하면 해당 데이터에 액세스할 수 없습니다.

CMEK 규정 준수

일부 서비스는 데이터를 직접 저장하거나, 장기적인 실행 작업의 중간 단계로 데이터를 짧은 기간 동안만 저장하지 않습니다. 이 유형의 워크로드에서는 쓰기마다 개별적으로 암호화하는 것은 실용적이지 않습니다. 이런 서비스는 CMEK 통합을 제공하지 않지만 CMEK 호환을 제공 할 수는 있으며, 종종 사용자 측에서는 구성할 필요가 없습니다.

CMEK 인증 서비스는 메모리에만 존재하고 디스크에 기록되지 않는 임시 키를 사용하여 임시 데이터를 암호화합니다. 임시 데이터가 더 이상 필요하지 않으면 임시 키는 메모리에서 비워지고 암호화된 데이터에는 스토리지 리소스가 여전히 존재하더라도 액세스할 수 없습니다.

CMEK 호환 서비스는 Cloud Storage 같은 CMEK 통합을 통해 서비스에 출력을 전송하는 기능을 제공할 수 있습니다.

다음 단계