Cloud Key Management Service(Cloud KMS)를 사용하면 호환되는 Google Cloud 서비스 및 자체 애플리케이션에서 사용할 수 있는 CMEK 키를 만들고 관리할 수 있습니다. Cloud KMS를 사용하여 다음 작업을 수행할 수 있습니다.
소프트웨어 또는 하드웨어 키를 생성하거나, 기존 키를 Cloud KMS로 가져오거나, 호환 가능한 외부 키 관리(EKM) 시스템에서 외부 키를 연결합니다.
CMEK 통합을 사용하여 Google Cloud 제품에서 고객 관리 암호화 키(CMEK)를 사용합니다. CMEK 통합은 CMEK 키를 사용하여 데이터 암호화 키(DEK)를 암호화하거나 '래핑'합니다. 키 암호화 키(KEK)로 DEK를 래핑하는 것을 봉투 암호화라고 합니다.
Cloud KMS Autokey(미리보기)를 사용하여 프로비저닝 및 할당을 자동화합니다. Autokey를 사용하면 키링, 키, 서비스 계정을 미리 프로비저닝할 필요가 없습니다. 대신 리소스 생성 중에 필요에 따라 생성됩니다.
암호화 및 복호화 작업에 Cloud KMS 키를 사용합니다. 예를 들어 Cloud KMS API 또는 클라이언트 라이브러리를 사용하여 클라이언트 측 암호화에 Cloud KMS 키를 사용할 수 있습니다.
Cloud KMS 키를 사용하여 디지털 서명 또는 메시지 인증 코드(MAC) 서명을 만들거나 확인합니다.
니즈에 맞는 암호화 선택
다음 표를 사용하여 각 사용 사례의 니즈에 맞는 암호화 유형을 식별할 수 있습니다. 니즈에 가장 적합한 솔루션에 여러 암호화 접근 방식이 포함될 수 있습니다. 예를 들어 덜 민감한 정보에 소프트웨어 키를 사용하고 가장 민감한 정보에는 외부 키를 사용할 수 있습니다. 이 섹션에서 설명하는 암호화 옵션에 대한 자세한 내용은 이 페이지에서 Google Cloud의 데이터 보호를 참조하세요.
암호화 유형 | 비용 | 호환 서비스 | 기능 |
---|---|---|---|
Google 소유 키 및 Google 관리 키(Google Cloud 기본 암호화) | 포함됨 | 고객 데이터를 저장하는 모든 Google Cloud 서비스 |
|
고객 관리 암호화 키 -
소프트웨어 (Cloud KMS 키) |
키 버전당 $0.06 | 서비스 40개 이상 |
|
고객 관리 암호화 키 - 하드웨어 (Cloud HSM 키) |
키 버전당 월 $1.00~$2.50 | 서비스 40개 이상 |
|
고객 관리 암호화 키 - 외부 (Cloud EKM 키) |
키 버전당 월 $3.00 | 30개 이상의 서비스 |
|
Cloud KMS 키를 사용한 클라이언트 측 암호화 | 활성 키 버전의 비용은 키의 보호 수준에 따라 다릅니다. | 애플리케이션에서 클라이언트 라이브러리 사용 |
|
고객 제공 암호화 키 | Compute Engine 또는 Cloud Storage와 관련된 비용이 증가할 수 있음 |
|
|
컨피덴셜 컴퓨팅 | 각 컨피덴셜 VM의 추가 비용, 로그 사용량 및 관련 비용이 증가할 수 있음 |
|
Google Cloud의 데이터 보호
Google 소유 키 및 Google 관리 키(Google Cloud 기본 암호화)
기본적으로 Google Cloud의 저장 데이터는 Google의 내부 키 관리 서비스인 키 저장소의 키로 보호됩니다. 키 저장소의 키는 Google에서 자동으로 관리되므로 사용자가 구성할 필요가 없습니다. 대부분의 서비스는 키를 자동으로 순환합니다. 키 저장소는 기본 키 버전과 제한된 수의 이전 키 버전을 지원합니다. 기본 키 버전은 새 데이터 암호화 키를 암호화하는 데 사용됩니다. 이전 키 버전은 기존 데이터 암호화 키를 복호화하는 데 계속 사용될 수 있습니다. 사용자는 이러한 키를 보거나 관리하거나 키 사용량 로그를 검토할 수 없습니다. 여러 고객의 데이터에서 동일한 키 암호화 키를 사용할 수 있습니다.
이 기본 암호화는 FIPS 140-2 Level 1을 준수하도록 검증받은 암호화 모듈을 사용합니다.
고객 관리 암호화 키(CMEK)
CMEK 통합 서비스에서 리소스를 보호하는 데 사용되는 Cloud KMS 키는 고객 관리 암호화 키(CMEK)입니다. CMEK를 소유하고 제어할 수 있으며 키 생성 및 할당 태스크를 Cloud KMS Autokey(미리보기)에 위임할 수 있습니다. CMEK의 프로비저닝 자동화에 대한 자세한 내용은 Autokey를 사용한 Cloud Key Management Service를 참조하세요.
호환 서비스에서 Cloud KMS 키를 사용하면 다음과 같은 목표를 달성할 수 있습니다.
암호화 키를 소유합니다.
암호화 키의 위치 선택, 보호 수준, 생성, 액세스 제어, 순환, 사용, 폐기 등을 제어하고 관리합니다.
오프보딩 시 키로 보호되는 데이터를 선택적으로 삭제하거나 보안 이벤트(암호화 파쇄)를 해결합니다.
데이터 주위에 암호화 경계를 설정하는 전용 단일 테넌트 키를 만듭니다.
암호화 키에 대한 관리 및 데이터 액세스를 로깅합니다.
이러한 목표를 요구하는 현재 또는 미래의 규정을 준수합니다.
CMEK 통합 서비스에서 Cloud KMS 키를 사용하는 경우 조직 정책을 사용하여 CMEK가 정책에 지정된 대로 사용되도록 할 수 있습니다. 예를 들어 호환되는 Google Cloud 리소스의 암호화에 Cloud KMS 키를 사용하도록 하는 조직 정책을 설정할 수 있습니다. 조직 정책으로 키 리소스가 상주해야 할 프로젝트를 지정할 수도 있습니다.
제공되는 기능 및 보호 수준은 키의 보호 수준에 따라 다릅니다.
소프트웨어 키 - Cloud KMS에서 소프트웨어 키를 생성하고 모든 Google Cloud 위치에서 사용할 수 있습니다. 자동 순환으로 대칭 키를 만들거나 수동 순환으로 비대칭 키를 만들 수 있습니다. 고객 관리 소프트웨어 키는 FIPS 140-2 Level 1 인증을 받은 소프트웨어 암호화 모듈을 사용합니다. 또한 순환 기간, Identity and Access Management(IAM) 역할 및 권한, 키를 제어하는 조직 정책을 제어할 수 있습니다. 40개 이상의 호환되는 Google Cloud 리소스와 함께 소프트웨어 키를 사용할 수 있습니다.
가져온 소프트웨어 키 - 다른 곳에서 만든 소프트웨어 키를 가져와 Cloud KMS에서 사용할 수 있습니다. 새 키 버전을 가져와 가져온 키를 수동으로 순환할 수 있습니다. IAM 역할 및 권한, 조직 정책을 사용하여 가져온 키의 사용을 관리할 수 있습니다.
하드웨어 키 및 Cloud HSM - FIPS 140-2 Level 3 하드웨어 보안 모듈(HSM)의 클러스터에서 하드웨어 키를 생성할 수 있습니다. 순환 기간, IAM 역할 및 권한, 키를 관리하는 조직 정책을 제어할 수 있습니다. Cloud HSM을 사용하여 HSM 키를 만들면 Google이 HSM 클러스터를 관리하므로 사용자가 이를 관리할 필요가 없습니다. 40개 이상의 호환되는 Google Cloud 리소스(소프트웨어 키를 지원하는 서비스와 동일)와 함께 HSM 키를 사용할 수 있습니다. 가장 높은 수준의 보안 규정 준수가 필요하다면 하드웨어 키를 사용합니다.
외부 키 및 Cloud EKM - 외부 키 관리자(EKM)에 상주하는 키를 사용할 수 있습니다. Cloud EKM에서는 지원되는 키 관리자에 저장된 키를 사용하여 Google Cloud 리소스를 보호할 수 있습니다. 인터넷 또는 Virtual Private Cloud(VPC)를 통해 EKM에 연결할 수 있습니다. 소프트웨어 또는 하드웨어 키를 지원하는 일부 Google Cloud 서비스는 Cloud EKM 키를 지원하지 않습니다.
Cloud KMS 키
Cloud KMS 클라이언트 라이브러리 또는 Cloud KMS API를 사용하여 커스텀 애플리케이션에서 Cloud KMS 키를 사용할 수 있습니다. 클라이언트 라이브러리와 API를 사용하면 데이터를 암호화 및 복호화하고 데이터에 서명하며 서명을 검증할 수 있습니다.
고객 제공 암호화 키(CSEK)
Cloud Storage 및 Compute Engine은 고객 제공 암호화 키(CSEK)를 사용할 수 있습니다. 고객 제공 암호화 키를 사용하는 경우 키 자료를 저장하고 필요할 때 Cloud Storage 또는 Compute Engine에 제공합니다. Google은 어떤 식으로든 CSEK를 저장하지 않습니다.
컨피덴셜 컴퓨팅
Compute Engine, GKE, Dataproc에서는 컨피덴셜 컴퓨팅 플랫폼을 사용하여 사용 중 데이터를 암호화할 수 있습니다. 컨피덴셜 컴퓨팅을 통해 데이터를 처리하는 중에도 데이터를 비공개로 유지하고 암호화할 수 있습니다.