Cloud Key Management Service 개요

Cloud Key Management Service(Cloud KMS)를 사용하면 호환되는 Google Cloud 서비스 및 자체 애플리케이션에서 사용할 수 있는 CMEK 키를 만들고 관리할 수 있습니다. Cloud KMS를 사용하여 다음 작업을 수행할 수 있습니다.

  • 소프트웨어 또는 하드웨어 키를 생성하거나, 기존 키를 Cloud KMS로 가져오거나, 호환 가능한 외부 키 관리(EKM) 시스템에서 외부 키를 연결합니다.

  • CMEK 통합을 사용하여 Google Cloud 제품에서 고객 관리 암호화 키(CMEK)를 사용합니다. CMEK 통합은 CMEK 키를 사용하여 데이터 암호화 키(DEK)를 암호화하거나 '래핑'합니다. 키 암호화 키(KEK)로 DEK를 래핑하는 것을 봉투 암호화라고 합니다.

  • Cloud KMS Autokey를 사용하여 프로비저닝 및 할당을 자동화합니다. Autokey를 사용하면 키링, 키, 서비스 계정을 미리 프로비저닝할 필요가 없습니다. 대신 리소스 생성 중에 필요에 따라 생성됩니다.

  • 암호화 및 복호화 작업에 Cloud KMS 키를 사용합니다. 예를 들어 Cloud KMS API 또는 클라이언트 라이브러리를 사용하여 클라이언트 측 암호화에 Cloud KMS 키를 사용할 수 있습니다.

  • Cloud KMS 키를 사용하여 디지털 서명 또는 메시지 인증 코드(MAC) 서명을 만들거나 확인합니다.

니즈에 맞는 암호화 선택

다음 표를 사용하여 각 사용 사례의 니즈에 맞는 암호화 유형을 식별할 수 있습니다. 니즈에 가장 적합한 솔루션에 여러 암호화 접근 방식이 포함될 수 있습니다. 예를 들어 덜 민감한 정보에 소프트웨어 키를 사용하고 가장 민감한 정보에는 외부 키를 사용할 수 있습니다. 이 섹션에 설명된 암호화 옵션에 대한 자세한 내용은 이 페이지의 Google Cloud에서 데이터 보호를 참조하세요.

암호화 유형 비용 호환 서비스 기능
Google 소유 키 및 Google 관리 키(Google Cloud 기본 암호화) 포함됨 고객 데이터를 저장하는 모든 Google Cloud 서비스
  • 구성이 필요하지 않습니다.
  • Google Cloud 서비스에 저장된 고객 데이터를 자동으로 암호화합니다.
  • 대부분의 서비스는 키를 자동으로 순환합니다.
  • AES-256을 사용한 암호화를 지원합니다.
  • FIPS 140-2 Level 1 인증을 받았습니다.
고객 관리 암호화 키 - 소프트웨어
(Cloud KMS 키)
키 버전당 $0.06 40개 이상의 서비스
고객 관리 암호화 키 - 하드웨어
(Cloud HSM 키)
키 버전당 월 $1.00~$2.50 40개 이상의 서비스
  • 선택적으로 Cloud KMS Autokey를 통해 관리할 수 있습니다.
  • 자동 키 순환 일정, IAM 역할 및 권한을 제어하고 키 버전을 사용 설정, 중지, 폐기합니다.
  • 암호화 및 복호화를 위해 대칭 및 비대칭 키를 지원합니다.
  • 대칭 키를 자동으로 순환합니다.
  • 여러 일반적인 알고리즘을 지원합니다.
  • FIPS 140-2 Level 3 인증을 받았습니다.
  • 키는 고객마다 고유합니다.
고객 관리 암호화 키 - 외부
(Cloud EKM 키)
키 버전당 월 $3.00 30개 이상의 서비스
  • IAM 역할 및 권한을 제어하고 키 버전을 사용 설정, 중지, 폐기합니다.
  • 키가 Google로 전송되지 않습니다.
  • 키 자료는 호환되는 외부 키 관리(EKM) 제공업체에 상주합니다.
  • 호환되는 Google Cloud 서비스는 인터넷 또는 Virtual Private Cloud(VPC)를 통해 EKM 제공업체에 연결됩니다.
  • 암호화 및 복호화에 대칭 키를 지원합니다.
  • Cloud EKM 및 EKM 제공업체와 협력하여 키를 수동으로 순환합니다.
  • EKM에 따라 FIPS 140-2 Level 2 또는 FIPS 140-2 Level 3 인증을 받았습니다.
  • 키는 고객마다 고유합니다.
Cloud KMS 키를 사용한 클라이언트 측 암호화 활성 키 버전의 비용은 키의 보호 수준에 따라 다릅니다. 애플리케이션에서 클라이언트 라이브러리 사용
  • 자동 키 순환 일정, IAM 역할 및 권한을 제어하고 키 버전을 사용 설정, 중지, 폐기합니다.
  • 암호화, 복호화, 서명, 서명 검증을 위해 대칭 및 비대칭 키를 지원합니다.
  • 기능은 키 보호 수준에 따라 다릅니다.
고객 제공 암호화 키 Compute Engine 또는 Cloud Storage와 관련된 비용이 증가할 수 있음
  • 필요한 경우 사용자가 키 자료를 제공합니다.
  • 키 자료는 메모리 내에 상주합니다. Google은 사용자의 키를 Google 서버에 영구 저장하지 않습니다.
컨피덴셜 컴퓨팅 각 컨피덴셜 VM의 추가 비용, 로그 사용량 및 관련 비용이 증가할 수 있음
  • 민감한 정보 또는 워크로드를 처리하는 VM에 사용 중 데이터 암호화를 제공합니다.
  • Google에서는 키에 액세스할 수 없습니다.

Google Cloud의 데이터 보호

Google 소유 키 및 Google 관리 키(Google Cloud 기본 암호화)

기본적으로 Google Cloud의 저장 데이터는 Google의 내부 키 관리 서비스인 키 저장소의 키로 보호됩니다. 키 저장소의 키는 Google에서 자동으로 관리되므로 사용자가 구성할 필요가 없습니다. 대부분의 서비스는 키를 자동으로 순환합니다. 키 저장소는 기본 키 버전과 제한된 수의 이전 키 버전을 지원합니다. 기본 키 버전은 새 데이터 암호화 키를 암호화하는 데 사용됩니다. 이전 키 버전은 기존 데이터 암호화 키를 복호화하는 데 계속 사용될 수 있습니다. 사용자는 이러한 키를 보거나 관리하거나 키 사용량 로그를 검토할 수 없습니다. 여러 고객의 데이터에서 동일한 키 암호화 키를 사용할 수 있습니다.

이 기본 암호화는 FIPS 140-2 Level 1을 준수하도록 검증받은 암호화 모듈을 사용합니다.

고객 관리 암호화 키(CMEK)

CMEK 통합 서비스에서 리소스를 보호하는 데 사용되는 Cloud KMS 키는 고객 관리 암호화 키(CMEK)입니다. CMEK를 소유하고 제어할 수 있으며 키 생성 및 할당 태스크를 Cloud KMS Autokey에 위임할 수 있습니다. CMEK의 프로비저닝 자동화에 대한 자세한 내용은 Autokey를 사용한 Cloud Key Management Service를 참조하세요.

호환 서비스에서 Cloud KMS 키를 사용하면 다음과 같은 목표를 달성할 수 있습니다.

  • 암호화 키를 소유합니다.

  • 암호화 키의 위치 선택, 보호 수준, 생성, 액세스 제어, 순환, 사용, 폐기 등을 제어하고 관리합니다.

  • 오프보딩 시 키로 보호되는 데이터를 선택적으로 삭제하거나 보안 이벤트(암호화 파쇄)를 해결합니다.

  • 데이터 주위에 암호화 경계를 설정하는 전용 단일 테넌트 키를 만듭니다.

  • 암호화 키에 대한 관리 및 데이터 액세스를 로깅합니다.

  • 이러한 목표를 요구하는 현재 또는 미래의 규정을 준수합니다.

CMEK 통합 서비스에서 Cloud KMS 키를 사용하는 경우 조직 정책을 사용하여 CMEK가 정책에 지정된 대로 사용되도록 할 수 있습니다. 예를 들어 호환되는 Google Cloud 리소스의 암호화에 Cloud KMS 키를 사용하도록 하는 조직 정책을 설정할 수 있습니다. 조직 정책으로 키 리소스가 상주해야 할 프로젝트를 지정할 수도 있습니다.

제공되는 기능 및 보호 수준은 키의 보호 수준에 따라 다릅니다.

  • 소프트웨어 키 - Cloud KMS에서 소프트웨어 키를 생성하고 모든 Google Cloud 위치에서 사용할 수 있습니다. 자동 순환으로 대칭 키를 만들거나 수동 순환으로 비대칭 키를 만들 수 있습니다. 고객 관리 소프트웨어 키는 FIPS 140-2 Level 1 인증을 받은 소프트웨어 암호화 모듈을 사용합니다. 또한 순환 기간, Identity and Access Management(IAM) 역할 및 권한, 키를 제어하는 조직 정책을 제어할 수 있습니다. 40개 이상의 호환되는 Google Cloud 리소스와 함께 소프트웨어 키를 사용할 수 있습니다.

  • 가져온 소프트웨어 키 - 다른 곳에서 만든 소프트웨어 키를 가져와 Cloud KMS에서 사용할 수 있습니다. 새 키 버전을 가져와 가져온 키를 수동으로 순환할 수 있습니다. IAM 역할 및 권한, 조직 정책을 사용하여 가져온 키의 사용을 관리할 수 있습니다.

  • 하드웨어 키 및 Cloud HSM - FIPS 140-2 Level 3 하드웨어 보안 모듈(HSM)의 클러스터에서 하드웨어 키를 생성할 수 있습니다. 순환 기간, IAM 역할 및 권한, 키를 관리하는 조직 정책을 제어할 수 있습니다. Cloud HSM을 사용하여 HSM 키를 만들면 Google이 HSM 클러스터를 관리하므로 사용자가 이를 관리할 필요가 없습니다. 40개 이상의 호환되는 Google Cloud 리소스(소프트웨어 키를 지원하는 서비스와 동일)와 함께 HSM 키를 사용할 수 있습니다. 가장 높은 수준의 보안 규정 준수가 필요하다면 하드웨어 키를 사용합니다.

  • 외부 키 및 Cloud EKM - 외부 키 관리자(EKM)에 상주하는 키를 사용할 수 있습니다. Cloud EKM에서는 지원되는 키 관리자에 저장된 키를 사용하여 Google Cloud 리소스를 보호할 수 있습니다. 인터넷 또는 Virtual Private Cloud(VPC)를 통해 EKM에 연결할 수 있습니다. 소프트웨어 또는 하드웨어 키를 지원하는 일부 Google Cloud 서비스는 Cloud EKM 키를 지원하지 않습니다.

Cloud KMS 키

Cloud KMS 클라이언트 라이브러리 또는 Cloud KMS API를 사용하여 맞춤 애플리케이션에서 Cloud KMS 키를 사용할 수 있습니다. 클라이언트 라이브러리와 API를 사용하면 데이터를 암호화 및 복호화하고, 데이터에 서명하고, 서명을 확인할 수 있습니다.

고객 제공 암호화 키(CSEK)

Cloud StorageCompute Engine고객 제공 암호화 키(CSEK)를 사용할 수 있습니다. 고객 제공 암호화 키를 사용하는 경우 키 자료를 저장하고 필요할 때 Cloud Storage 또는 Compute Engine에 제공합니다. Google은 어떤 식으로든 CSEK를 저장하지 않습니다.

컨피덴셜 컴퓨팅

Compute Engine, GKE, Dataproc에서는 컨피덴셜 컴퓨팅 플랫폼을 사용하여 사용 중인 데이터를 암호화할 수 있습니다. 컨피덴셜 컴퓨팅을 통해 데이터를 처리하는 중에도 데이터를 비공개로 유지하고 암호화할 수 있습니다.