기본적으로 Compute Engine은 미사용 고객 콘텐츠를 암호화합니다. Compute Engine은 자동으로 Google-owned and Google-managed encryption keys를 사용하여 데이터를 암호화합니다.
하지만 키 암호화 키(KEK)를 제공하여 Compute Engine에서 리소스에 사용할 암호화를 맞춤설정할 수 있습니다. 키 암호화 키는 데이터를 직접 암호화하는 것이 아니라 Compute Engine이 데이터를 암호화하는 데 사용하는Google-owned and managed keys 를 암호화합니다.
키 암호화 키를 제공하는 방법은 두 가지가 있습니다.
권장사항. Compute Engine과 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용합니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 키 사용을 추적하고 감사 로그를 보며 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 개발자가 Cloud KMS에서 이러한 키를 제어하고 관리합니다.
CMEK를 직접 만들거나 Cloud KMS Autokey를 사용하여 대신 자동으로 만들 수 있습니다.
대부분의 경우 CMEK로 암호화된 디스크를 만든 후에는 디스크로 작업할 때 키를 지정할 필요가 없습니다.
Compute Engine 외부에서 자체 키 암호화 키를 관리하고 디스크를 만들거나 관리할 때마다 키를 제공할 수 있습니다. 이 옵션을 고객 제공 암호화 키(CSEK)라고 합니다. CSEK로 암호화된 리소스를 관리할 때는 항상 리소스를 암호화할 때 사용한 키를 지정해야 합니다.
각 암호화 유형에 대한 자세한 내용은 고객 관리 암호화 키 및 고객 제공 암호화 키를 참조하세요.
Hyperdisk Balanced 디스크에 보안 추가 계층을 추가하려면 비밀 모드를 사용 설정하세요. 비밀 모드는 Hyperdisk Balanced 디스크에 하드웨어 기반 암호화를 추가합니다.
지원되는 디스크 유형
이 섹션에는 Compute Engine에서 제공하는 디스크 및 기타 스토리지 옵션에 지원되는 암호화 유형이 나열되어 있습니다.
Persistent Disk 볼륨은Google-owned and managed keys, CMEK, CSEK를 지원합니다.
Google Cloud Hyperdisk는 CMEK 및Google-owned and managed keys를 지원합니다. CSEK를 사용하여 하이퍼디스크를 암호화할 수 없습니다.
로컬 SSD 디스크는Google-owned and managed keys만 지원합니다. CSEK 또는 CMEK를 사용하여 로컬 SSD 디스크를 암호화할 수 없습니다.
디스크 클론 및 머신 이미지는Google-owned and managed keys, CMEK, CSEK를 지원합니다.
표준 스냅샷 및 인스턴스 스냅샷은Google-owned and managed keys, CMEK, CSEK를 지원합니다.
Google-owned and managed keys 및 CMEK 순환
Compute Engine은 데이터를 보호하는 데 사용되는 Google-owned and managed keys를 매년 순환합니다. 키 순환은 데이터 보안을 위한 업계 권장사항으로 손상된 키의 잠재적 영향을 제한합니다.
CMEK를 사용하는 경우 디스크의 자동 순환을 사용 설정하는 것이 좋습니다. 자세한 내용은 디스크의 Cloud KMS 암호화 키 순환을 참조하세요.
Cloud KMS Autokey를 사용하는 CMEK
Cloud KMS 키를 사용하여 Compute Engine 리소스를 보호하는 경우 CMEK를 직접 만들거나 Cloud KMS Autokey를 사용하여 키를 만들 수 있습니다. Autokey를 사용하면 Compute Engine에서 리소스를 만들 때 필요에 따라 키링과 키가 생성됩니다. 암호화 및 복호화 작업에 키를 사용하는 서비스 에이전트가 없으면 생성되고 필요한 Identity and Access Management(IAM) 역할이 부여됩니다. 자세한 내용은 Autokey 개요를 참조하세요.
Cloud KMS Autokey에서 만든 CMEK를 사용하여 Compute Engine 리소스를 보호하는 방법은 Compute Engine 리소스에 Autokey 사용을 참조하세요.
스냅샷
Autokey를 사용하여 Compute Engine 리소스를 보호하는 키를 만들 경우 Autokey에서는 스냅샷의 새 키를 만들지 않습니다. 소스 디스크를 암호화하는 데 사용된 키와 동일한 키로 스냅샷을 암호화해야 합니다. Google Cloud 콘솔을 사용하여 스냅샷을 만들면 디스크에서 사용한 암호화 키가 자동으로 스냅샷에 적용됩니다. gcloud CLI, Terraform 또는 Compute Engine API를 사용하여 스냅샷을 만드는 경우 디스크를 암호화하는 데 사용된 키의 리소스 식별자를 가져온 후 이 키를 사용하여 스냅샷을 암호화해야 합니다.
고객 관리 암호화 키로 데이터 암호화
수동으로 만든 고객 관리 암호화 키(CMEK)를 사용하여 디스크와 기타 Compute Engine 리소스를 암호화하는 방법에 대한 자세한 내용은 Cloud KMS 키를 사용하여 리소스 보호를 참조하세요.
고객 제공 암호화 키로 디스크 암호화
고객 제공 암호화 키(CSEK)를 사용하여 디스크와 기타 Compute Engine 리소스를 암호화하는 방법을 알아보려면 고객 제공 암호화 키로 디스크 암호화를 참조하세요.
디스크의 암호화 유형 보기
디스크의 암호화 유형을 보려면 디스크 암호화 정보 보기의 단계를 따르세요.
Hyperdisk Balanced의 비밀 모드
컨피덴셜 컴퓨팅을 사용하는 경우 비밀 모드를 사용 설정하여 하드웨어 기반 암호화를 Hyperdisk Balanced 볼륨으로 확장할 수 있습니다.
Hyperdisk Balanced 볼륨의 기밀 모드를 사용하면 애플리케이션을 리팩터링하지 않고도 추가 보안을 활성화할 수 있습니다. 비밀 모드는 새 Hyperdisk Balanced 볼륨을 만들 때 지정할 수 있는 속성입니다.
비밀 모드의 Hyperdisk Balanced 볼륨은 컨피덴셜 VM에서만 사용할 수 있습니다.
비밀 모드로 Hyperdisk Balanced 볼륨을 만들려면 비밀 모드로 Hyperdisk Balanced 볼륨 만들기의 단계를 따르세요.
비밀 모드의 Hyperdisk Balanced 볼륨에 대해 지원되는 머신 유형
비밀 모드의 Hyperdisk Balanced 볼륨은 N2D 머신 유형을 사용하는 컨피덴셜 VM에서만 사용할 수 있습니다.
비밀 모드의 Hyperdisk Balanced 볼륨에 대해 지원되는 리전
Hyperdisk Balanced 볼륨의 비밀 모드는 다음 리전에서 사용할 수 있습니다.
europe-west4us-central1us-east4us-east5us-south1us-west4
비밀 모드의 Hyperdisk Balanced 볼륨 제한사항
- Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML, Hyperdisk Balanced High Availability는 비밀 모드를 지원하지 않습니다.
- 비밀 모드에서 Hyperdisk Balanced 볼륨을 사용하는 VM은 일시중지하거나 재개할 수 없습니다.
- 비밀 모드에서는 Hyperdisk Balanced 볼륨과 함께 Hyperdisk Storage Pool을 사용할 수 없습니다.
- 비밀 모드에서는 Hyperdisk Balanced 볼륨에서 머신 이미지 또는 커스텀 이미지를 만들 수 없습니다.
다음 단계
- CMEK 생성을 자동화하는 방법을 알아보려면 Autokey가 포함된 Cloud KMS(프리뷰)를 참조하세요.
- CMEK를 만드는 방법을 알아보려면 Cloud KMS로 암호화 키 만들기를 참조하세요.
- 고객 관리 암호화 키(CMEK)로 디스크를 암호화합니다.
- 비밀 모드로 Hyperdisk Balanced 볼륨을 만들려면 비밀 모드로 Hyperdisk Balanced 볼륨 만들기를 참조하세요.
- CSEK 형식 및 사양에 대해 자세히 알아보세요.