Cloud Key Management Service 개요

Cloud Key Management Service(Cloud KMS)를 사용하면 호환되는 Google Cloud 서비스 및 자체 애플리케이션에서 사용할 수 있는 CMEK 키를 만들고 관리할 수 있습니다. Cloud KMS를 사용하여 다음 작업을 수행할 수 있습니다.

소프트웨어 또는 하드웨어 키를 생성하거나, 기존 키를 Cloud KMS로 가져오거나, 호환 가능한 외부 키 관리(EKM) 시스템에서 외부 키를 연결합니다.
CMEK 통합을 사용하여 Google Cloud 제품에서 고객 관리 암호화 키(CMEK)를 사용합니다. CMEK 통합은 CMEK 키를 사용하여 데이터 암호화 키(DEK)를 암호화하거나 '래핑'합니다. 키 암호화 키(KEK)로 DEK를 래핑하는 것을 봉투 암호화라고 합니다.
Cloud KMS Autokey(미리보기)를 사용하여 프로비저닝 및 할당을 자동화합니다. Autokey를 사용하면 키링, 키, 서비스 계정을 미리 프로비저닝할 필요가 없습니다. 대신 리소스 생성 중에 필요에 따라 생성됩니다.
암호화 및 복호화 작업에 Cloud KMS 키를 사용합니다. 예를 들어 Cloud KMS API 또는 클라이언트 라이브러리를 사용하여 클라이언트 측 암호화에 Cloud KMS 키를 사용할 수 있습니다.
Cloud KMS 키를 사용하여 디지털 서명 또는 메시지 인증 코드(MAC) 서명을 만들거나 확인합니다.

니즈에 맞는 암호화 선택

다음 표를 사용하여 각 사용 사례의 니즈에 맞는 암호화 유형을 식별할 수 있습니다. 니즈에 가장 적합한 솔루션에 여러 암호화 접근 방식이 포함될 수 있습니다. 예를 들어 덜 민감한 정보에 소프트웨어 키를 사용하고 가장 민감한 정보에는 외부 키를 사용할 수 있습니다. 이 섹션에 설명된 암호화 옵션에 대한 자세한 내용은 이 페이지의 Google Cloud에서 데이터 보호를 참조하세요.

암호화 유형	비용	호환 서비스	기능
Google 소유 키 및 Google 관리 키(Google Cloud 기본 암호화)	포함됨	고객 데이터를 저장하는 모든 Google Cloud 서비스	구성이 필요하지 않습니다. Google Cloud 서비스에 저장된 고객 데이터를 자동으로 암호화합니다. 대부분의 서비스는 키를 자동으로 순환합니다. AES-256을 사용한 암호화를 지원합니다. FIPS 140-2 Level 1 인증을 받았습니다.
고객 관리 암호화 키 - 소프트웨어 (Cloud KMS 키)	키 버전당 $0.06	40개 이상의 서비스	자동 키 순환 일정, IAM 역할 및 권한을 제어하고 키 버전을 사용 설정, 중지, 폐기합니다. 암호화 및 복호화를 위해 대칭 및 비대칭 키를 지원합니다. 대칭 키를 자동으로 순환합니다. 여러 일반적인 알고리즘을 지원합니다. FIPS 140-2 Level 1 인증을 받았습니다. 키는 고객마다 고유합니다.
고객 관리 암호화 키 - 하드웨어 (Cloud HSM 키)	키 버전당 월 $1.00~$2.50	40개 이상의 서비스	선택적으로 Cloud KMS Autokey를 통해 관리됩니다(미리보기). 자동 키 순환 일정, IAM 역할 및 권한을 제어하고 키 버전을 사용 설정, 중지, 폐기합니다. 암호화 및 복호화를 위해 대칭 및 비대칭 키를 지원합니다. 대칭 키를 자동으로 순환합니다. 여러 일반적인 알고리즘을 지원합니다. FIPS 140-2 Level 3 인증을 받았습니다. 키는 고객마다 고유합니다.
고객 관리 암호화 키 - 외부 (Cloud EKM 키)	키 버전당 월 $3.00	30개 이상의 서비스	IAM 역할 및 권한을 제어하고 키 버전을 사용 설정, 중지, 폐기합니다. 키가 Google로 전송되지 않습니다. 키 자료는 호환되는 외부 키 관리(EKM) 제공업체에 상주합니다. 호환되는 Google Cloud 서비스는 인터넷 또는 Virtual Private Cloud(VPC)를 통해 EKM 제공업체에 연결됩니다. 암호화 및 복호화에 대칭 키를 지원합니다. Cloud EKM 및 EKM 제공업체와 협력하여 키를 수동으로 순환합니다. EKM에 따라 FIPS 140-2 Level 2 또는 FIPS 140-2 Level 3 인증을 받았습니다. 키는 고객마다 고유합니다.
Cloud KMS 키를 사용한 클라이언트 측 암호화	활성 키 버전의 비용은 키의 보호 수준에 따라 다릅니다.	애플리케이션에서 클라이언트 라이브러리 사용	자동 키 순환 일정, IAM 역할 및 권한을 제어하고 키 버전을 사용 설정, 중지, 폐기합니다. 암호화, 복호화, 서명, 서명 검증을 위해 대칭 및 비대칭 키를 지원합니다. 기능은 키 보호 수준에 따라 다릅니다.
고객 제공 암호화 키	Compute Engine 또는 Cloud Storage와 관련된 비용이 증가할 수 있음	Compute Engine Cloud Storage	필요한 경우 사용자가 키 자료를 제공합니다. 키 자료는 메모리 내에 상주합니다. Google은 사용자의 키를 Google 서버에 영구 저장하지 않습니다.
컨피덴셜 컴퓨팅	각 컨피덴셜 VM의 추가 비용, 로그 사용량 및 관련 비용이 증가할 수 있음	Compute Engine GKE Dataproc	민감한 정보 또는 워크로드를 처리하는 VM에 사용 중 데이터 암호화를 제공합니다. Google에서는 키에 액세스할 수 없습니다.

Google Cloud의 데이터 보호

Google 소유 키 및 Google 관리 키(Google Cloud 기본 암호화)

기본적으로 Google Cloud의 저장 데이터는 Google의 내부 키 관리 서비스인 키 저장소의 키로 보호됩니다. 키 저장소의 키는 Google에서 자동으로 관리되므로 사용자가 구성할 필요가 없습니다. 대부분의 서비스는 키를 자동으로 순환합니다. 키 저장소는 기본 키 버전과 제한된 수의 이전 키 버전을 지원합니다. 기본 키 버전은 새 데이터 암호화 키를 암호화하는 데 사용됩니다. 이전 키 버전은 기존 데이터 암호화 키를 복호화하는 데 계속 사용될 수 있습니다. 사용자는 이러한 키를 보거나 관리하거나 키 사용량 로그를 검토할 수 없습니다. 여러 고객의 데이터에서 동일한 키 암호화 키를 사용할 수 있습니다.

이 기본 암호화는 FIPS 140-2 Level 1을 준수하도록 검증받은 암호화 모듈을 사용합니다.

고객 관리 암호화 키(CMEK)

CMEK 통합 서비스에서 리소스를 보호하는 데 사용되는 Cloud KMS 키는 고객 관리 암호화 키(CMEK)입니다. CMEK를 소유하고 제어할 수 있으며 키 생성 및 할당 태스크를 Cloud KMS Autokey(미리보기)에 위임할 수 있습니다. CMEK의 프로비저닝 자동화에 대한 자세한 내용은 Autokey를 사용한 Cloud Key Management Service를 참조하세요.

호환 서비스에서 Cloud KMS 키를 사용하면 다음과 같은 목표를 달성할 수 있습니다.

암호화 키를 소유합니다.
암호화 키의 위치 선택, 보호 수준, 생성, 액세스 제어, 순환, 사용, 폐기 등을 제어하고 관리합니다.
오프보딩 시 키로 보호되는 데이터를 선택적으로 삭제하거나 보안 이벤트(암호화 파쇄)를 해결합니다.
데이터 주위에 암호화 경계를 설정하는 전용 단일 테넌트 키를 만듭니다.
암호화 키에 대한 관리 및 데이터 액세스를 로깅합니다.
이러한 목표를 요구하는 현재 또는 미래의 규정을 준수합니다.

CMEK 통합 서비스에서 Cloud KMS 키를 사용하는 경우 조직 정책을 사용하여 CMEK가 정책에 지정된 대로 사용되도록 할 수 있습니다. 예를 들어 호환되는 Google Cloud 리소스의 암호화에 Cloud KMS 키를 사용하도록 하는 조직 정책을 설정할 수 있습니다. 조직 정책으로 키 리소스가 상주해야 할 프로젝트를 지정할 수도 있습니다.

제공되는 기능 및 보호 수준은 키의 보호 수준에 따라 다릅니다.

소프트웨어 키 - Cloud KMS에서 소프트웨어 키를 생성하고 모든 Google Cloud 위치에서 사용할 수 있습니다. 자동 순환을 사용하는 대칭 키 또는 수동 순환을 사용하는 비대칭 키를 만들 수 있습니다. 고객 관리 소프트웨어 키는 FIPS 140-2 Level 1 인증을 받은 소프트웨어 암호화 모듈을 사용합니다. 또한 순환 기간, Identity and Access Management(IAM) 역할 및 권한, 키를 제어하는 조직 정책을 제어할 수 있습니다. 40개 이상의 호환되는 Google Cloud 리소스와 함께 소프트웨어 키를 사용할 수 있습니다.
가져온 소프트웨어 키 - 다른 곳에서 만든 소프트웨어 키를 가져와 Cloud KMS에서 사용할 수 있습니다. 새 키 버전을 가져와 가져온 키를 수동으로 순환할 수 있습니다. IAM 역할 및 권한과 조직 정책을 사용하여 가져온 키의 사용을 제어할 수 있습니다.
하드웨어 키 및 Cloud HSM - FIPS 140-2 Level 3 하드웨어 보안 모듈(HSM)의 클러스터에서 하드웨어 키를 생성할 수 있습니다. 순환 기간, IAM 역할 및 권한, 키를 관리하는 조직 정책을 제어할 수 있습니다. Cloud HSM을 사용하여 HSM 키를 만들면 Google이 HSM 클러스터를 관리하므로 사용자가 이를 관리할 필요가 없습니다. 40개 이상의 호환되는 Google Cloud 리소스(소프트웨어 키를 지원하는 서비스와 동일)와 함께 HSM 키를 사용할 수 있습니다. 가장 높은 수준의 보안 규정 준수가 필요하다면 하드웨어 키를 사용합니다.
외부 키 및 Cloud EKM - 외부 키 관리자(EKM)에 상주하는 키를 사용할 수 있습니다. Cloud EKM에서는 지원되는 키 관리자에 저장된 키를 사용하여 Google Cloud 리소스를 보호할 수 있습니다. 인터넷 또는 Virtual Private Cloud(VPC)를 통해 EKM에 연결할 수 있습니다. 소프트웨어 또는 하드웨어 키를 지원하는 일부 Google Cloud 서비스는 Cloud EKM 키를 지원하지 않습니다.

Cloud KMS 키

Cloud KMS 클라이언트 라이브러리 또는 Cloud KMS API를 사용하여 커스텀 애플리케이션에서 Cloud KMS 키를 사용할 수 있습니다. 클라이언트 라이브러리와 API를 사용하면 데이터를 암호화 및 복호화하고 데이터에 서명하고 서명을 검증할 수 있습니다.

고객 제공 암호화 키(CSEK)

Cloud Storage 및 Compute Engine은 고객 제공 암호화 키(CSEK)를 사용할 수 있습니다. 고객 제공 암호화 키를 사용하는 경우 키 자료를 저장하고 필요할 때 Cloud Storage 또는 Compute Engine에 제공합니다. Google은 어떤 식으로든 CSEK를 저장하지 않습니다.

컨피덴셜 컴퓨팅

Compute Engine, GKE, Dataproc에서는 컨피덴셜 컴퓨팅 플랫폼을 사용하여 사용 중 데이터를 암호화할 수 있습니다. 컨피덴셜 컴퓨팅을 통해 데이터를 처리하는 중에도 데이터를 비공개로 유지하고 암호화할 수 있습니다.