암호화 측정항목 보기

Cloud Key Management Service (Cloud KMS)는 저장 데이터를 보호하는 암호화 키에 대한 측정항목을 표시합니다. 이러한 측정항목은 리소스가 보호되는 방식과 키가 권장사항에 부합하는지 여부를 보여줍니다. 측정항목은 주로 CMEK 통합 서비스에서 리소스를 보호하는 데 사용되는 고객 관리 암호화 키 (CMEK)에 중점을 둡니다. 이 가이드에서는 프로젝트의 암호화 측정항목을 보는 방법을 보여주고 조직의 보안 상태에 미치는 영향을 이해하는 데 도움을 줍니다.

에서 CMEK를 사용하여 리소스를 보호하는 권장사항에 대한 자세한 내용은 CMEK 사용 권장사항을 참조하세요. Google Cloud

시작하기 전에

1. 암호화 측정항목을 보는 데 필요한 권한을 얻으려면 관리자에게 프로젝트 또는 상위 리소스에 대한 Cloud KMS 뷰어 (roles/cloudkms.viewer) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

   커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

2. Cloud KMS 조직 서비스 에이전트에게 Cloud KMS 조직 서비스 에이전트 역할을 부여합니다.

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   이 단계를 건너뛰면 암호화 측정항목 대시보드 에 불완전한 정보가 표시될 수 있습니다. 예를 들어 PROJECT_A의 암호화 측정항목을 볼 때 PROJECT_A의 키로 보호되는 PROJECT_B의 리소스는 측정항목에 포함되지 않습니다.

암호화 측정항목 보기

암호화 측정항목을 보려면 다음 단계를 따르세요.

1. 콘솔에서 키 관리 페이지로 이동합니다. Google Cloud

   Key Management Service로 이동

2. 개요 탭을 클릭한 다음 암호화 측정항목 을 클릭합니다.

3. 프로젝트 선택기를 사용하여 프로젝트를 선택합니다. 대시보드에는 해당 프로젝트의 리소스 및 키에 대한 다음과 같은 암호화 측정항목이 표시됩니다.

   • 이 프로젝트의 보호 유형별 리소스 및 서비스별 리소스 보호 유형 차트에는 CMEK 범위 요약 측정항목이 표시됩니다.
   • 키 사용 권장사항에 대한 부합 여부 차트에는 키 부합 여부 요약 측정항목이 표시됩니다. 키 부합 여부 세부정보를 볼 수도 있습니다.

키 부합 여부 세부정보 보기

프로젝트의 키 목록을 보고 부합하는 권장사항을 확인하려면 다음 단계를 따르세요.

1. 암호화 측정항목 페이지에서 키 사용 권장사항에 대한 부합 여부 차트를 찾습니다.

2. 선택사항: Cloud KMS Autokey로 만든 키에만 집중하려면 Cloud KMS (Autokey) 탭을 클릭합니다. 수동으로 만든 키에만 집중하려면 Cloud KMS (수동) 탭을 클릭합니다.

3. 키 목록을 보고 각 권장사항에 부합하는지 확인하려면 카테고리를 나타내는 섹션을 클릭한 다음 보기 를 클릭합니다.

   키 사용 권장사항에 대한 부합 여부 페이지에는 선택한 프로젝트의 Cloud KMS 키가 나열되고 각 권장사항에 부합 하는지 또는 부합하지 않음 인지 표시됩니다. 키가 권장사항에 부합 하거나 부합하지 않음 이라는 의미에 대한 자세한 내용은 이 문서의 키 부합 여부를 참조하세요.

4. 선택사항: 키 목록을 필터링하려면 filter_list 필터 상자에 검색어를 입력한 후 Enter 키를 누릅니다. 예를 들어 목록을 필터링하여 세분성 권장사항에 부합 하는 키만 표시할 수 있습니다.

암호화 측정항목 이해하기

암호화 측정항목 대시보드는 Cloud 애셋 인벤토리 서비스를 사용하여 리소스 및 Cloud KMS 키에 대한 정보를 수집합니다. 대시보드는 사용 가능한 최신 데이터를 사용하여 측정항목을 주문형으로 계산합니다.

대시보드에는 CMEK 범위와 키 부합 여부라는 두 가지 주요 측정항목 카테고리가 표시됩니다. 두 측정항목 모두 집계된 정보가 포함된 요약 뷰와 리소스 또는 키의 표 형식 목록이 포함된 세부정보 뷰를 보여줍니다.

CMEK 범위

이 프로젝트의 보호 유형별 리소스 및 서비스별 리소스 보호 유형 차트의 CMEK 범위 측정항목은 CMEK로 보호되는 리소스 수를 보여줍니다. 이 측정항목은 CMEK 통합 및 Cloud KMS 키 추적이 지원되는 리소스를 살펴봅니다. 리소스는 다음 카테고리로 그룹화됩니다.

• Google 관리 암호화: Google 기본 암호화로 보호되는 리소스입니다.
• Cloud KMS (수동): 수동으로 만들고 관리하는 CMEK로 보호되는 리소스입니다.
• Cloud KMS (Autokey): Autokey 서비스에서 프로비저닝하고 할당한 CMEK로 보호되는 리소스입니다.

CMEK 범위 측정항목은 프로젝트 전체에 대해 표시되며 보호되는 각 리소스와 연결된 서비스별로 분류됩니다. 이 정보를 사용하여 선택한 프로젝트의 리소스 중 CMEK를 사용할 수 있을 때 Google 기본 암호화를 사용하는 리소스 수를 평가할 수 있습니다.

지원되는 리소스 유형 목록은 추적되는 리소스 유형을 참조하세요.

키 부합 여부

키 사용 권장사항에 대한 부합 여부 차트의 키 부합 여부 측정항목은 Cloud KMS 키가 다음과 같은 권장 보안 관행에 부합하는지 여부를 보여줍니다.

• 순환 기간: 키에 적절한 순환 기간이 설정되어 있습니다.
• 세분성: 키는 하나의 프로젝트에 있고 하나의 서비스에 속하는 리소스를 보호합니다.
• 업무분장: 서비스 계정만 키로 암호화 및 복호화할 수 있는 권한이 있습니다.
• 위치: 키는 동일한 클라우드 위치에 있는 리소스만 보호합니다.

키 부합 여부 측정항목에는 CMEK 통합 서비스에서 리소스를 보호하는 데 사용되지 않더라도 선택한 프로젝트의 모든 Cloud KMS 대칭 암호화 키가 포함됩니다. 이러한 측정항목은 키 버전이 아닌 키에 대해 평가됩니다. 예를 들어 활성 키 버전이 없는 키도 이러한 권장사항 중 일부 또는 전부에 대해 부합 으로 표시될 수 있습니다.

다음 섹션에서는 이러한 각 관행에 대한 자세한 정보를 제공합니다.

세분성

키 세분성 은 키의 의도된 사용 규모 및 범위를 나타냅니다. 키는 세분성이 높아서 단일 리소스만 보호할 수도 있고 세분성이 낮아서 여러 리소스를 보호할 수도 있습니다. 세분성이 낮은 키를 사용하면 무단 액세스 및 실수로 인한 데이터 손실을 비롯한 보안 사고의 잠재적 영향이 커집니다.

일반적으로 다음과 같은 세분성 전략을 권장합니다.

• 각 키는 단일 위치(예: us-central1)의 리소스를 보호합니다.
• 각 키는 단일 서비스 또는 제품(예: BigQuery)의 리소스를 보호합니다.
• 각 키는 단일 Google Cloud 프로젝트의 리소스를 보호합니다.

이 권장사항은 조직에 가장 적합한 세분성 전략이 아닐 수도 있습니다. 대부분의 조직에서 이 전략은 세분성이 높은 키를 많이 유지하는 오버헤드와 여러 프로젝트, 서비스 또는 리소스 간에 공유되는 세분성이 낮은 키를 사용할 때 발생할 수 있는 잠재적 위험 간에 적절한 균형을 제공합니다.

Cloud KMS Autokey로 만든 키는 이 권장사항을 따릅니다.

보호하는 리소스가 모두 동일한 위치, 서비스, 프로젝트 내에 있는 경우 프로젝트의 각 키는 이 권장사항에 부합 하는 것으로 간주됩니다. 보호하는 리소스가 두 개 이상의 위치, 서비스 또는 프로젝트에 있는 경우 키는 이 권장사항에 부합하지 않음 으로 간주됩니다.

키가 이 권장사항에 부합하지 않는 경우 키 세분성 전략을 조정하는 것이 조직에 적합한지 고려해 보세요. 키 세분성에 대한 권장사항에 대한 자세한 내용은 키 세분성 전략 선택을 참조하세요.

위치

대부분의 경우 CMEK 통합 서비스에 사용되는 Cloud KMS 키는 보호하는 리소스가 있는 정확히 동일한 Google Cloud 리전 또는 멀티 리전에 있어야 합니다. 하지만 일부 서비스에서는 이 규칙에 예외를 허용합니다.

보호하는 리소스가 모두 키와 동일한 위치에 있는 경우 프로젝트의 각 키는 이 권장사항에 부합 하는 것으로 간주됩니다. 예를 들어 us-central1의 리소스를 보호하는 us-central1의 키입니다. 리전 키는 동일한 리전 내의 영역 리소스를 보호할 수 있습니다. 예를 들어 us-central1a의 리소스를 보호하는 us-central1의 키입니다.

키가 다른 리전 또는 멀티 리전의 리소스를 보호하는 경우 키는 이 권장사항에 부합하지 않음으로 간주됩니다. 예를 들어 us-central1 리전의 Compute Engine 디스크를 보호하는 us 멀티 리전의 키입니다.

키가 이 권장사항에 부합하지 않는 경우 리소스 또는 키를 동일한 위치에 있도록 이동하거나 교체하는 것이 좋습니다. 위치에 대한 자세한 내용은 Cloud KMS 위치를 참조하세요.

회전

키를 정기적으로 순환하는 것은 정보 보안의 중요한 측면입니다. 예를 들어 일부 표준에서는 특정 일정에 따라 키를 순환해야 합니다. 민감한 워크로드를 보호하는 키는 더 자주 순환해야 할 수 있습니다. Cloud KMS를 사용하면 키에 대한 자동 키 순환을 설정하여 선택한 일정을 준수할 수 있습니다.

프로젝트의 각 키는 순환 일정이 설정되어 있는 경우 이 권장사항에 부합 하는 것으로 간주됩니다. 자동 키 순환이 설정되어 있지 않은 경우 키는 부합하지 않음 으로 간주됩니다.

자동 순환을 사용 설정하려면 다음 중 하나를 수행하면 됩니다.

• 커스텀 순환 일정으로 새 키를 수동으로 만듭니다.
• 새 리소스를 만들 때 Cloud KMS Autokey를 사용합니다. Cloud KMS Autokey로 만든 키의 기본 순환 기간은 1년이지만 키가 생성된 후 순환 기간을 변경할 수 있습니다.
• 기존 키를 업데이트하여 순환 일정을 추가합니다.

업무분장

업무분장은 사용자 또는 기타 주 구성원에게 너무 많은 권한을 부여하지 않도록 하는 보안 관행입니다. Cloud KMS 및 CMEK 통합의 맥락에서 이는 Cloud KMS 키를 유지관리하는 사용자에게 해당 키를 사용할 권한이 없어야 하며 키를 사용하여 리소스를 암호화하고 복호화하는 주 구성원에게 키에 대한 다른 권한이 없어야 함을 의미합니다.

프로젝트의 각 키는 다음 두 가지가 모두 참인 경우 이 권장사항에 부합 하는 것으로 간주됩니다.

• 보호되는 리소스의 서비스 계정은 키에 대한 cloudkms.cryptoKeyVersions.useToEncrypt 및 cloudkms.cryptoKeyVersions.useToDecrypt 권한이 있는 유일한 주 구성원입니다.
• 보호되는 리소스의 서비스 계정에는 roles/cloudkms.admin, roles/editor, roles/owner를 비롯하여 키에 대한 키 관리 권한을 부여하는 역할이 없습니다.

서비스 계정에 관리 권한이 있거나 다른 주 구성원에게 암호화 또는 복호화 권한이 있는 경우 키는 부합하지 않음 으로 간주됩니다.

키가 이 권장사항에 부합하지 않는 경우 키 및 기타 Cloud KMS 리소스의 IAM 역할 및 권한을 검토하고 필요하지 않은 역할 및 권한 부여를 삭제합니다. Cloud KMS 역할 및 포함된 권한 에 대한 자세한 내용은 권한 및 역할을 참조하세요. Cloud KMS 리소스의 IAM 역할을 보고 삭제하는 방법에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.

제한사항

암호화 측정항목 대시보드에는 다음과 같은 제한사항이 있습니다.

• 대시보드에는 한 번에 하나의 프로젝트에 대한 측정항목이 표시됩니다.
• 대시보드에는 프로젝트당 10,000개의 리소스 또는 키 제한이 있습니다. 프로젝트에 10,000개가 넘는 키가 포함되어 있거나 프로젝트의 키가 10,000개가 넘는 리소스를 보호하는 경우 측정항목의 일부만 표시됩니다.
• 대시보드는 Cloud 애셋 인벤토리 서비스의 데이터를 사용합니다. Cloud 애셋 인벤토리의 데이터가 오래된 경우 대시보드에 부정확하거나 불완전한 정보가 표시될 수 있습니다.
• 대시보드는 키 부합 여부 및 CMEK 범위에 대칭 키만 고려합니다.
• 대시보드는 키 사용 추적을 지원하는 리소스만 고려합니다.
• 키 부합 여부 측정항목은 추적 가능한 리소스를 보호하는 CMEK로 활발히 사용되는 키, 다른 사용 사례에 활발히 사용되는 키, 활성 키 버전이 없는 키를 구분하지 않습니다. 예를 들어 키 부합 여부 데이터에는 커스텀 애플리케이션에 사용되는 키가 포함될 수 있습니다.
• 키 부합 여부 데이터에 추적 불가능한 리소스 및 커스텀 애플리케이션을 보호하는 키가 포함된 경우 이러한 키의 부합 여부 세부정보가 정확하지 않을 수 있습니다. 예를 들어 여러 프로젝트의 여러 커스텀 애플리케이션에서 사용되는 키는 그렇지 않더라도 키 세분성 권장사항에 부합 하는 것으로 표시될 수 있습니다.

다음 단계

• 키 사용 추적에 대해 자세히 알아보세요.
• 고객 관리 암호화 키의 권장사항에 대해 자세히 알아보세요.