보호 수준

이 주제에서는 Cloud KMS에서 지원되는 여러 가지 보호 수준을 비교합니다.

소프트웨어
SOFTWARE 보호 수준의 Cloud KMS 키는 소프트웨어에서 수행되는 암호화 작업에 사용됩니다. Cloud KMS 키는 Google에서 생성하거나 가져올 수 있습니다.
하드웨어
HARDWARE 보호 수준의 Cloud HSM 키는 Google 소유의 하드웨어 보안 모듈(HSM)에 저장됩니다. 이러한 키를 사용하는 암호화 작업은 Google의 HSM에서 수행됩니다. Cloud KMS 키를 사용할 때와 동일한 방식으로 Cloud HSM 키를 사용할 수 있습니다. Cloud HSM 키는 Google에서 생성하거나 가져올 수 있습니다.
인터넷을 통한 외부
EXTERNAL 보호 수준의 Cloud EKM 키는 외부 키 관리(EKM) 시스템에서 생성되고 저장됩니다. Cloud EKM은 인터넷을 통해 키에 액세스하는 데 사용되는 추가 암호화 자료와 고유 키 경로를 저장합니다.
VPC를 통한 외부
EXTERNAL_VPC 보호 수준의 Cloud EKM 키는 외부 키 관리(EKM) 시스템에서 생성되고 저장됩니다. Cloud EKM은 Virtual Private Cloud(VPC) 네트워크를 통해 키에 액세스하는 데 사용되는 추가 암호화 자료와 고유 키 경로를 저장합니다.

이러한 모든 보호 수준이 적용되는 키는 다음 기능을 공유합니다.

  • 고객 관리 암호화 키(CMEK) 통합 Google Cloud 서비스에 키를 사용합니다.

  • 키의 보호 수준에 따라 특수 코드 없이 Cloud KMS API 또는 클라이언트 라이브러리를 통해 키를 사용합니다.

  • Identity and Access Management(IAM) 역할을 사용하여 키에 대한 액세스를 제어합니다.

  • Cloud KMS에서 각 키 버전을 사용 설정할지 아니면 중지할지 여부를 제어합니다.

  • 키 작업은 감사 로그에 캡처됩니다. 데이터 액세스 로깅을 사용 설정할 수 있습니다.

소프트웨어 보호 수준

Cloud KMS는 소프트웨어 키의 모든 암호화 작업에 BoringCrypto 모듈(BCM)을 사용합니다. BCM은 FIPS 140-2 인증을 받았습니다. Cloud KMS 소프트웨어 키는 FIPS 140-2 Level 1 인증을 받은 BCM의 암호화 기본 요소를 사용합니다.

소프트웨어 키 버전은 하드웨어 또는 외부 키 버전보다 훨씬 저렴합니다. 소프트웨어 키는 더 높은 FIP 140-2 검증 수준에 대한 특정 규제 요구사항이 없는 사용 사례에 적합합니다.

하드웨어 보호 수준

Cloud HSM은 Google Cloud의 워크로드에 대한 규정 준수를 시행하는 데 도움이 됩니다. Cloud HSM으로 FIPS 140-2 Level 3 인증을 받은 HSM에서 암호화 키를 생성하고 암호화 작업을 수행할 수 있습니다. 이 서비스는 완전 관리형 서비스이므로 HSM 클러스터 관리에 대한 운영 오버헤드를 걱정할 필요 없이 민감한 워크로드를 보호할 수 있습니다. Cloud HSM은 HSM 모듈 위에 추상화 레이어를 제공합니다. 이 추상화를 사용하면 HSM 관련 코드 없이 CMEK 통합 또는 Cloud KMS API나 클라이언트 라이브러리에서 키를 사용할 수 있습니다.

하드웨어 키 버전은 비용이 많이 들지만 소프트웨어 키와 비교하여 상당한 보안 이점을 제공합니다. 각 Cloud HSM 키에는 키에 대한 인증된 정보가 포함된 문 증명이 있습니다. 이 증명과 관련 인증서 체인을 사용해 키와 HSM의 문 및 속성의 신뢰성을 확인할 수 있습니다.

외부 보호 수준

Cloud 외부 키 관리자(Cloud EKM) 키는 지원되는 외부 키 관리(EKM) 파트너 서비스에서 관리하고 Google Cloud 서비스, Cloud KMS API, 클라이언트 라이브러리에서 사용하는 키입니다. Cloud EKM 키는 EKM 제공업체에 따라 소프트웨어 지원 키 또는 하드웨어 지원 키일 수 있습니다. CMEK 통합 서비스나 Cloud KMS API 및 클라이언트 라이브러리를 통해 Cloud EKM 키를 사용할 수 있습니다.

Cloud EKM 키 버전은 Google에서 호스팅하는 소프트웨어 또는 하드웨어 키 버전보다 비용이 많이 듭니다. Cloud EKM 키를 사용하면 Google에서 키 자료에 액세스할 수 없도록 차단할 수 있습니다.

Cloud EKM 키를 지원하는 CMEK 통합 서비스를 확인하려면 CMEK 통합을 참조하고 EKM 호환 서비스만 표시 필터를 적용합니다.

인터넷을 통한 외부 보호 수준

nam-eur-asia1global을 제외하고 Cloud KMS에서 지원하는 모든 위치에서 인터넷을 통해 Cloud EKM 키를 사용할 수 있습니다.

VPC를 통한 외부 보호 수준

외부 키의 가용성을 높이기 위해 VPC 네트워크를 통해 Cloud EKM 키를 사용할 수 있습니다. 이렇게 가용성을 높이면 Cloud EKM 키와 이 키로 보호되는 리소스를 사용할 수 없게 될 가능성이 줄어듭니다.

Cloud KMS에서 지원하는 모든 리전 위치에서 VPC 네트워크를 통해 Cloud EKM 키를 사용할 수 있습니다. 멀티 리전 위치에서는 VPC 네트워크를 통한 Cloud EKM을 사용할 수 없습니다.

다음 단계