상시 보안 비밀 암호화 사용

Google Distributed Cloud 버전 1.10은 외부 KMS(키 관리 서비스) 또는 기타 종속 항목 없이도 보안 비밀 암호화를 지원합니다.

상시 보안 비밀 암호화 사용 설정

상시 보안 비밀 암호화는 클러스터의 etcd 데이터베이스에 저장되기 전에 보안 비밀을 암호화하는 데 사용되는 암호화 키를 자동으로 생성하여 작동합니다. 보안 비밀은 보안 비밀 쓰기마다 생성되는 데이터 암호화 키(DEK)를 사용하여 암호화됩니다. 이 DEK는 보안 비밀 객체를 암호화하기 위해 AES-GCM 모드로 사용됩니다. DEK는 키 암호화 키(KEK)로 다시 암호화됩니다. 암호화 알고리즘은 A256GCM(256비트 키를 사용하는 AES GCM)입니다.

키 버전은 현재 사용 중인 키를 나타내는 버전 번호입니다.

클러스터가 이미 생성된 후에 보안 비밀 암호화를 사용 설정할 수 있습니다.

  • 관리자 클러스터의 경우 다음과 같습니다.

    1. 관리자 클러스터 구성 파일을 수정하여 secretsEncryption 섹션을 추가합니다.

    2. gkectl update 명령어를 실행합니다.

      gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG

  • 사용자 클러스터의 경우 다음과 같습니다.

    1. 사용자 클러스터 구성 파일을 수정하여 secretsEncryption 섹션을 추가합니다.

    2. gkectl update 명령어를 실행합니다.

      gkectl update cluster --config USER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG

다음을 바꿉니다.

  • ADMIN_KUBECONFIG를 관리자 클러스터 kubeconfig 파일의 경로로 바꿉니다.
  • ADMIN_CLUSTER_CONFIG를 관리자 클러스터 구성 파일의 경로로 바꿉니다.
  • USER_CLUSTER_CONFIG을 사용자 클러스터 구성 파일의 경로로 바꿉니다.

이 섹션에서 제공하는 gkectl update 명령어를 사용해 해당 클러스터를 업데이트할 수도 있습니다.

키 저장

관리자 클러스터의 암호화 키는 관리자 클러스터 데이터 디스크에 저장됩니다. 이 디스크는 관리자 마스터 머신의 /opt/data에 마운트되며, 암호화 키는 /opt/data/gke-k8s-kms-plugin/generatedkeys/에서 찾을 수 있습니다. 해당 키에서 사용하는 암호화된 보안 비밀에 대한 액세스 권한을 유지하려면 키를 백업해야 합니다. 제어 영역 VM 디스크가 보호되도록 하려면 하이퍼바이저에서 VM/스토리지 암호화 또는 유사한 방법을 사용 설정해야 합니다.

키 순환

클러스터의 기존 암호화 키를 순환하려면 해당 관리자 클러스터 구성 파일 또는 사용자 클러스터 구성 파일keyVersion을 올리고 적절한 gkectl update 명령어를 사용합니다. 이렇게 하면 새 버전 번호와 일치하는 새 키가 생성되고, 각 보안 비밀이 다시 암호화되고, 이전 보안 비밀을 안전하게 삭제됩니다. 이후의 모든 새 보안 비밀은 새 암호화 키를 사용하여 암호화됩니다.

상시 보안 비밀 암호화 사용 중지

기존 클러스터에서 보안 비밀 암호화를 중지하려면 disabled: true 필드를 추가합니다. 그런 다음 해당하는 gkectl update 명령어를 실행합니다. 이 업데이트는 기존의 각 보안 비밀을 복호화하고 각 보안 비밀을 일반 텍스트로 저장합니다. 이후의 모든 새 보안 비밀은 일반 텍스트로 저장됩니다.

secretsEncryption:
  mode: GeneratedKey
  generatedKey:
    keyVersion: KEY_VERSION
    disabled: true