이 페이지는 Cloud Translation API를 통해 번역되었습니다.

저장 데이터 암호화

Google Distributed Cloud (GDC) 에어 갭 적용형은 저장 데이터의 자동 암호화를 비롯해 데이터를 보호하는 데 도움이 되는 포괄적인 보안 전략을 제공합니다. 저장 데이터 암호화는 디스크 (솔리드 스테이트 드라이브 포함) 및 백업 미디어와 같은 비휘발성 스토리지 (전원이 꺼진 후에도 데이터를 유지하는 스토리지)에 저장된 데이터에 대한 무단 액세스를 방지하는 보안 조치입니다. GDC는 사용자의 별도 조치 없이 저장 콘텐츠를 암호화합니다.

이 문서에서는 GDC의 기본 저장 데이터 암호화 메커니즘을 설명하고 저장 데이터를 보호하는 암호화 키를 제어할 수 있는 고객 관리 암호화 키(CMEK) 기능을 설명합니다.

이 문서에서는 대상 독자가 암호화 및 암호화 데이터 유형에 대한 기본적인 지식이 있다고 가정하며, GDC 내에서 보안을 관리하는 사용자 (예: IT 관리자 또는 보안 엔지니어)를 대상으로 합니다. 자세한 내용은 GDC 오프라인 문서 대상을 참고하세요.

보호되는 고객 데이터 유형

고객 데이터는 고객 또는 최종 사용자가 자신의 계정으로 서비스를 통해 GDC에 제공하는 데이터를 의미합니다. GDC는 다음 두 가지 카테고리의 고객 데이터를 처리합니다.

고객 콘텐츠: 저장된 데이터, 디스크 스냅샷, ID 및 액세스 관리 (IAM) 정책과 같이 사용자가 직접 생성하거나 GDC에 제공하는 데이터입니다. 이 문서에 설명된 기본 저장 데이터 암호화는 주로 고객 콘텐츠를 보호합니다.
고객 메타데이터: 기타 모든 고객 데이터입니다. 고객 메타데이터에는 자동 생성된 프로젝트 번호, 타임스탬프, IP 주소, 객체의 바이트 크기 또는 가상 머신 유형이 포함될 수 있습니다. GDC는 지속적인 성능 및 운영을 위해 합리적인 수준으로 고객 메타데이터를 보호합니다.

저장 데이터 암호화의 이점

저장 데이터 암호화에는 다음과 같은 이점이 있습니다.

디스크에 저장된 데이터에 대한 무단 물리적 액세스의 영향을 줄입니다. 공격자가 스토리지 기기에 대한 물리적 액세스 권한을 얻더라도 암호화 키가 없으면 데이터를 읽거나 복호화할 수 없습니다. 디스크는 암호화된 데이터만 노출하기 때문입니다.
보안 전략을 키 관리에 집중합니다. 데이터가 암호화되어 있으므로 암호화 키를 보호하는 것은 무단 데이터 액세스를 방지하기 위한 중요한 보안 조치입니다.
중요한 개인 정보 보호 메커니즘을 제공합니다. GDC가 저장 데이터를 암호화하면 시스템 및 엔지니어가 데이터에 액세스할 수 있는 권한이 제한됩니다.

기본 암호화 레이어

GDC는 여러 계층의 암호화를 사용하여 저장된 모든 고객 콘텐츠를 자동으로 암호화합니다. 이 계층화된 접근 방식은 한 계층에서 보안이 침해되더라도 데이터가 노출될 가능성이 낮다는 것을 의미합니다. 이러한 레이어는 고객 워크로드에서 사용되는 기본 스토리지 유형 전반에 걸쳐 구현됩니다. 여기에는 다음이 포함됩니다.

블록 스토리지
- 하드웨어 수준 암호화: FIPS 140-2 규정을 준수하는 자체 암호화 드라이브 (SED)를 활용합니다. 이러한 SED의 암호화 키는 외부 하드웨어 보안 모듈 (HSM)에 저장되어 FIPS 140-3 규격 스토리지를 제공합니다.
- 소프트웨어 수준 암호화: 볼륨 암호화 (VE)라는 추가 레이어를 구현합니다. 각 블록 스토리지 볼륨은 고유한 XTS-AES-256 키로 암호화됩니다. 이러한 볼륨별 키는 외부 HSM에 저장되고 CMEK로 관리됩니다.

고객 관리 암호화 키

고객 관리 암호화 키 (CMEK)를 사용하면 GDC에서 저장 데이터를 보호하는 키를 제어할 수 있습니다. 기본적으로 GDC 내에 저장된 모든 데이터는 FIPS 140 검증 암호화 모듈 및 HSM 지원 키를 사용하여 저장 상태에서 암호화되므로 설정이나 구성이 필요하지 않습니다.

CMEK는 규정 준수 요구사항을 충족하는 데 도움이 되는 다음과 같은 이점을 제공합니다.

제어: 키를 삭제하는 기능을 비롯하여 키를 제어할 수 있습니다.
투명성: 키에 대한 액세스를 감사하여 데이터를 보호할 수 있습니다.
암호화 삭제: CMEK를 채택하면 데이터 유출 수정 및 온보딩 해제를 위해 이 고보증 데이터 삭제 방법을 사용할 수 있습니다. 보호하는 데이터의 대역 외에서 키를 삭제할 수 있습니다.
중앙 집중식 시행: 중앙에서 관리되는 암호화 키는 액세스 정책을 시행하고 키 사용을 감사할 수 있는 단일 위치를 만듭니다.

CMEK 리소스 유형

CMEK는 플랫폼 관리자 그룹이 모니터링, 감사, 삭제할 수 있는 암호화 키입니다. HSM API 또는 키 관리 시스템 (KMS)을 사용하여 Kubernetes 리소스를 통해 이러한 키를 관리합니다.

CMEK Kubernetes 리소스에는 두 가지 유형이 있습니다.

CTMKey: Thales CipherTrust Manager (CTM)를 사용하여 HSM 내에서 직접 생성되고 관리되는 Kubernetes 리소스입니다. kubectl를 사용하여 HSM API와 상호작용하여 CTMKey 리소스를 관리할 수 있습니다.

블록 스토리지와 같은 서비스는 CTMKey 리소스를 CMEK로 사용합니다.
AEADKey: KMS에서 관리하는 Kubernetes 리소스입니다. KMS를 사용하면 자체 암호화 및 서명 키를 만들고 관리할 수 있습니다. KMS는 HSM 지원 루트 키를 사용하여 AEADKey 자료를 래핑하여 저장 시 암호화되도록 합니다. 신뢰할 수 있는 루트는 여전히 HSM이지만 KMS는 추가 키 관리 계층을 제공합니다. KMS API와 상호작용하기 위해 kubectl를 사용하여 AEADKey 리소스를 관리합니다.

객체 스토리지 버킷 암호화와 같은 서비스는 AEADKey 리소스를 CMEK로 사용합니다.

GDC에서 CMEK를 지원하는 서비스

GDC 서비스 내에 데이터를 저장하는 리소스를 만들면 서비스에서 데이터를 보호하는 암호화 키를 자동으로 생성하고 이를 CMEK 리소스로 사용할 수 있도록 합니다.

일부 서비스만 CMEK 순환을 지원합니다. 키 순환에 대한 안내는 각 서비스의 문서를 참고하세요.

다음 GDC 서비스는 CMEK를 지원합니다.

블록 스토리지: 각 블록 스토리지 기기를 암호화합니다.
가상 머신 (VM) 디스크: VM 디스크를 암호화합니다.
데이터베이스 서비스: 데이터베이스 인스턴스의 데이터를 암호화합니다. 데이터베이스 백업은 CMEK의 범위에 속하지 않으며 대신 백업 스토리지 시스템의 설정을 사용하여 암호화됩니다.
사용자 컨테이너 워크로드: Kubernetes 메타데이터와 etcd 클러스터를 암호화합니다. 컨테이너 워크로드에서 사용되는 영구 볼륨 (PV)은 블록 스토리지 암호화의 일부로 암호화됩니다.
스토리지: 버킷 수준 KMS AEAD 키로 래핑된 고유한 AES-256-GCM 키로 각 객체를 암호화합니다.

저장 데이터 암호화 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.