Secret Manager 개요

Secret Manager는 API 키, 사용자 이름, 비밀번호, 인증서와 같은 민감한 정보를 저장하고 관리할 수 있는 보안 비밀 및 사용자 인증 정보 관리 서비스입니다.

보안 비밀은 메타데이터 및 보안 비밀 버전 모음이 포함된 전역 리소스입니다. 메타데이터에는 라벨, 주석, 권한이 포함될 수 있습니다.

보안 비밀 버전은 API 키, 비밀번호 또는 인증서와 같은 실제 보안 비밀 데이터를 저장합니다. 각 버전은 고유한 ID 또는 타임스탬프로 식별됩니다.

Secret Manager를 사용하여 다음을 수행할 수 있습니다.

  • 버전을 사용하여 롤백, 복구, 감사 관리: 버전을 사용하면 점진적 출시와 긴급 롤백을 관리할 수 있습니다. 보안 비밀이 실수로 변경되거나 손상된 경우 이전의 양호한 상태로 알려진 버전으로 되돌릴 수 있습니다. 이렇게 하면 잠재적인 다운타임과 보안 침해를 최소화할 수 있습니다. 버전 관리는 변경한 사람 및 시기를 포함하여 보안 비밀 변경사항에 대한 이전 기록을 유지합니다. 보안 비밀 데이터를 감사하고 승인되지 않은 액세스 시도를 추적하는 데 도움이 됩니다. 보안 비밀 버전을 특정 워크로드에 고정하고 별칭을 추가하여 보안 비밀 데이터에 더 쉽게 액세스할 수 있습니다. 필요하지 않은 보안 비밀 버전을 사용 중지하거나 폐기할 수도 있습니다.

  • 전송 중 및 저장 중 비밀 데이터 암호화: 모든 비밀은 기본적으로 TLS를 사용하여 전송 중일 때와 저장 중일 때 모두 AES-256비트 암호화 키를 사용하여 암호화됩니다. 더 세부적인 제어가 필요한 경우 고객 관리 암호화 키(CMEK)로 보안 비밀 데이터를 암호화할 수 있습니다. CMEK를 사용하면 특정 요구사항을 충족하기 위해 새 암호화 키를 생성하거나 기존 키를 가져올 수 있습니다.

  • 세분화된 Identity and Access Management(IAM) 역할 및 조건을 사용하여 보안 비밀에 대한 액세스 관리: IAM 역할 및 권한을 사용하여 특정 Secret Manager 리소스에 세분화된 액세스 권한을 제공할 수 있습니다. 보안 비밀에 액세스, 관리, 감사, 순환하는 책임을 분리할 수 있습니다.

  • 보안 비밀 복제로 고가용성 및 재해 복구 보장: 여러 리전에 걸쳐 보안 비밀을 복제하여 지리적 위치에 관계없이 애플리케이션의 고가용성과 재해 복구를 보장할 수 있습니다. 다음 복제 정책 중에서 선택할 수 있습니다.

    • 자동 복제: Google에서 가용성과 지연 시간을 고려하여 리전을 결정합니다. 위치 1개에 대해서만 요금이 청구됩니다.

    • 사용자 관리 복제: 요구사항에 따라 커스텀 리전 집합을 선택할 수 있습니다. 위치별로 요금이 청구됩니다.

  • 보안 및 규정 준수 요구사항을 충족하도록 보안 비밀 자동 순환: 보안 비밀 순환은 무단 액세스 및 데이터 유출을 방지합니다. 보안 비밀을 정기적으로 변경하면 오래되거나 손실된 보안 비밀의 위험이 줄어들고 민감한 사용자 인증 정보를 주기적으로 순환해야 하는 여러 규제 프레임워크를 준수할 수 있습니다.

  • 리전 보안 비밀을 사용하여 데이터 상주 적용: 데이터 상주는 특정 개인 또는 조직에 속하는 경우가 많은 특정 유형의 데이터를 지정된 지리적 위치 내에 저장해야 합니다. 데이터 주권법 및 규정을 준수하기 위해 리전 보안 비밀을 만들고 특정 위치 내에 민감한 정보를 저장할 수 있습니다.

    • 보안 비밀 관리와 키 관리 간의 차이점

    보안 비밀 관리와 키 관리는 모두 데이터 보안의 중요한 구성요소이지만 서로 다른 목적을 수행하고 서로 다른 유형의 민감한 정보를 처리합니다. 특정 수요에 따라 보안 비밀 관리와 키 관리 중에서 선택할 수 있습니다. 기밀 데이터를 안전하게 저장하고 관리하려면 보안 비밀 관리 시스템이 적합한 도구입니다. 암호화 키를 관리하고 암호화 작업을 수행하려면 키 관리 시스템을 사용하는 것이 더 좋습니다.

    다음 표를 사용하여 Secret Manager와 Cloud Key Management Service(Cloud KMS)와 같은 키 관리 시스템 간의 주요 차이점을 파악할 수 있습니다.

    기능 Secret Manager Cloud KMS
    기본 기능 보안 비밀을 바이너리 blob 또는 텍스트 문자열로 저장, 관리, 액세스 암호화 키를 관리하고 이를 사용하여 데이터를 암호화 또는 복호화
    저장된 데이터 실제 보안 비밀 값입니다. 적절한 권한이 있으면 보안 비밀 콘텐츠를 볼 수 있습니다. 암호화 키 암호화 및 복호화 작업에 사용되는 실제 암호화 보안 비밀(비트 및 바이트)을 보거나 추출하거나 내보낼 수 없습니다.
    암호화 저장 데이터와 전송 중인 보안 비밀을 암호화합니다(Google 관리 키 또는 고객 관리 키 사용). 다른 서비스에 암호화 및 복호화 기능을 제공합니다.
    일반적인 사용 사례 런타임 시 애플리케이션에 필요한 데이터베이스 비밀번호, API 키, TLS 인증서와 같은 구성 정보를 저장합니다. 데이터베이스의 행 암호화 또는 이미지 및 파일과 같은 바이너리 데이터 암호화와 같은 대규모 암호화 워크로드를 처리합니다. Cloud KMS를 사용하면 서명 및 확인 등의 다른 암호화 작업을 수행할 수도 있습니다.

    보안 비밀 암호화

    Secret Manager는 디스크에 유지되기 전에 항상 보안 비밀 데이터를 암호화합니다. Google Cloud 암호화 옵션에 대한 자세한 내용은 저장 데이터 암호화를 참조하세요.

    Secret Manager는 엄격한 키 액세스 제어와 감사를 포함하여 Google에서 자체적으로 데이터를 암호화하는 데 사용하는 동일한 강화된 키 관리 시스템을 사용하여 개발자 대신 서버 측 암호화 키를 관리합니다. Secret Manager는 AES-256을 사용하여 사용자 저장 데이터를 암호화합니다. 필요한 설정이나 구성이 없고 서비스에 액세스하는 방식을 수정할 필요가 없으며 눈에 띄는 성능 저하도 없습니다. 보안 비밀 데이터는 승인된 사용자가 액세스할 때 자동으로 투명하게 복호화됩니다.

    Secret Manager API는 항상 보안 HTTP(S) 연결을 통해 통신합니다.

    추가 보호 레이어가 필요한 사람은 CMEK를 사용 설정하고 Cloud Key Management Service에 저장된 자체 암호화 키를 사용하여 Secret Manager에 저장된 보안 비밀을 보호할 수 있습니다. 고객 관리 암호화 키를 구성하고 사용하는 방법에 대한 자세한 내용은 CMEK 문서를 참조하세요.

    다음 단계