미국 국립표준기술연구소(NIST)는 미국 연방 정부 기관을 위해 하드웨어, 소프트웨어 또는 펌웨어를 포함한 암호화 모듈에 대한 요구사항을 설정하는 보안 표준으로 미국 연방 정보 처리 표준(FIPS) 발표문 140-2를 개발했습니다. FIPS 140-2 검사 인증은 디지털 방식으로 저장된 미분류 상태의 민감한 정보 보호를 돕기 위해 마련되었습니다.
Google Cloud는 프로덕션 환경에서 BoringCrypto(인증서 4407)라는 FIPS 140-2 검사 암호화 모듈을 사용합니다. 즉, 고객에게 전송 중인 데이터 및 데이터 센터 간 전송 중인 데이터와 저장 데이터가 FIPS 140-2 검사 암호화 기술을 통해 암호화됩니다. FIPS 140-2 검사가 완료된 모듈은 Google BoringSSL 라이브러리에 포함됩니다.
FIPS 검사를 거친 구현만을 활용하여 운영하려면 다음 작업을 수행합니다.
- Google은 FIPS 140-2 검사 암호화를 사용하여 Google 데이터 센터 간에 이동하는 VM 간의 트래픽을 자동으로 암호화합니다.
- Google의 로컬 SSD 스토리지 제품은 NIST 승인 암호화 기술로 자동으로 암호화되지만, 이 제품에 대한 Google의 현재 구현 기술에는 FIPS 140-2 검사 인증서가 없습니다. 로컬 SSD 스토리지에서 FIPS 검사 암호화가 필요하면 FIPS 검사 암호화 모듈로 직접 암호화 기능을 제공해야 합니다.
- 클라이언트가 Google 인프라에 연결할 때 해당 TLS 클라이언트는 안전한 FIPS 준수 알고리즘을 사용하도록 구성되어야 합니다. TLS 클라이언트와 Google Cloud의 TLS 서비스가 FIPS와 호환되지 않는 암호화 방법에 동의하면 검증되지 않은 암호화 구현이 사용됩니다.
- 사용자가 Google Cloud에서 빌드하고 운영하는 애플리케이션에는 자체 암호화 구현을 포함할 수 있습니다. 이러한 애플리케이션에서 처리하는 데이터를 FIPS 검사 암호화 모듈로 보호하려면 이 구현을 직접 통합해야 합니다.
현재 모든 Google Cloud 리전 및 영역에서 FIPS 140-2 검사 암호화가 지원됩니다.