애플리케이션 레이어 비밀번호 암호화

이 페이지에서는 Cloud KMS(Key Management Service)에서 관리하는 키를 사용하여 애플리케이션 레이어에서 Kubernetes 보안 비밀을 암호화하는 방법을 설명합니다.

애플리케이션 레이어 보안 비밀 암호화는 GKE 버전 1.11.2부터 사용 가능합니다.

개요

기본적으로 GKE는 보안 비밀을 포함하여 비활성 상태로 저장된 고객 콘텐츠를 암호화합니다. 사용자가 추가 작업을 수행하지 않아도 GKE가 이러한 기본 암호화를 처리하고 관리합니다.

애플리케이션 레이어 보안 비밀 암호화etcd에 저장되는 보안 비밀과 같이, 민감한 데이터를 위한 추가적인 보안 레이어를 제공합니다. 이 기능에서는 애플리케이션 레이어의 데이터 암호화를 위해 Cloud KMS에서 관리하는 키를 사용할 수 있습니다. 이렇게 하면 etcd의 오프라인 사본에 액세스하는 공격자를 방어할 수 있습니다.

애플리케이션 레이어 보안 비밀 암호화를 사용하기 위해서는 먼저 Cloud KMS 키를 만들고 이 키에 대한 액세스 권한을 GKE 서비스 계정에 부여해야 합니다. 그런 후 새 클러스터를 만들 때 사용하려는 키를 지정하여 이 기능을 사용 설정할 수 있습니다.

봉투 암호화

Kubernetes는 KMS 공급자를 사용하여 보안 비밀의 봉투 암호화 기능을 제공합니다. 즉, 일반적으로 DEK(데이터 암호화 키)라고 부르는 로컬 키를 사용하여 보안 비밀을 암호화합니다. DEK 자체는 키 암호화 키라고 부르는 다른 키를 사용하여 암호화됩니다. Kubernetes는 키 암호화 키를 저장하지 않습니다.

봉투 암호화는 다음과 같은 두 가지 주요 이점이 있습니다.

  • 모든 보안 비밀을 다시 암호화할 필요 없이 키 암호화 키를 순환할 수 있습니다. 즉, 중대한 성능 영향 없이도 일반 키 순환이라는 권장시항을 더 쉽게 따를 수 있습니다.

  • Kubernetes에 저장되는 보안 비밀은 외부 신뢰 루트에 의존할 수 있습니다. 즉, 모든 보안 비밀에 대해 하드웨어 보안 모듈과 같은 중앙 신뢰 루트를 사용할 수 있으며, 악의적으로 컨테이너에 오프라인으로 액세스해도 보안 비밀을 획득할 수 없습니다.

GKE의 애플리케이션 레이어 보안 비밀 암호화의 경우, 로컬 DEK와 함께 AES-CBC 공급자를 사용하여 보안 비밀이 로컬로 암호화됩니다. DEK는 Cloud KMS에서 관리하는 키 암호화 키를 사용하여 암호화됩니다.

봉투 암호화에 대한 자세한 내용은 봉투 암호화를 참조하세요.

보안 비밀을 만들 때 발생하는 상황

새 보안 비밀을 만들 때는 다음과 같은 상황이 발생합니다.

  • Kubernetes API 서버가 난수 생성기를 사용하여 보안 비밀에 대해 고유한 DEK를 생성합니다.

  • Kubernetes API 서버가 DEK를 로컬로 사용하여 보안 비밀을 암호화합니다.

  • KMS 플러그인이 암호화를 위해 DEK를 Cloud KMS로 보냅니다. KMS 플러그인은 프로젝트의 GEK 서비스 계정을 사용하여 Cloud KMS에 인증을 수행합니다.

  • Cloud KMS가 DEK를 암호화하고, 이를 다시 KMS 플러그인으로 보냅니다.

  • Kubernetes API 서버가 암호화된 보안 비밀과 암호화된 DEK를 저장합니다. 일반 텍스트로 된 DEK는 디스크에 저장되지 않습니다.

클라이언트가 Kubernetes API 서버에서 보안 비밀을 요청하면 위에 설명된 프로세스가 반대로 수행됩니다.

시작하기 전에

  • 이 항목의 연습을 수행하려면 2개의 Google Cloud Platform 프로젝트가 필요합니다.

    • 키 프로젝트: 키 암호화 키를 만드는 프로젝트입니다.

    • 클러스터 프로젝트: 애플리케이션 레이어 보안 비밀 암호화를 사용 설정하는 클러스터를 만드는 프로젝트입니다.

  • 키 프로젝트에서 Cloud KMS API가 사용 설정되었는지 확인합니다.

    Cloud KMS API 사용 설정

  • 클러스터 프로젝트에서는 Google Kubernetes Engine API가 사용 설정되었는지 확인합니다.

    Google Kubernetes Engine API 사용 설정

  • Cloud SDK가 설치되었는지 확인합니다.

  • gcloud를 최신 버전으로 업데이트합니다.

    gcloud components update

Cloud KMS 키 만들기

키 링을 만들 때 GKE 클러스터의 위치와 일치하는 위치를 지정합니다.

  • 영역 클러스터는 상위 집합 위치의 키 링을 사용합니다. 예를 들어 us-central1-a 영역(zone)의 클러스터는 us-central1 리전의 키만 사용할 수 있습니다.

  • 리전 클러스터는 동일한 위치의 키 링을 사용합니다. 예를 들어 asia-northeast1 리전의 클러스터는 asia-northeast1 리전의 키 링으로 보호되어야 합니다.

  • Cloud KMS global 리전은 GKE에서 사용하도록 지원되지 않습니다.

키 프로젝트에서 키 링을 만듭니다.

gcloud kms keyrings create [RING_NAME] \
    --location [LOCATION] \
    --project [KEY_PROJECT_ID]

각 항목의 의미는 다음과 같습니다.

  • [RING_NAME]은 키 링에 대해 선택한 이름입니다.
  • [LOCATION]은 키 링을 만들려는 리전입니다.
  • [KEY_PROJECT_ID]는 키 프로젝트 ID입니다.

키를 만듭니다.

gcloud kms keys create [KEY_NAME] \
    --location [LOCATION] \
    --keyring [RING_NAME] \
    --purpose encryption \
    --project [KEY_PROJECT_ID]

각 항목의 의미는 다음과 같습니다.

  • [KEY_NAME]은 키에 대해 선택한 이름입니다.
  • [LOCATION]은 키 링을 만든 리전입니다.
  • [RING_NAME]은 키 링의 이름입니다.
  • [KEY_PROJECT_ID]는 키 프로젝트 ID입니다.

키 사용 권한 부여

클러스터 프로젝트의 GKE 서비스 계정은 다음 이름을 갖습니다.

service-[CLUSTER_PROJECT_NUMBER]@container-engine-robot.iam.gserviceaccount.com

여기에서 [CLUSTER_PROJECT_NUMBER]는 클러스터 프로젝트 번호입니다.

GKE 서비스 계정에 Cloud KMS CryptoKey 암호화/복호화 역할을 부여합니다.

gcloud kms keys add-iam-policy-binding [KEY_NAME] \
  --location [LOCATION] \
  --keyring [RING_NAME] \
  --member serviceAccount:[SERVICE_ACCOUNT_NAME] \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
  --project [KEY_PROJECT_ID]

각 항목의 의미는 다음과 같습니다.

  • [KEY_NAME]은 키 이름입니다.
  • [LOCATION]은 키 링을 만든 리전입니다.
  • [RING_NAME]은 키 링의 이름입니다.
  • [SERVICE_ACCOUNT_NAME]은 GKE 서비스 계정의 이름입니다.
  • [KEY_PROJECT_ID]는 키 프로젝트 ID입니다.

애플리케이션 레이어 보안 비밀 암호화를 사용하여 클러스터 만들기

애플리케이션 레이어 보안 비밀 암호화를 지원하는 클러스터를 만들려면 만들기 명령어에서 --database-encryption-key 매개변수 값을 지정합니다. 클러스터 버전 1.11.2 이상을 사용합니다.

gcloud beta container clusters create [CLUSTER_NAME] \
  --cluster-version=latest \
  --zone [ZONE] \
  --database-encryption-key projects/[KEY_PROJECT_ID]/locations/[LOCATION]/keyRings/[RING_NAME]/cryptoKeys/[KEY_NAME] \
  --project [CLUSTER_PROJECT_ID]

각 항목의 의미는 다음과 같습니다.

  • [CLUSTER_NAME]은 클러스터에 대해 선택한 이름입니다.
  • [ZONE]은 클러스터를 만들려는 영역(zone)입니다.
  • [KEY_PROJECT_ID]는 키 프로젝트 ID입니다.
  • [LOCATION]은 키 링의 위치입니다.
  • [RING_NAME]은 키 링의 이름입니다.
  • [KEY_NAME]은 키 이름입니다.
  • [CLUSTER_PROJECT_ID]는 클러스터 프로젝트 ID입니다.

클러스터가 애플리케이션 레이어 보안 비밀 암호화를 사용하는지 여부 확인

클러스터가 애플리케이션 레이어 보안 비밀 암호화를 사용하는지 여부를 확인합니다.

gcloud beta container clusters describe [CLUSTER_NAME] \
  --zone [COMPUTE_ZONE] \
  --format 'value(databaseEncryption)' \
  --project [CLUSTER_PROJECT_ID]

각 항목의 의미는 다음과 같습니다.

  • [CLUSTER_NAME]은 기존 클러스터의 이름입니다.
  • [COMPUTE_ZONE]은 클러스터 영역(zone)의 이름입니다.
  • [CLUSTER_PROJECT_ID]는 클러스터 프로젝트 ID입니다.

클러스터가 애플리케이션 레이어 보안 비밀 암호화를 사용하는 경우 응답에 EncryptionConfig가 포함됩니다.

keyName=projects/[PROJECT]/locations/[LOCATION]/keyRings/[RING_NAME]/cryptoKeys/[KEY_NAME];state=ENCRYPTED

제한사항

기존 클러스터

현재까지는 기존 클러스터에 대해 애플리케이션 레이어 보안 비밀 암호화를 사용 설정할 수 없습니다.

키 위치

사용 중인 클러스터와 동일한 리전에서 키를 선택해야 합니다. 예를 들어 us-central1-a의 영역 클러스터는 us-central1 리전의 키만 사용할 수 있습니다. 리전 클러스터의 경우 키가 동일한 리전에 있어야 합니다.

키 순환

Cloud KMS에서 키를 순환할 때 GKE의 데이터는 다시 암호화되지 않습니다. 이전에 암호화된 기존 데이터는 다시 암호화되지 않지만, 새로운 데이터는 새 키를 사용하여 암호화됩니다.

현재까지는 보안 비밀의 자동 재암호화를 강제할 수 있는 방법이 없습니다. 필요한 경우에는 새 키 버전을 만들어서 키 암호화 키를 수동으로 순환할 수 있습니다.

gcloud kms keys versions create --location [LOCATION] \
   --keyring [RING_NAME] \
   --key [KEY_NAME] \
   --primary \
   --project [KEY_PROJECT_ID]

그런 후 GKE에서 모든 보안 비밀을 수정하여 재암호화를 강제 적용합니다.

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

EncryptionConfig

현재까지는 Cloud KMS의 키와 함께 KMS 공급자만 GKE에서 사용할 수 있습니다. 다른 Kubernetes KMS 공급자 또는 다른 암호화 공급자는 사용할 수 없습니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Kubernetes Engine 문서