Cloud 외부 키 관리자

이 주제에서는 Cloud 외부 키 관리자(Cloud EKM)의 개요를 제공합니다.

용어

외부 키 관리자(EKM)

Google Cloud 외부에서 키 관리를 위해 사용하는 키 관리자입니다.
Cloud 외부 키 관리자(Cloud EKM)

지원되는 EKM 내에서 관리되는 외부 키를 사용하는 Google Cloud 서비스입니다.
인터넷을 통한 Cloud EKM

Google Cloud가 인터넷을 통해 외부 키 관리자와 통신하는 Cloud EKM 버전입니다.
VPC를 통한 Cloud EKM

Google Cloud가 Virtual Private Cloud(VPC)를 통해 외부 키 관리자와 통신하는 Cloud EKM 버전입니다. 자세한 내용은 VPC 네트워크 개요를 참조하세요.

개요

Cloud EKM을 사용하면 지원되는 외부 키 관리 파트너 내에서 관리하는 키를 사용하여 Google Cloud 내 데이터를 보호할 수 있습니다. 지원되는 CMEK 통합 서비스에서 또는 Cloud Key Management Service API를 직접 호출하여 저장 데이터를 보호할 수 있습니다.

Cloud EKM은 다음과 같은 몇 가지 이점을 제공합니다.

주요 출처: 외부 관리 키의 위치와 배포를 제어합니다. 외부 관리 키는 Google Cloud에 캐시되거나 저장되지 않습니다. 대신 Cloud EKM은 각 요청에 대해 외부 키 관리 파트너와 직접 통신합니다.
액세스 제어: 외부 관리 키에 대한 액세스를 관리합니다. Google Cloud에서 외부 관리 키를 사용하려면 먼저 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여해야 합니다. 언제든지 이 액세스 권한을 취소할 수 있습니다.
중앙 집중식 키 관리: 키와 액세스 정책이 보호하는 데이터가 클라우드에 있든 사내에 있든, 단일 사용자 인터페이스에서 키와 액세스 정책을 관리할 수 있습니다.

모든 경우 키는 외부 시스템에 있으며 Google로 전송되지 않습니다.

인터넷 또는 Virtual Private Cloud(VPC)를 통해 외부 키 관리자와 통신할 수 있습니다.

지원되는 키 관리자

다음 외부 키 관리 파트너 시스템에 외부 키를 저장할 수 있습니다.

현재 지원:
- Fortanix
- Futurex
- Thales
- Virtru

Cloud EKM으로 CMEK를 지원하는 서비스

다음 서비스는 외부(Cloud EKM) 키의 Cloud KMS와의 통합을 지원합니다.

Artifact Registry
BigQuery
Cloud Bigtable
Cloud Composer
Cloud Functions
Cloud Logging: 로그 라우터 및 로그 스토리지
Cloud Run
Cloud Spanner
Cloud SQL
Cloud Storage
Compute Engine(영구 디스크 포함)
Dataflow
Dataproc
Dataproc Metastore
Eventarc
Google Distributed Cloud Edge
Google Kubernetes Engine: VM 디스크의 데이터 또는 애플리케이션 레이어 보안 비밀
Pub/Sub
Speaker ID (제한된 GA)
Secret Manager
Vertex AI

작동 방식

이 섹션에서는 Cloud EKM이 외부 키와 작동하는 방식에 대한 광범위한 개요를 제공합니다. 단계별 안내에 따라 인터넷 또는 VPC를 통해 액세스하는 Cloud EKM 키를 만들 수도 있습니다.

먼저 지원되는 외부 키 관리 파트너 시스템에서 기존 키를 만들거나 사용합니다. 이 키에는 고유한 URI 또는 키 경로가 포함되어 있습니다.
그런 다음 외부 키 관리 파트너 시스템에서 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여합니다.
Google Cloud 프로젝트에서 외부 관리 키의 URI 또는 키 경로를 사용하여 Cloud EKM 키를 만듭니다.

Google Cloud 내에서 키는 보호 수준이 EXTERNAL 또는 EXTERNAL_VPC인 다른 Cloud KMS 및 Cloud HSM 키와 함께 표시됩니다. Cloud EKM 키와 외부 키 관리 파트너 키가 함께 작동하여 데이터를 보호합니다. 외부 키는 Google에 노출되지 않습니다.

다음 다이어그램은 Cloud KMS가 키 관리 모델에 적용되는 방식을 보여줍니다. 이 다이어그램은 Compute Engine 및 BigQuery를 두 가지 예시로 사용합니다. Cloud EKM 키를 지원하는 서비스의 전체 목록도 참조하세요.

Cloud EKM을 사용한 암호화 및 복호화를 보여주는 다이어그램

Cloud EKM 사용 시 고려사항 및 제한사항에 대해 알아보세요.

고려사항

Cloud EKM 키를 사용하는 경우 Google은 외부 키 관리 파트너 시스템에서 외부 관리 키의 가용성을 제어 할 수 없습니다. Google Cloud 외부에서 관리하는 키를 분실한 경우 Google에서 데이터를 복구할 수 없습니다.
Cloud EKM 키의 위치를 선택할 때 외부 키 관리 파트너 및 리전에 대한 가이드라인을 검토하세요.
Cloud EKM 서비스 수준 계약(SLA)을 검토하세요.
인터넷을 통해 외부 서비스와 통신하면 안정성, 가용성, 지연 시간 문제가 발생할 수 있습니다. 이러한 유형의 위험에 취약한 애플리케이션의 경우 Cloud HSM 또는 Cloud KMS를 사용하여 키 자료를 저장하는 것이 좋습니다.
- 외부 키를 사용할 수 없는 경우 Cloud KMS는 FAILED_PRECONDITION 오류를 반환하고 PreconditionFailure 오류 세부정보를 제공합니다.
  
  데이터 감사 로깅을 사용 설정하여 Cloud EKM과 관련된 모든 오류의 레코드를 유지합니다. 오류 메시지에는 오류의 원인을 찾는 데 도움이 되는 세부정보가 포함됩니다. 일반적인 오류의 예는 외부 키 관리 파트너가 적절한 시간 내에 요청에 응답하지 않는 경우입니다.
- 외부 키 관리 파트너와의 지원 계약이 필요합니다. Google Cloud
  
  지원은 Google Cloud 서비스의 문제만 지원할 수 있으며 외부 시스템의 문제는 직접 지원할 수 없습니다. 경우에 따라 상호 운용성 문제를 해결하려면 양측의 지원팀과 협력해야 합니다.
Cloud EKM을 호스팅된 비공개 HSM과 함께 사용하면 Cloud KMS와 통합된 단일 테넌트 HSM 솔루션을 만들 수 있습니다. 자세한 내용은 단일 테넌트 HSM을 지원하는 Cloud EKM 파트너를 선택하고 호스팅된 비공개 HSM의 요구사항을 검토하세요.

주의: 인터넷을 통해 Cloud EKM 키를 사용하면 키를 사용할 수 없게 될 위험이 있습니다. 사용 중인 서비스에 따라 심각한 오류나 액세스 불가능한 데이터가 발생할 수 있습니다. 예를 들어 외부 CMEK 키를 사용하여 Google Kubernetes Engine 애플리케이션 레이어 보안 비밀을 암호화하는 경우 보안 비밀을 복호화할 수 없으면 노드를 사용할 수 없게 됩니다. 외부 키에 액세스할 수 없게 되면 영구적인 데이터 손실도 발생할 수 있습니다. 예를 들어 Cloud Spanner 데이터베이스를 암호화하는 데 사용된 CMEK 키가 30일 이상 연속으로 사용할 수 없으면 Cloud Spanner가 자동으로 데이터베이스를 삭제합니다. 현재 키 버전을 사용할 수 없으면 새 키 버전으로 순환하여 데이터를 복구할 수 없습니다. 가용성을 높이려면 VPC 또는 Cloud HSM 키를 통해 Cloud EKM을 사용하는 것이 좋습니다.

제한사항

자동 순환은 지원되지 않습니다.
API 또는 Google Cloud CLI를 사용하여 Cloud EKM 키를 만들 때는 초기 키 버전을 포함해서는 안 됩니다. Google Cloud 콘솔을 사용하여 생성된 Cloud EKM 키에는 적용되지 않습니다.
클라우드 KMS 작업의 할당량 외에도 Cloud EKM 작업에는 특정 할당량이 적용됩니다.

대칭 암호화 키

대칭 암호화 키는 다음과 같은 경우에만 지원됩니다.
- 지원되는 통합 서비스의 고객 관리 암호화 키(CMEK)
- Cloud KMS를 직접 사용한 비대칭 암호화 및 복호화
Cloud EKM에서 외부 관리 키를 사용하여 암호화한 데이터는 Cloud EKM을 사용하지 않으면 복호화할 수 없습니다.

비대칭 서명 키

비대칭 서명 키는 Cloud KMS 알고리즘의 하위 집합으로 제한됩니다.
비대칭 서명 키는 다음과 같은 경우에만 지원됩니다.
- Cloud KMS를 직접 사용한 비대칭 서명
- 액세스 승인이 포함된 커스텀 서명 키
비대칭 서명 알고리즘이 Cloud EKM 키에 설정된 다음에는 수정할 수 없습니다.
data 필드에 서명되어야 함

외부 키 관리자 및 리전

Cloud EKM은 오류를 방지하기 위해 키에 빠르게 도달할 수 있어야 합니다. Cloud EKM 키를 만들 때 외부 키 관리 파트너 키의 위치와 지리적으로 가까운 Google Cloud 위치를 선택합니다. 파트너의 위치 사용 가능 여부에 대한 세부정보는 파트너의 문서를 참조하세요.

인터넷을 통한 Cloud EKM: global을 제외한 Cloud KMS를 지원하는 모든 Google Cloud 위치에서 사용 가능
VPC를 통한 Cloud EKM: Cloud KMS에 지원되는 리전 위치에서만 사용할 수 있습니다.

외부 키 관리 파트너의 문서를 참조하여 지원되는 위치를 확인하세요.

멀티 리전 사용

멀티 리전에서 외부 관리 키를 사용하면 멀티 메타데이터 내의 여러 데이터 센터에서 키의 메타데이터를 사용할 수 있습니다. 이 메타데이터에는 외부 키 관리 파트너와 통신하는 데 필요한 정보가 포함됩니다. 애플리케이션이 멀티 리전 내의 한 데이터 센터에서 다른 데이터 센터로 장애 조치되면 새 데이터 센터가 키 요청을 시작합니다. 새 데이터 센터에는 외부 키 관리 파트너와의 거리 및 시간 초과 가능성 등 이전 데이터 센터와 다른 네트워크 특성이 있을 수 있습니다. 선택한 외부 키 관리자가 멀티 리전의 모든 영역에 짧은 지연 시간을 제공하는 경우에만 멀티 리전을 Cloud EKM에 사용하는 것이 좋습니다.

Cloud EKM 사용량 모니터링

Cloud Monitoring을 사용하여 EKM 연결을 모니터링할 수 있습니다. 다음 측정항목은 EKM 사용량을 이해하는 데 도움이 됩니다.

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

이러한 측정항목에 대한 자세한 내용은 cloudkms 측정항목을 참조하세요. 사용자는 이러한 측정항목을 추적하는 대시보드를 만들 수 있습니다. EKM 연결을 모니터링하도록 대시보드를 설정하는 방법은 EKM 사용량 모니터링을 참조하세요.

다음 단계

인터넷을 통한 Cloud EKM 사용 및 VPC를 통한 Cloud EKM 사용에 대해 자세히 알아보기
API 사용 시작하기
Cloud KMS API 참조 읽어보기
Cloud KMS의 Logging 알아보기. Logging은 작업을 기반으로 하며 HSM 및 소프트웨어 보호 수준이 모두 있는 키에 적용됩니다.
Cloud EKM과 통합된 외부 키 관리자(EKM) 서비스 구성에 대한 권장사항은 안정적인 Cloud EKM 서비스 배포를 위한 참조 아키텍처를 참조하세요.

지원 받기

Cloud EKM에 문제가 발생하면 지원팀에 문의하세요.