Cloud Storage는 데이터를 디스크에 쓰기 전에 서버 측에서 항상 암호화를 수행하며 이로 인한 추가 비용은 청구되지 않습니다. 이러한 표준 Cloud Storage 동작 외에도 Cloud Storage를 사용할 때 데이터를 암호화하는 다른 방법이 있습니다. 다음은 사용 가능한 암호화 옵션을 요약한 것입니다.
서버 측 암호화: Cloud Storage가 데이터를 수신한 후 데이터를 디스크에 기록하여 저장하기 전에 수행되는 암호화입니다.
고객 관리 암호화 키(CMEK): Cloud Key Management Service를 통해 암호화 키를 생성하고 관리할 수 있습니다. CMEK는 HSM 클러스터에 또는 외부적으로 소프트웨어 키로 저장할 수 있습니다.
고객 제공 암호화 키(CSEK): 사용자가 고유한 암호화 키를 만들고 관리할 수 있습니다. 이러한 키는 표준 Cloud Storage 암호화에 더하여 추가 암호화 레이어 역할을 합니다.
클라이언트 측 암호화: 데이터가 Cloud Storage로 전송되기 전에 수행되는 암호화입니다. 이러한 데이터는 이미 암호화된 상태로 Cloud Storage에 수신되지만 서버 측 암호화도 수행됩니다.
암호화 옵션 비교
| 암호화 방법 | 키 관리 | 사용 사례 |
|---|---|---|
| Standard(기본값) | Google 에서 암호화 키를 관리합니다. | 범용: Cloud Storage의 표준 암호화는 암호화 키를 관리하지 않고 미사용 상태의 데이터를 암호화해야 하는 대부분의 사용자에게 적합합니다. 많은 규정 준수 요구사항을 자동으로 충족합니다. |
| CMEK | Cloud Key Management Service를 사용하여 키를 관리합니다. | 규정 준수 및 제어: 특정 규정 준수 표준 (예: PCI-DSS 또는 HIPAA)을 충족하기 위해 암호화 키의 수명 주기를 제어해야 하는 경우 CMEK를 사용합니다. 자체 일정에 따라 키를 부여, 취소, 순환할 수 있습니다. |
| CSEK | Cloud Storage에 대한 각 요청과 함께 자체 암호화 키를 제공합니다. | 외부 키 관리: CSEK는 Google Cloud 외부의 기존 키 관리 시스템이 있고 이러한 키를 사용하여 Cloud Storage 데이터를 암호화하려는 시나리오에 가장 적합합니다. 키는 Google에 의해 저장되지 않습니다. |
| 클라이언트측 암호화 | Cloud Storage로 보내기 전에 데이터를 암호화하고 키를 완전히 직접 관리합니다. | 최대 기밀성: Google 이 암호화되지 않은 데이터에 액세스할 수 없도록 해야 하는 경우 클라이언트 측 암호화를 사용합니다. 이렇게 하면 최고 수준의 제어 권한이 제공되지만 키 관리, 암호화 및 복호화 프로세스의 모든 부담이 사용자에게 부과됩니다. |