Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Google SecOps용 CMEK

다음에서 지원:

Google secops

이 문서에서는 Google Security Operations용 고객 관리 암호화 키 (CMEK)를 구성하는 방법을 설명합니다. Google SecOps는 고객이 아무런 조치를 취하지 않아도 기본적으로 Google 기본 암호화를 사용하여 고객 데이터를 저장 상태로 암호화합니다. 하지만 암호화 키를 더 세밀하게 제어하거나 조직에서 요구하는 경우 Google SecOps 인스턴스에 CMEK를 사용할 수 있습니다.

CMEK는 사용자가 소유하고 Cloud Key Management Service에서 관리 및 저장하는 암호화 키입니다. CMEK를 사용하면 수명 주기, 순환, 액세스 정책 관리 등 암호화 키를 완전히 제어할 수 있습니다. CMEK를 구성하면 이 서비스가 지정된 키를 사용하여 모든 데이터를 자동으로 암호화합니다. CMEK 자세히 알아보기

CMEK는 Google SecOps가 지원되는 모든 리전에서 사용할 수 있습니다. Google SecOps에서 지원하는 전체 리전 목록은 SecOps 서비스 위치 페이지를 참조하세요.

Cloud KMS에서 CMEK 사용

암호화 키를 제어하려면 다음과 같이 Google SecOps를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 CMEK를 사용하면 됩니다.

Cloud KMS에서 이러한 키를 관리하고 저장합니다.
Google SecOps Data Lake의 데이터는 저장 상태로 암호화됩니다.
CMEK로 Google SecOps 인스턴스를 구성하면 선택한 Cloud KMS 키를 사용하여 Data Lake 내에서 저장 데이터를 암호화합니다.
Cloud KMS에서 CMEK를 사용하면 사용 패턴에 따라 추가 비용이 발생할 수 있습니다.

Cloud KMS 가격 책정 자세히 알아보기

CMEK 사용 설정

다음 단계에서는 Google SecOps에서 CMEK를 온보딩하는 대략적인 프로세스를 설명합니다.

Google SecOps용 Google Cloud 프로젝트 구성: 프로비저닝 초대장을 수락하여 시작합니다. Google SecOps 전문가팀에서 전문적인 구성 및 통합을 처리합니다.
Cloud KMS 키를 인스턴스를 호스팅할 리전에서 만듭니다.
새 Google SecOps 인스턴스를 만들고 2단계에서 만든 CMEK 키를 선택합니다. 인스턴스를 만드는 동안 이 키에 대한 Google SecOps 액세스 권한을 부여하라는 메시지가 표시됩니다.
선택사항: 키마다 키 순환을 예약합니다. 잠재적인 키 손상의 영향을 최소화하기 위해 이 보안 관행을 권장합니다.

온보딩을 완료하면 해당 인스턴스에 API 또는 UI를 사용하여 키를 제공할 필요가 없습니다.

키 관리

Cloud KMS를 사용하여 키를 관리하는 것이 좋습니다. Google SecOps는 Cloud KMS에서 전파될 때까지 어떤 키 변경사항도 감지하거나 대응할 수 없습니다.

Google SecOps는 두 가지 유형의 키 관리를 지원합니다.

Cloud KMS 키 만들기: Google에서 권장하는 방법입니다.
Cloud 외부 키 관리자 (Cloud EKM) 사용(Cloud EKM): Cloud EKM 키를 사용하면 외부 시스템에 의존하기 때문에 가용성에 영향을 미칠 수 있습니다.

키 순환

일반적으로 권한 변경은 빠르게 이루어지지만 키 순환을 위해서는 순환이 시작된 후 2주가 지나야 이전 키를 삭제하거나 사용 중지할 수 있습니다. Cloud KMS 및 Cloud KMS 서비스 수준 목표 자세히 알아보기

키 사용 중지

현재 CMEK 키를 사용 중지하면 Google SecOps는 데이터에 액세스할 수 없으며 더 이상 데이터를 처리할 수 없습니다. 즉, Google SecOps는 기존 데이터를 읽거나 쓰거나 업데이트할 수 없으며 새 데이터를 수집, 저장 또는 처리할 수 없습니다. 키를 다시 사용 설정하지 않으면 30일 후에 데이터가 삭제됩니다. 키를 다시 사용 설정하면 Google SecOps는 자동으로 새 데이터 수집 및 처리를 시작합니다. 하지만 시스템에서 이러한 작업을 완전히 재개하는 데 최대 2주가 걸릴 수 있습니다.

CMEK 조직 정책 제약조건

Google SecOps에 CMEK 사용을 적용하려면 조직, 폴더 또는 프로젝트 수준에서 다음 조직 정책 제약조건을 적용하면 됩니다.

constraints/gcp.restrictNonCmekServices: 서비스에서 CMEK를 사용해야 합니다. 조직에 constraints/gcp.restrictNonCmekServices를 적용하고 Google SecOps를 제한된 서비스로 나열하는 경우 Google SecOps 인스턴스를 만들 때 CMEK 키를 선택해야 합니다.

중요: Google SecOps를 제한된 서비스로 이 제약조건을 적용했지만 인스턴스를 만들 때 CMEK를 제공하지 않으면 Google SecOps가 프로비저닝되지 않습니다.
constraints/gcp.restrictCmekCryptoKeyProjects: Google SecOps의 CMEK 키가 특정 프로젝트 또는 프로젝트 집합에서 제공되어야 합니다.

Google SecOps 인스턴스를 포함할 조직에 두 제약조건을 모두 적용하는 경우 조직 정책을 적용할 때 지정한 프로젝트의 키를 사용하여 CMEK를 사용 설정해야 합니다.

리소스 계층 구조 (조직, 폴더, 프로젝트)에서 조직 정책이 평가되는 방법에 대한 자세한 내용은 계층 구조 평가 이해를 참조하세요.Google Cloud

CMEK 조직 정책 사용에 대한 일반적인 내용은 CMEK 조직 정책을 참조하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.