데이터 암호화 옵션

Cloud Storage는 데이터를 디스크에 쓰기 전에 서버 측에서 항상 암호화를 수행하며 이로 인한 추가 비용은 청구되지 않습니다. 이러한 표준 Cloud Storage 동작 외에도 Cloud Storage를 사용할 때 데이터를 암호화하는 다른 방법이 있습니다. 다음은 사용 가능한 암호화 옵션을 요약한 것입니다.

서버 측 암호화: Cloud Storage가 데이터를 수신한 후 데이터를 디스크에 기록하여 저장하기 전에 수행되는 암호화입니다.

클라이언트 측 암호화: 데이터가 Cloud Storage로 전송되기 전에 수행되는 암호화입니다. 이러한 데이터는 이미 암호화된 상태로 Cloud Storage에 수신되지만 서버 측 암호화도 수행됩니다.

암호화 옵션 비교

암호화 방법 키 관리 사용 사례
Standard(기본값) Google 에서 암호화 키를 관리합니다. 범용: Cloud Storage의 표준 암호화는 암호화 키를 관리하지 않고 미사용 상태의 데이터를 암호화해야 하는 대부분의 사용자에게 적합합니다. 많은 규정 준수 요구사항을 자동으로 충족합니다.
CMEK Cloud Key Management Service를 사용하여 키를 관리합니다. 규정 준수 및 제어: 특정 규정 준수 표준 (예: PCI-DSS 또는 HIPAA)을 충족하기 위해 암호화 키의 수명 주기를 제어해야 하는 경우 CMEK를 사용합니다. 자체 일정에 따라 키를 부여, 취소, 순환할 수 있습니다.
CSEK Cloud Storage에 대한 각 요청과 함께 자체 암호화 키를 제공합니다. 외부 키 관리: CSEK는 Google Cloud 외부의 기존 키 관리 시스템이 있고 이러한 키를 사용하여 Cloud Storage 데이터를 암호화하려는 시나리오에 가장 적합합니다. 키는 Google에 의해 저장되지 않습니다.
클라이언트측 암호화 Cloud Storage로 보내기 전에 데이터를 암호화하고 키를 완전히 직접 관리합니다. 최대 기밀성: Google 이 암호화되지 않은 데이터에 액세스할 수 없도록 해야 하는 경우 클라이언트 측 암호화를 사용합니다. 이렇게 하면 최고 수준의 제어 권한이 제공되지만 키 관리, 암호화 및 복호화 프로세스의 모든 부담이 사용자에게 부과됩니다.