Cloud Key Management Service (Cloud KMS)를 사용하면 호환되는 Google Cloud 서비스 및 자체 애플리케이션에서 사용할 암호화 키를 만들고 관리할 수 있습니다. Cloud KMS를 사용하여 다음 작업을 수행할 수 있습니다.
- 소프트웨어 또는 하드웨어 키를 생성하거나, 기존 키를 Cloud KMS로 가져오거나, 호환 가능한 외부 키 관리 (EKM) 시스템에서 외부 키를 연결합니다.
- 멀티 테넌트 Cloud HSM 키를 생성하고 Google Workspace용 Cloud HSM과 함께 사용하여 Google Workspace에서 클라이언트 측 암호화 (CSE)를 사용 설정합니다.
- 단독 테넌트 Cloud HSM 인스턴스를 만들고 유지관리하며, 단독 테넌트 Cloud HSM 키를 만들거나 가져온 후 사용합니다.
- Google Cloud제품에서 CMEK 통합을 사용하여 고객 관리 암호화 키 (CMEK)를 사용합니다. CMEK 통합은 Cloud KMS 키를 사용하여 데이터 암호화 키 (DEK)를 암호화하거나 '래핑'합니다. 키 암호화 키 (KEK)로 DEK를 래핑하는 것을 봉투 암호화라고 합니다.
- Cloud KMS Autokey를 사용하여 프로비저닝 및 할당을 자동화합니다. Autokey를 사용하면 키링, 키, 서비스 계정을 미리 프로비저닝할 필요가 없습니다. 대신 리소스 생성 중에 필요에 따라 생성됩니다.
- 암호화 및 복호화 작업에 Cloud KMS 키를 사용합니다. 예를 들어 Cloud KMS API 또는 클라이언트 라이브러리를 사용하여 클라이언트 측 암호화에 Cloud KMS 키를 사용할 수 있습니다.
- Cloud KMS 키를 사용하여 디지털 서명 또는 메시지 인증 코드 (MAC) 서명을 만들거나 확인합니다.
- Cloud KMS 키를 사용하여 키 캡슐화 메커니즘을 통해 공유 보안 비밀을 설정합니다.
니즈에 맞는 암호화 선택
다음 표를 사용하여 각 사용 사례의 니즈에 맞는 암호화 유형을 식별할 수 있습니다. 니즈에 가장 적합한 솔루션에 여러 암호화 접근 방식이 포함될 수 있습니다. 예를 들어 덜 민감한 정보에 소프트웨어 키를 사용하고 가장 민감한 정보에는 하드웨어 또는 외부 키를 사용할 수 있습니다. 이 섹션에 설명된 암호화 옵션에 대한 자세한 내용은 이 페이지의 Google Cloud에서 데이터 보호를 참고하세요. Cloud KMS, Cloud HSM, Cloud EKM 키 사용 시 적용되는 서비스수준계약 (SLA)에 대한 자세한 내용은 서비스수준계약을 참고하세요.
| 암호화 유형 | 비용 | 호환 서비스 | 기능 |
|---|---|---|---|
| Google-owned and Google-managed encryption keys (Google Cloud 기본 암호화) | 포함됨 | 고객 데이터를 저장하는 모든 Google Cloud 서비스 |
|
| 고객 관리 암호화 키 - 소프트웨어 (Cloud KMS 키) |
키 버전당 $0.06 | 40개 이상의 서비스 |
|
| 고객 관리 암호화 키 - 하드웨어 (Cloud HSM 키) |
키 버전당 월 $1.00~$2.50 | 40개 이상의 서비스 |
|
| 고객 관리 암호화 키 - 외부 (Cloud EKM 키) |
키 버전당 월 $3.00 | 30개 이상의 서비스 |
|
| Cloud KMS 키를 사용한 클라이언트 측 암호화 | 활성 키 버전의 비용은 키의 보호 수준에 따라 다릅니다. | 애플리케이션에서 클라이언트 라이브러리 사용 |
|
| Google Workspace용 Cloud HSM | 각 인스턴스에 대한 고정 월별 요금과 활성 키 버전 및 암호화 작업 비용이 부과됩니다. | Google Workspace에서 클라이언트 측 암호화에 멀티 테넌트 Cloud HSM 키 사용 |
|
| 고객 제공 암호화 키 | Compute Engine 또는 Cloud Storage와 관련된 비용이 증가할 수 있음 |
|
|
| 컨피덴셜 컴퓨팅 | 각 컨피덴셜 VM의 추가 비용, 로그 사용량 및 관련 비용이 증가할 수 있음 |
|
데이터 보호 Google Cloud
Google-owned and Google-managed encryption keys (Google Cloud 기본 암호화)
기본적으로 Google Cloud 의 저장 데이터는 Google Cloud의 내부 키 관리 서비스인 키 저장소의 키로 보호됩니다. 키 저장소의 키는 Google Cloud에서 자동으로 관리하므로 사용자가 구성할 필요가 없습니다. 대부분의 서비스는 키를 자동으로 순환합니다. 키 저장소는 기본 키 버전과 제한된 수의 이전 키 버전을 지원합니다. 기본 키 버전은 새 데이터 암호화 키를 암호화하는 데 사용됩니다. 이전 키 버전은 기존 데이터 암호화 키를 복호화하는 데 계속 사용될 수 있습니다. 사용자는 이러한 키를 보거나 관리하거나 키 사용량 로그를 검토할 수 없습니다. 여러 고객의 데이터에서 동일한 키 암호화 키를 사용할 수 있습니다.
이 기본 암호화는 FIPS 140-2 Level 1을 준수하도록 검증받은 암호화 모듈을 사용합니다.
고객 관리 암호화 키(CMEK)
CMEK 통합 서비스에서 리소스를 보호하는 데 사용되는 Cloud KMS 키는 고객 관리 암호화 키(CMEK)입니다. CMEK를 소유하고 제어할 수 있으며 키 생성 및 할당 태스크를 Cloud KMS Autokey에 위임할 수 있습니다. CMEK의 프로비저닝 자동화에 대한 자세한 내용은 Autokey를 사용한 Cloud Key Management Service를 참고하세요.
호환 서비스에서 Cloud KMS 키를 사용하면 다음과 같은 목표를 달성할 수 있습니다.
암호화 키를 소유합니다.
암호화 키의 위치 선택, 보호 수준, 생성, 액세스 제어, 순환, 사용, 폐기 등을 제어하고 관리합니다.
오프보딩 시 키로 보호되는 데이터를 선택적으로 삭제하거나 보안 이벤트(암호화 파쇄)를 해결합니다.
데이터 주위에 암호화 경계를 설정하는 전용 단일 테넌트 키를 만듭니다.
암호화 키에 대한 관리 및 데이터 액세스를 로깅합니다.
이러한 목표를 요구하는 현재 또는 미래의 규정을 준수합니다.
CMEK 통합 서비스에서 Cloud KMS 키를 사용하는 경우 조직 정책을 사용하여 CMEK가 정책에 지정된 대로 사용되도록 할 수 있습니다. 예를 들어 호환되는 Google Cloud 리소스의 암호화에 Cloud KMS 키를 사용하도록 하는 조직 정책을 설정할 수 있습니다. 조직 정책으로 키 리소스가 상주해야 할 프로젝트를 지정할 수도 있습니다.
제공되는 기능 및 보호 수준은 키의 보호 수준에 따라 다릅니다.
소프트웨어 키 - Cloud KMS에서 소프트웨어 키를 생성하고 모든 Google Cloud 위치에서 사용할 수 있습니다. 자동 순환을 사용하는 대칭 키 또는 수동 순환을 사용하는 비대칭 키를 만들 수 있습니다. 고객 관리 소프트웨어 키는 FIPS 140-2 Level 1 인증을 받은 소프트웨어 암호화 모듈을 사용합니다. 또한 순환 기간, Identity and Access Management (IAM) 역할 및 권한, 키를 관리하는 조직 정책을 제어할 수 있습니다. 호환되는 Google Cloud 리소스와 함께 소프트웨어 키를 사용할 수 있습니다.
가져온 소프트웨어 키 - 다른 곳에서 만든 소프트웨어 키를 가져와 Cloud KMS에서 사용할 수 있습니다. 새 키 버전을 가져와 가져온 키를 수동으로 순환할 수 있습니다. IAM 역할 및 권한과 조직 정책을 사용하여 가져온 키의 사용을 관리할 수 있습니다.
멀티 테넌트 Cloud HSM을 사용하는 하드웨어 키 - FIPS 140-2 Level 3 하드웨어 보안 모듈 (HSM)의 클러스터에서 하드웨어 키를 생성할 수 있습니다. 순환 기간, IAM 역할 및 권한, 키를 관리하는 조직 정책을 제어할 수 있습니다. Cloud HSM을 사용하여 HSM 키를 만들면 Google Cloud에서 HSM 클러스터를 관리하므로 사용자가 이를 관리할 필요가 없습니다. 호환되는 Google Cloud 리소스(소프트웨어 키를 지원하는 서비스와 동일)와 함께 HSM 키를 사용할 수 있습니다. 가장 높은 수준의 보안 규정 준수가 필요하다면 하드웨어 키를 사용합니다.
단독 테넌트 Cloud HSM을 사용하는 하드웨어 키 - FIPS 140-2 Level 3 하드웨어 보안 모듈 (HSM)의 전용 파티션 클러스터에서 하드웨어 키를 생성할 수 있습니다. 순환 기간, IAM 역할 및 권한, 키를 관리하는 조직 정책을 제어할 수 있습니다. 단일 테넌트 Cloud HSM 인스턴스를 만들면 Google Cloud 에서 HSM 클러스터를 호스팅하므로 사용자가 호스팅할 필요가 없지만, 지정된 관리자의 쿼럼으로 인스턴스에 대한 액세스를 제어하고 인스턴스를 유지관리합니다. 인스턴스 작업에는Google Cloud외부에서 소유한 보안 키를 사용하는 2단계 인증이 필요합니다. 호환되는 Google Cloud 리소스(소프트웨어 키를 지원하는 서비스와 동일)와 함께 단독 테넌트 HSM 키를 사용할 수 있습니다. 암호화 격리를 통해 가장 높은 수준의 보안 규정 준수를 달성하려면 하드웨어 키를 사용하세요.
외부 키 및 Cloud EKM - 외부 키 관리자(EKM)에 상주하는 키를 사용할 수 있습니다. Cloud EKM에서는 지원되는 키 관리자에 저장된 키를 사용하여Google Cloud 리소스를 보호할 수 있습니다. 인터넷 또는 Virtual Private Cloud (VPC)를 통해 EKM에 연결할 수 있습니다. Cloud KMS 키를 지원하는 일부 Google Cloud 서비스는 Cloud EKM 키를 지원하지 않습니다.
Cloud KMS 키
Cloud KMS 클라이언트 라이브러리 또는 Cloud KMS API를 사용하여 맞춤 애플리케이션에서 Cloud KMS 키를 사용할 수 있습니다. 클라이언트 라이브러리 및 API를 사용하면 데이터를 암호화 및 복호화하고, 데이터에 서명하고, 서명을 검증할 수 있습니다.
Google Workspace용 멀티 테넌트 Cloud HSM
Google Workspace용 Cloud HSM에서 멀티 테넌트 Cloud HSM 키를 사용하여 Google Workspace의 클라이언트 측 암호화 (CSE)에 사용되는 키를 관리할 수 있습니다. Google Workspace용 Cloud HSM에 온보딩할 수 있습니다.
고객 제공 암호화 키(CSEK)
Cloud Storage 및 Compute Engine은 고객 제공 암호화 키 (CSEK)를 사용할 수 있습니다. 고객 제공 암호화 키를 사용하는 경우 키 자료를 저장하고 필요할 때 Cloud Storage 또는 Compute Engine에 제공합니다. Google Cloud 는 어떤 식으로든 CSEK를 저장하지 않습니다.컨피덴셜 컴퓨팅
컨피덴셜 컴퓨팅 플랫폼을 사용하여 사용 중 데이터를 암호화할 수 있습니다. 컨피덴셜 컴퓨팅을 통해 데이터를 처리하는 중에도 데이터를 비공개로 유지하고 암호화할 수 있습니다.