운영 워크플로에 직접 맞게 탐색 구조를 재구성했습니다. 자세한 내용은 Google SecOps 출시 노트를 참고하세요.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK 구성

다음에서 지원:

Google secops

이 문서에서는 Google Security Operations용 고객 관리 암호화 키 (CMEK)를 구성하는 방법을 설명합니다. Google SecOps는 고객의 추가 조치 없이 Google 기본 암호화를 사용하여 저장 데이터를 기본적으로 암호화합니다. 하지만 암호화 키를 더 세밀하게 제어하거나 조직에서 요구하는 경우 Google SecOps 인스턴스에 CMEK를 사용할 수 있습니다.

CMEK는 사용자가 소유하고 Cloud Key Management Service에서 관리 및 저장하는 암호화 키입니다. CMEK를 사용하면 수명 주기, 순환, 액세스 정책을 포함한 암호화 키를 완전히 제어할 수 있습니다. CMEK를 구성하면 이 서비스가 지정된 키를 사용하여 모든 데이터를 자동으로 암호화합니다. CMEK에 대해 자세히 알아보기

CMEK는 Google SecOps가 지원되는 모든 리전에서 사용할 수 있습니다. Google SecOps에서 지원하는 리전의 전체 목록은 SecOps 서비스 위치 페이지를 참조하세요.

참고: eu and us는 Spanner 데이터베이스가 여러 리전에 분산되어 있는 멀티 리전 위치 유형입니다. europe-west1 및 us-central1은 (단일 리전) 리전 위치 유형입니다. Google SecOps는 Google Cloud 서비스를 사용하며 일부 서비스는 단일 리전만 지원합니다. CMEK에는 강력한 공동 배치 요구사항이 있고 Spanner 데이터베이스는 여러 리전에 분산되어 있으므로 Google SecOps 및 Google Cloud 서비스에는 두 개의 서로 다른 CMEK 위치가 필요합니다.

Cloud KMS에서 CMEK 사용

암호화 키를 제어하려면 다음과 같이 Google SecOps를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 CMEK를 사용하면 됩니다.

Cloud KMS에서 이러한 키를 관리하고 저장합니다.
Google SecOps Data Lake의 데이터는 저장 상태로 암호화됩니다.
CMEK로 Google SecOps 인스턴스를 구성하면 선택한 Cloud KMS 키를 사용하여 Data Lake 내에서 저장 데이터를 암호화합니다.
Cloud KMS에서 CMEK를 사용하면 사용 패턴에 따라 추가 비용이 발생할 수 있습니다.

Cloud KMS 가격 책정에 대해 자세히 알아보기

CMEK 사용 설정

다음 단계에서는 Google SecOps에서 CMEK를 온보딩하는 대략적인 프로세스를 설명합니다.

Google SecOps용 Google Cloud 프로젝트 구성: 프로비저닝 초대장을 수락하여 시작합니다. Google SecOps 전문가팀에서 전문적인 구성 및 통합을 처리합니다.
Cloud KMS 키를 인스턴스를 호스팅할 리전에 만듭니다.
새 Google SecOps 인스턴스를 만들고 2단계에서 만든 CMEK 키를 선택합니다. 인스턴스를 만드는 동안 이 키에 대한 Google SecOps 액세스 권한을 부여하라는 메시지가 표시됩니다.
선택사항: 키마다 키 순환 일정을 설정합니다. Google에서는 잠재적인 키 손상의 영향을 최소화하기 위해 이 보안 관행을 권장합니다.

온보딩을 완료하면 해당 인스턴스에 API 또는 UI를 사용하여 키를 제공할 필요가 없습니다.

키 관리

Cloud KMS를 사용하여 키를 관리하는 것이 좋습니다. Google SecOps는 Cloud KMS에서 전파될 때까지 어떤 키 변경사항도 감지하거나 대응할 수 없습니다.

Google SecOps는 두 가지 유형의 키 관리를 지원합니다.

Cloud KMS 키 만들기: Google에서 권장하는 방법입니다.
Cloud 외부 키 관리자 (Cloud EKM) 사용: Cloud EKM 키를 사용하면 외부 시스템에 의존하기 때문에 가용성에 영향을 미칠 수 있습니다.

키 순환 관리

다음과 같이 키를 삭제하기 전에 폐기해야 합니다.

키 또는 키 버전을 사용 중지합니다. 이 단계는 일반적으로 선택사항이지만 일부 조직 정책에서는 폐기하기 전에 키를 사용 중지해야 합니다.
키 버전을 폐기합니다.
키를 삭제합니다.

데이터 액세스 및 영구적인 데이터 손실

데이터 손실을 방지할 시간이 아직 남아 있는 동안 사용할 수 없게 된 키를 감지하려면 로그를 모니터링하는 것이 좋습니다.

Google SecOps에서 데이터에 대한 액세스 권한을 잃으면 30일 후에 데이터가 삭제됩니다.

Google SecOps는 사용자의 의도적인 작업 (예: 키 취소) 또는 의도하지 않은 작업 (예: EKM 연결 끊김)으로 인해 데이터에 대한 액세스 권한을 잃을 수 있습니다. 즉, Google SecOps는 기존 데이터를 읽거나 쓰거나 업데이트할 수 없으며 새 데이터를 수집, 저장 또는 처리할 수 없습니다.

키를 다시 사용 설정하는 등 Google SecOps에서 데이터에 대한 액세스 권한을 다시 얻으면 Google SecOps는 자동으로 새 데이터를 수집하고 처리하기 시작합니다. 하지만 시스템에서 이러한 작업을 완전히 재개하는 데 최대 2주가 걸릴 수 있습니다.

CMEK 조직 정책 제약조건

Google SecOps에 CMEK 사용을 적용하려면 조직, 폴더 또는 프로젝트 수준에서 다음 조직 정책 제약조건을 적용하면 됩니다.

constraints/gcp.restrictNonCmekServices: 서비스에서 CMEK를 사용해야 합니다. 조직에 constraints/gcp.restrictNonCmekServices를 적용하고 Google SecOps를 제한된 서비스로 나열하는 경우 Google SecOps 인스턴스를 만들 때 CMEK 키를 선택해야 합니다.

중요: Google SecOps를 제한된 서비스로 이 제약조건을 적용했지만 인스턴스를 만들 때 CMEK를 제공하지 않으면 Google SecOps가 프로비저닝되지 않습니다.
constraints/gcp.restrictCmekCryptoKeyProjects: Google SecOps의 CMEK 키가 특정 프로젝트 또는 프로젝트 집합에서 제공되어야 합니다.

Google SecOps 인스턴스를 포함할 조직에 두 제약조건을 모두 적용하는 경우 조직 정책을 적용할 때 지정한 프로젝트의 키를 사용하여 CMEK를 사용 설정해야 합니다.

리소스 계층 구조 (조직, 폴더, 프로젝트)에서 조직 정책이 평가되는 방법에 대한 자세한 내용은 계층 구조 평가 이해를 참조하세요.Google Cloud

CMEK 조직 정책 사용에 대한 일반적인 내용은 CMEK 조직 정책을 참조하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.