Cloud Key Management Service(Cloud KMS)를 사용하면 호환되는 Google Cloud 서비스 및 자체 애플리케이션에서 사용할 암호화 키를 만들고 관리할 수 있습니다. Cloud KMS를 사용하여 다음 작업을 수행할 수 있습니다.
소프트웨어 또는 하드웨어 키를 생성하거나, 기존 키를 Cloud KMS로 가져오거나, 호환 가능한 외부 키 관리(EKM) 시스템에서 외부 키를 연결합니다.
CMEK 통합을 사용하여 Google Cloud 제품에서 고객 관리 암호화 키(CMEK)를 사용합니다. CMEK 통합은 CMEK 키를 사용하여 데이터 암호화 키(DEK)를 암호화하거나 '래핑'합니다. 키 암호화 키(KEK)로 DEK를 래핑하는 것을 봉투 암호화라고 합니다.
암호화 및 복호화 작업에 Cloud KMS 키를 사용합니다. 예를 들어 Cloud KMS API 또는 클라이언트 라이브러리를 사용하여 클라이언트 측 암호화에 Cloud KMS 키를 사용할 수 있습니다.
Cloud KMS 키를 사용하여 디지털 서명 또는 메시지 인증 코드(MAC) 서명을 만들거나 확인합니다.
니즈에 맞는 암호화 선택
다음 표를 사용하여 각 사용 사례의 니즈에 맞는 암호화 유형을 식별할 수 있습니다. 니즈에 가장 적합한 솔루션에 여러 암호화 접근 방식이 포함될 수 있습니다. 예를 들어 덜 민감한 정보에 소프트웨어 키를 사용하고 가장 민감한 정보에는 외부 키를 사용할 수 있습니다. 이 섹션에 설명된 암호화 옵션에 대한 자세한 내용은 이 페이지의 Google Cloud에서 데이터 보호를 참조하세요.
| 암호화 유형 | 비용 | 호환 서비스 | 기능 |
|---|---|---|---|
| Google Cloud 기본 암호화 | 포함됨 | 고객 데이터를 저장하는 모든 Google Cloud 서비스 |
|
| 고객 관리 암호화 키 -
소프트웨어 (Cloud KMS 키) |
낮음 - 키 버전당 $0.06 | 30개 이상의 서비스 |
|
| 고객 관리 암호화 키 -
하드웨어 (Cloud HSM 키) |
중간 - 키 버전당 월 $1.00~$2.50 | 30개 이상의 서비스 |
|
| 고객 관리 암호화 키 -
외부 (Cloud EKM 키) |
높음 - 키 버전당 월 $3.00 | 20개 이상의 서비스 |
|
| Cloud KMS 키를 사용한 클라이언트 측 암호화 | 활성 키 버전의 비용은 키의 보호 수준에 따라 다릅니다. | 애플리케이션에서 클라이언트 라이브러리 사용 |
|
| 고객 제공 암호화 키 | Compute Engine 또는 Cloud Storage와 관련된 비용이 증가할 수 있음 |
|
|
| 컨피덴셜 컴퓨팅 | 각 컨피덴셜 VM의 추가 비용, 로그 사용량 및 관련 비용이 증가할 수 있음 |
|
Google Cloud의 데이터 보호
Google Cloud 기본 암호화
기본적으로 Google Cloud의 저장 데이터는 Google의 내부 키 관리 서비스인 키 저장소의 키로 보호됩니다. 키 저장소의 키는 Google에서 자동으로 관리되므로 사용자가 구성할 필요가 없습니다. 대부분의 서비스는 키를 자동으로 순환합니다. 키 저장소는 기본 키 버전과 제한된 수의 이전 키 버전을 지원합니다. 기본 키 버전은 새 데이터 암호화 키를 암호화하는 데 사용됩니다. 이전 키 버전은 기존 데이터 암호화 키를 복호화하는 데 계속 사용될 수 있습니다.
이 기본 암호화는 FIPS 140-2 Level 1을 준수하도록 검증받은 암호화 모듈을 사용합니다. 더 높은 수준의 보호에 대한 특정 요구사항이 없는 경우 기본 암호화를 사용하면 추가 비용 없이 니즈를 충족할 수 있습니다.
고객 관리 암호화 키(CMEK)
더 높은 수준의 제어 또는 보호가 필요한 사용 사례의 경우 호환 서비스의 고객 관리 Cloud KMS 키를 사용하면 됩니다. CMEK 통합에서 Cloud KMS 키를 사용하는 경우 조직 정책을 사용하여 CMEK 키가 정책에 지정된 대로 사용되도록 할 수 있습니다. 예를 들어 호환되는 Google Cloud 리소스의 암호화에 Cloud KMS 키를 사용하도록 하는 조직 정책을 설정할 수 있습니다. 조직 정책으로 키 리소스가 상주해야 할 프로젝트를 지정할 수도 있습니다.
제공되는 기능 및 보호 수준은 키의 보호 수준에 따라 다릅니다.
소프트웨어 키 - Cloud KMS에서 소프트웨어 키를 생성하고 모든 Google Cloud 위치에서 사용할 수 있습니다. 자동 순환을 사용하는 대칭 키 또는 수동 순환을 사용하는 비대칭 키를 만들 수 있습니다. 고객 관리 소프트웨어 키는 FIPS 140-2 Level 1 인증을 받은 소프트웨어 암호화 모듈을 사용합니다. 또한 순환 기간, Identity and Access Management(IAM) 역할 및 권한, 키를 제어하는 조직 정책을 제어할 수 있습니다. 30개 이상의 호환되는 Google Cloud 리소스와 함께 소프트웨어 키를 사용할 수 있습니다.
가져온 소프트웨어 키 - 다른 곳에서 만든 소프트웨어 키를 가져와 Cloud KMS에서 사용할 수 있습니다. 새 키 버전을 가져와 가져온 키를 수동으로 순환할 수 있습니다. IAM 역할 및 권한과 조직 정책을 사용하여 가져온 키의 사용을 제어할 수 있습니다.
하드웨어 키 및 Cloud HSM - FIPS 140-2 Level 3 하드웨어 보안 모듈(HSM)의 클러스터에서 하드웨어 키를 생성할 수 있습니다. 순환 기간, IAM 역할 및 권한, 키를 관리하는 조직 정책을 제어할 수 있습니다. Cloud HSM을 사용하여 HSM 키를 만들면 Google이 HSM 클러스터를 관리하므로 사용자가 이를 관리할 필요가 없습니다. 30개 이상의 호환되는 Google Cloud 리소스(소프트웨어 키를 지원하는 서비스와 동일)와 함께 HSM 키를 사용할 수 있습니다. 가장 높은 수준의 보안 규정 준수가 필요하다면 하드웨어 키를 사용합니다.
외부 키 및 Cloud EKM - 외부 키 관리자(EKM)에 상주하는 키를 사용할 수 있습니다. Cloud EKM에서는 지원되는 키 관리자에 저장된 키를 사용하여 Google Cloud 리소스를 보호할 수 있습니다. 인터넷 또는 Virtual Private Cloud(VPC)를 통해 EKM에 연결할 수 있습니다. 소프트웨어 또는 하드웨어 키를 지원하는 일부 Google Cloud 서비스는 Cloud EKM 키를 지원하지 않습니다.
Cloud KMS 키
Cloud KMS 클라이언트 라이브러리 또는 Cloud KMS API를 사용하여 커스텀 애플리케이션에서 Cloud KMS 키를 사용할 수 있습니다. 클라이언트 라이브러리와 API를 사용하면 데이터를 암호화 및 복호화하고 데이터에 서명하고 서명을 검증할 수 있습니다.
고객 제공 암호화 키(CSEK)
Cloud Storage 및 Compute Engine은 고객 제공 암호화 키(CSEK)를 사용할 수 있습니다. 고객 제공 암호화 키를 사용하는 경우 키 자료를 저장하고 필요할 때 Cloud Storage 또는 Compute Engine에 제공합니다. Google은 어떤 식으로든 CSEK를 저장하지 않습니다.
컨피덴셜 컴퓨팅
Compute Engine, GKE, Dataproc에서는 컨피덴셜 컴퓨팅 플랫폼을 사용하여 사용 중 데이터를 암호화할 수 있습니다. 컨피덴셜 컴퓨팅을 통해 데이터를 처리하는 중에도 데이터를 비공개로 유지하고 암호화할 수 있습니다.