단일 테넌트 Cloud HSM 개요

이 문서에서는 단독 테넌트 Cloud HSM의 개념과 기능을 간략히 설명합니다.

단일 테넌트 Cloud HSM을 사용하면 Cloud HSM의 단일 테넌트 인스턴스를 만들고 관리할 수 있습니다. 단일 테넌트 Cloud HSM 인스턴스는 고객 전용으로 사용할 수 있는 하드웨어 보안 모듈 (HSM)의 전용 파티션 클러스터입니다. 각 인스턴스는 멀티 테넌트 Cloud HSM과 동일한 중복성과 고가용성을 제공합니다. 각 단독 테넌트 Cloud HSM 클러스터는 선택한 리전 내의 여러 영역에 있는 여러 HSM에 분산됩니다. 각 파티션은 HSM의 다른 파티션과 암호화 방식으로 격리되어 있습니다.

클러스터에 대한 Google 액세스 권한을 부여하거나 거부할 수 있으며 인스턴스 관리자가 클러스터를 관리합니다. 인스턴스 관리자는 2단계 인증 (2FA)에 비대칭 제어 키를 사용하는 정족수 승인 모델을 사용하여 인스턴스를 제어합니다. Google이 비공개 제어 키에 액세스할 수 없도록Google Cloud외부에서 제어 키를 만듭니다.

단독 테넌트 Cloud HSM 인스턴스가 구성되면 Cloud KMS 관리자가 단독 테넌트 키를 만들 수 있으며 개발자는 코드 변경 없이 다른 Cloud HSM 키처럼 사용할 수 있습니다.

단일 테넌트 Cloud HSM을 사용하면 비용이 발생합니다. 가격 정보는 Cloud KMS 가격 책정을 참고하세요.

쿼럼 기반 인증

단독 테넌트 Cloud HSM은 쿼럼 기반 인증을 사용하여 중요 작업이 여러 인스턴스 관리자의 승인을 받도록 합니다. 단독 테넌트 인스턴스를 만들기 전에 Cloud KMS 외부에서 비대칭 제어 키 집합을 만들고 인스턴스 작업에 필요한 승인 수를 정의해야 합니다. 예를 들어 인스턴스를 관리하는 관리자가 5명인 경우 인스턴스에서 각 유지관리 작업을 승인하는 관리자를 3명으로 요구할 수 있습니다.

쿼럼 인증이 필요한 작업에는 세 단계가 있습니다.

  1. 제안: 인스턴스 관리자가 새 제어 키 등록과 같은 작업을 제안합니다. 제안서는 시스템의 현재 상태에 대한 변경할 수 없는 스냅샷을 만듭니다. 제안서는 24시간 후에 만료되며 승인된 작업이 시작될 때까지 언제든지 취소할 수 있습니다.

  2. 승인: 필요한 수의 관리자가 고유한 제어 키를 사용하여 챌린지에 서명해야 합니다. 서명된 각 챌린지는 작업을 승인하는 관리자를 나타냅니다. 서명된 챌린지가 충분히 준비되면 인스턴스 관리자가 이를 업로드하여 제안을 승인합니다. 이의 제기가 유효하고 제안이 만료되지 않은 경우 제안이 승인됩니다.

  3. 실행: 제안이 승인된 후 만료되기 전에 제안된 작업을 실행할 수 있습니다.

단일 테넌트 Cloud HSM 기능

이 섹션에서는 단독 테넌트 Cloud HSM의 핵심 기능을 설명합니다.

인스턴스 관리

관리자는 단독 테넌트 Cloud HSM 인스턴스의 수명 주기를 관리합니다.

  • 인스턴스 만들기: 단일 리전에 새 인스턴스를 프로비저닝합니다. 생성 프로세스에서는 쿼럼 인증을 설정해야 합니다.
  • 인스턴스 정보 가져오기: 인스턴스의 메타데이터와 구성을 쿼리할 수 있습니다. 이 작업에는 쿼럼 인증이 필요하지 않습니다.
  • 인스턴스 사용 중지 및 사용 설정: 인스턴스를 일시적으로 사용 중지하여 파티션에 대한 Google의 액세스 권한을 취소할 수 있습니다. 인스턴스는 나중에 사용 설정할 수 있습니다. 두 작업 모두 쿼럼 인증이 필요합니다. 인스턴스를 사용 설정하면 사용 설정 작업 시점부터 disableDate이 120일로 재설정됩니다. 인스턴스가 사용 중지되면 인스턴스에서 생성된 모든 키를 사용할 수 없으며 이러한 키를 사용하려고 시도하는 모든 작업이 실패합니다.
  • 인스턴스 새로고침: 인스턴스를 사용할 수 있도록 하려면 정기적으로 새로고침해야 합니다. 인스턴스는 120일 이내에 새로고침해야 합니다. 각 인스턴스에는 인스턴스의 새로고침이 지연되는 시점을 나타내는 disableDate가 있습니다. 인스턴스를 새로고침하면 disableDate이 새로고침 시점부터 120일로 재설정됩니다. 이 작업에는 쿼럼 인증이 필요합니다. disableDate 시간 전에 새로고침되지 않은 인스턴스는 자동으로 사용 중지됩니다.
  • 인스턴스 삭제: 인스턴스를 삭제할 수 있습니다. 인스턴스를 삭제하면 해당 인스턴스에서 생성된 모든 키가 영구적으로 폐기됩니다. 이 작업은 되돌릴 수 없는 파괴적인 작업입니다. 인스턴스에서 생성된 키를 사용하여 암호화된 모든 데이터를 암호-파쇄하려는 경우가 아니면 인스턴스를 삭제하지 마세요. 이 작업에는 쿼럼 인증이 필요합니다.

키 관리

관리자는 쿼럼 인증에 사용하는 제어 키를 소유합니다. 개발자와 기타 리소스 소유자가 인스턴스에서 암호화 키를 만들고 사용합니다.

  • 관리자 제어 키 순환: 관리자는 관리자 정족수 구성원의 2단계 인증 제어 키를 순환할 수 있습니다. 이 작업에는 쿼럼 인증이 필요합니다.
  • 암호화 키 생성: 개발자와 리소스 소유자는 단일 테넌트 HSM 보호 수준으로 CryptoKey를 만들 수 있습니다. 이 작업에는 쿼럼 인증이 필요하지 않습니다.
  • 암호화 작업 실행: 단독 테넌트 인스턴스에 저장된 키는 생성된 후 다른 Cloud Key Management Service 키와 마찬가지로 암호화 작업에 사용할 수 있습니다.

단일 테넌트 Cloud HSM 권장사항

단독 테넌트 Cloud HSM을 사용할 때는 다음 권장사항을 따르세요.

  • 프로젝트 선취권: 활성 싱글 테넌트 Cloud HSM 인스턴스가 포함된 프로젝트를 보호하려면 프로젝트 선취권을 사용하세요. 단독 테넌트 Cloud HSM 인스턴스가 포함된 프로젝트를 삭제하면 해당 인스턴스에서 생성된 키를 복구할 수 없습니다.
  • 물리적 토큰: 인스턴스 관리자의 비공개 2FA 키를 보관하는 데 물리적 토큰을 사용합니다. 이러한 실제 토큰을 안전하게 보관하세요. 키의 과반수를 분실하면 Google에서 인스턴스에 대한 액세스 권한을 복구할 수 없습니다. 인스턴스를 정기적으로 업데이트해야 하므로 키 과반수를 잃으면 결국 인스턴스가 사용 중지됩니다.
  • 백업 키: 쿼럼 구성원이 보유한 키 외에 예비 2FA 키를 하나 이상 등록합니다. 쿼럼 구성원의 키를 분실하거나 도난당한 경우 액세스할 수 있는 안전한 위치에 백업 키를 보관합니다.
  • 업무 분장: 인스턴스 관리자의 업무 분장을 유지합니다. 제안, 승인, 실행에는 별도의 IAM 역할이 필요하며, 한 개인이 세 역할의 권한을 모두 갖지 않도록 최소 두 명의 개인에게 분배해야 합니다. 개인에게 모든 기본 권한이 있는 경우 실수로 또는 의도적으로 데이터가 손실될 위험이 더 커집니다.
  • 키 배포: 비공개 2FA 키가 신뢰할 수 있는 개인에게 안전하게 배포되어 있는지 확인합니다. 어떤 개인도 정족수를 달성할 수 있을 만큼 충분한 비공개 키를 보유해서는 안 됩니다. 개인이 필요한 쿼럼 크기를 충족할 만큼의 비공개 키에 액세스할 수 있는 경우 실수로 또는 의도적으로 데이터가 손실될 위험이 더 커집니다.
  • 새로고침 일정: 단독 테넌트 Cloud HSM 인스턴스를 새로고침하는 작업을 지속적인 유지보수 절차에 포함합니다. 각 인스턴스의 disableDate를 모니터링하고 해당 시간 전에 새로고침 작업을 완료해야 합니다. 인스턴스를 새로고침하려면 쿼럼 승인이 필요하므로 disableDate 전에 제안이 승인되고 실행될 수 있도록 충분히 일찍 새로고침 작업을 제안하세요.

다음 단계