정보 보호 및 규정 준수

Google Cloud의 보안 모델, 세계적 규모의 인프라, 독창적인 혁신 기능은 조직의 지속적인 보안 유지 및 규정 준수에 도움이 됩니다. Google은 투명성 및 개인정보 보호에 대한 약속의 일환으로 Google Cloud의 보안, 위험, 규정 준수 절차에 대한 내부 현황을 제공합니다.

저장 데이터 암호화

스토리지 기기 및 스토리지 시스템 레이어의 디스크 또는 백업에 저장된 데이터의 암호화를 의미합니다. Google Cloud는 주요 클라우드 제공업체로서는 처음으로 이를 기본으로 제공합니다.

배포 무결성

Google Cloud의 프로덕션 환경에 배포된 코드 및 구성을 적절하게 검토하고 승인할 수 있도록 도와줍니다.

액세스 권한 관리

Google Cloud에 저장된 고객 데이터를 보거나 수정할 수 있는 Google Cloud 직원의 액세스 권한을 관리합니다.

규정 준수

규제 요건, 프레임워크, 가이드라인에 따른 규정 준수를 보장하기 위해 Google Cloud 서비스를 정기적으로 감사합니다.

세부정보

최종 수정일: 2020년 5월 21일

저장 데이터 암호화

저장 데이터 암호화는 디스크 또는 백업에 저장된 데이터의 암호화를 의미합니다. Google Cloud는 주요 클라우드 제공업체로서는 처음으로 스토리지 기기 수준 및 스토리지 시스템 수준 모두 암호화가 포함된 멀티 레이어 접근 방식을 사용해서 저장 데이터 암호화를 기본적으로 제공합니다.

중요한 이유

저장 데이터 암호화는 퍼블릭 클라우드에 저장된 데이터가 승인되지 않은 개인 사용자 및 시스템에 노출되지 않도록 보호합니다. 많은 클라우드 제공업체가 물리적 손상에 대비해서 데이터를 보호하는 스토리지 기기 수준의 암호화를 지원하지만 Google Cloud는 스토리지 시스템 수준의 암호화도 제공합니다. 이를 통해 Google Cloud는 Google Cloud 엔지니어 또는 지원팀이 콘텐츠에 액세스하지 않아도 데이터 백업과 같은 운영 작업을 수행할 수 있습니다.

Google Cloud에서의 구현 방법

Google은 여러 암호화 레이어를 사용하여 Google Cloud 제품에 저장된 고객 데이터를 보호합니다.

저장할 데이터가 청크로 분할되고, 각 청크는 고유한 데이터 암호화 키를 사용하여 암호화됩니다. 이러한 데이터 암호화 키는 데이터와 함께 저장되고, Google의 중앙 키 관리 서비스 내에서만 배타적으로 저장되고 사용되는 키 암호화 키로 암호화('래핑')됩니다. Google의 키 관리 서비스는 중복성을 지원하며 전 세계에 분산되어 있습니다. Google Cloud에 저장된 데이터는 AES256 또는 AES128을 사용하여 스토리지 수준에서 암호화됩니다.

Google에서는 공통 암호화 라이브러리인 Tink를 사용하여 거의 모든 Google Cloud 제품들 간에 암호화를 일관되게 구현합니다. 이러한 공통 라이브러리를 폭넓게 사용할 수 있으므로, 일부 소규모 암호화 작업자팀을 제외하고는 이렇게 긴밀하게 제어되고 검토되는 코드를 올바르게 구현하고 유지관리하기 위해 직접 노력할 필요가 없습니다.

자세한 내용은 Google Cloud Platform의 저장 데이터 암호화 백서를 참조하세요.

제품군

Cloud Storage

사실

Google의 암호화 절차는 1년에 1회 이상 외부 감사관의 감사를 받습니다. Google Cloud의 저장 데이터 암호화에 대한 자세한 내용은 SOC 2 감사 보고서를 참조하세요.

액세스 권한 관리

조직 내 액세스 권한에 대한 적절한 관리는 민감한 정보가 사고로 인해 노출되지 않도록 방지하고 승인되지 않은 사용자가 이러한 데이터에 액세스할 위험을 최소화하는 데 도움이 될 수 있습니다.

중요한 이유

퍼블릭 클라우드에 데이터를 저장할 때는 내부 직원에 대한 적절한 액세스 권한 관리를 구현하는 것뿐만 아니라 클라우드 제공업체가 적법한 업무상 목적으로만 직원의 데이터 액세스를 제한하는 방법을 이해하는 것이 중요합니다. 클라우드 제공업체는 서비스 제공이나 법적 의무 준수를 위해 고객 지침에 따라서만 데이터에 액세스해야 합니다.

Google Cloud에서의 구현 방법

Google Cloud는 고객 데이터에 대한 적합한 액세스를 보장하기 위해 암호화 외에도 개별 사용자 및 서비스 계정에 대한 강력한 ID, ACL 시스템, Binary Authorization과 비슷한 내부 제어를 조합해서 사용합니다. 액세스 투명성 통합 서비스에 저장된 데이터에 대한 액세스의 경우 각 액세스에 대해 비즈니스 근거 기록을 생성하는 추가적인 제어 기술이 사용됩니다. 이러한 액세스에 대한 모니터링 및 감사가 정기적으로 수행됩니다.

동영상 프레젠테이션에서 내부자 위험을 최소화하는 방법을 알아보세요.

제품군
사실

Google 직원이 고객 지원을 위한 연락이나 공개 G Suite 문서의 악용사례 신고와 같이 주로 고객이 요청한 사안으로 인해 고객 데이터에 액세스하는 경우가 있습니다. 액세스 투명성 지원 서비스에 대해 Google은 Google Cloud 직원이 고객 데이터에 액세스할 때 이를 고객에게 알립니다.

배포 무결성

배포 무결성은 고객 데이터와 상호작용하는 프로덕션 환경에 배포된 코드 및 구성이 적절하게 검토 및 승인될 수 있도록 보장하는 Google Cloud 기능입니다. Borg용 Binary Authorization, 즉 BinAuthz는 특히 해당 코드에 사용자 데이터에 액세스할 수 있는 권한이 있는 경우 Google Cloud에 배포된 프로덕션 소프트웨어 및 구성이 적절하게 검토되고 승인되도록 하는 내부 배포-시간 시행 확인입니다.

중요한 이유

BinAuthz는 코드 및 구성 배포가 특정 최소 기준을 충족하도록 보장합니다. BinAuthz는 특정 요구사항이 충족되지 않을 때 경고를 보내기 위해 정책이 시행되지 않는 감사 모드에서도 사용할 수 있습니다. BinAuthz 채택을 통해 Google은 내부자 위험을 최소화하고 공격 가능성을 차단하며 Google Cloud 프로덕션 시스템의 균일성을 지원할 수 있습니다. 개별 사용자의 모든 데이터 액세스가 승인되었는지 확인하는 데 집중하는 액세스 권한 관리와 달리 배포 무결성은 프로그래매틱 방식의 데이터 액세스가 승인되었는지 확인합니다. 이러한 확인 절차에 따라 고객 데이터를 프로그래매틱 방식으로 액세스하고 프로덕션 환경을 변경할 때마다 감사 추적이 생성됩니다.

Google Cloud에서의 구현 방법

Google 인프라는 Borg라는 클러스터 관리 시스템을 사용하는 확장성이 높은 시스템을 위해 설계되었습니다. 최대 수만 개의 머신 각각에 있는 여러 클러스터 전반의 매우 다양한 애플리케이션에서 수십만 개의 작업을 실행합니다. 따라서 Google 프로덕션 환경이 상당히 유사해져 사용자 데이터에 대한 액세스 터치포인트를 더 쉽게 제어하고 감사할 수 있습니다. BinAuthz는 BinAuthz 지원 작업에서 사용되는 코드 및 구성에 대한 감사 추적은 물론 승인되지 않은 작업 시작이 시작되지 않도록 방지하는 배포-시간 시행 서비스를 제공합니다.

Borg용 Binary Authorization 백서에서 자세히 알아보기
제품군
사실

미리보기 또는 일반 안정화 버전의 모든 Google Cloud 서비스에서는 고객 데이터 액세스 작업에 Borg용 Binary Authorization을 사용 설정해야 합니다.

규정 준수 제품

클라우드 이전은 민감한 워크로드를 보호하면서도 복잡한 규제 요구사항과 프레임워크, 가이드라인 준수 및 유지를 가능하게 합니다. 리전과 업종에 따라 요구사항이 서로 다릅니다. 이러한 요구사항은 규제 기관에서 강제하거나 잘 알려진 표준 제정 조직에서 만들 수 있습니다. Google Cloud는 전 세계에서 여러 업종의 고객을 지원하고 있으며, 고객의 비즈니스 수행을 돕는 데 규정 준수 요구의 지원이 얼마나 중요한지 잘 알고 있습니다. Google Cloud는 보안, 개인정보 보호, 규정 준수 조치에 대해 정기적으로 독립 기관의 검증을 거쳐 세계 각지의 표준에 대한 인증, 규정 준수 증명 또는 감사 보고서를 획득하고 있습니다. 또한 공식 인증 또는 증명이 의무가 아니거나 적용될 수 없는 경우에는 프레임워크 및 법규에 따라 리소스를 문서화 및 매핑하고 있습니다.

모든 규정 준수 제품 보기
중요한 이유

Google은 Google 제품의 보안, 개인정보 보호, 규정 준수 조치에 대해 독립 기관의 검증이 필요하다는 것을 잘 알고 있으며 세계 각지의 표준에 대한 인증, 규정 준수 증명 또는 감사 보고서로 고객의 신뢰를 얻습니다. 독립적인 감사는 Google의 데이터 센터, 인프라, 운영 환경 통제를 대상으로 합니다. 이러한 인증에는 보안 통제를 위한 ISO/IEC 27001, 클라우드 보안을 위한 ISO/IEC 27017, 클라우드 개인정보 보호를 위한 ISO/IEC 27018, AICPA SOC 1, 2, 3 등 가장 널리 인정받고 국제적으로 사용되는 독립된 보안 표준이 포함됩니다. 인증은 CSA STAR 및 PCI-DSS와 같은 업계 표준과 다른 여러 리전별 표준의 요구를 충족시키는 데 도움이 됩니다. Google은 고객의 규정 준수 의무를 돕기 위해 전 세계적으로 제공되는 규정 준수 제품 목록을 계속해서 확대하고 있습니다.

Google Cloud에서의 구현 방법

Google 서비스는 보안, 개인정보 보호, 규정 준수 조치에 대해 정기적으로 독립 기관의 검증을 거쳐 세계 각지의 표준에 대한 인증, 규정 준수 증명 또는 감사 보고서를 획득하고 있습니다. Google은 매년 일반 안정화 버전(GA)에 가까워진 서비스를 평가하여 Google의 주요 감사 주기에 포함시킵니다.

Google이 특정 규정 준수 제품에 대해 규정을 준수하는 자세한 방법을 알아보려면 규정 준수 보고서 관리자 페이지로 이동하여 주요 규정 준수 프레임워크에 대한 제3자 감사 보고서를 확인하세요.

제품군
사실

공식 증명 또는 인증이 필요한 규정 준수 제품은 모두 제3자 독립 기관에서 검증을 거칩니다.

제3자 감사 보고서 보기