암호화 측정항목 보기

Cloud Key Management Service (Cloud KMS)는 저장 데이터를 보호하는 암호화 키에 관한 측정항목을 표시합니다. 이러한 측정항목은 리소스가 보호되는 방식과 키가 권장사항에 부합하는지 여부를 보여줍니다. 측정항목은 주로 CMEK 통합 서비스에서 리소스를 보호하는 데 사용되는 고객 관리 암호화 키 (CMEK)에 중점을 둡니다. 이 가이드에서는 프로젝트의 암호화 측정항목을 확인하는 방법을 보여주고 조직의 보안 상태에 미치는 영향을 설명합니다.

Cloud de Confiance에서 CMEK를 사용하여 리소스를 보호하는 권장사항에 대한 자세한 내용은 CMEK 사용 권장사항을 참고하세요.

시작하기 전에

  1. 암호화 측정항목을 보는 데 필요한 권한을 얻으려면 관리자에게 프로젝트 또는 상위 리소스에 대한 Cloud KMS 뷰어 (roles/cloudkms.viewer) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

    커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

  2. Cloud KMS 조직 서비스 에이전트Cloud KMS 조직 서비스 에이전트 역할을 부여합니다.

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent

    이 단계를 건너뛰면 암호화 측정항목 대시보드에 불완전한 정보가 표시될 수 있습니다. 예를 들어 PROJECT_A의 암호화 측정항목을 볼 때 PROJECT_A의 키로 보호되는 PROJECT_B의 리소스는 측정항목에 포함되지 않습니다.

암호화 측정항목 보기

암호화 측정항목을 보려면 다음 단계를 따르세요.

  1. Cloud de Confiance 콘솔에서 키 관리 페이지로 이동합니다.

    Key Management Service로 이동

  2. 개요 탭을 클릭한 다음 암호화 측정항목을 클릭합니다.

  3. 프로젝트 선택기를 사용하여 프로젝트를 선택합니다. 대시보드에는 해당 프로젝트의 리소스 및 키에 대한 다음 암호화 측정항목이 표시됩니다.

키 부합 여부 세부정보 보기

프로젝트의 키 목록을 보고 키가 어떤 권장사항과 일치하는지 확인하려면 다음 단계를 따르세요.

  1. 암호화 측정항목 페이지에서 키 사용 권장사항에 대한 부합 여부 차트를 찾습니다.

  2. 선택사항: Cloud KMS Autokey로 생성된 키에만 집중하려면 Cloud KMS (Autokey) 탭을 클릭합니다. 수동으로 만든 키에만 집중하려면 Cloud KMS (수동) 탭을 클릭합니다.

  3. 키 목록을 보고 각 권장사항과 일치하는지 확인하려면 카테고리를 나타내는 섹션을 클릭한 다음 보기를 클릭합니다.

    키 사용 권장사항에 대한 부합 여부 페이지에는 선택한 프로젝트의 Cloud KMS 키가 나열되며 각 키가 각 권장사항에 부합하는지 또는 부합하지 않는지가 표시됩니다. 추천을 위해 키가 정렬됨 또는 정렬되지 않음이 의미하는 바에 대해 자세히 알아보려면 이 문서의 키 정렬을 참고하세요.

  4. 선택사항: 키 목록을 필터링하려면 filter_list 필터 상자에 검색어를 입력한 후 Enter 키를 누릅니다. 예를 들어 세분성 추천과 정렬된 키만 표시하도록 목록을 필터링할 수 있습니다.

암호화 측정항목 이해하기

암호화 측정항목 대시보드는 Cloud Asset Inventory 서비스를 사용하여 리소스 및 Cloud KMS 키에 관한 정보를 수집합니다. 대시보드는 사용 가능한 최신 데이터를 사용하여 주문형으로 측정항목을 계산합니다.

대시보드에는 CMEK 적용 범위와 키 정렬이라는 두 가지 주요 측정항목 카테고리가 표시됩니다. 두 측정항목 모두 집계된 정보가 포함된 요약 뷰와 리소스 또는 키의 표 형식 목록이 포함된 세부정보 뷰를 표시합니다.

CMEK 범위

이 프로젝트의 보호 유형별 리소스서비스별 리소스 보호 유형 차트의 CMEK 적용 범위 측정항목은 CMEK로 보호되는 리소스의 수를 보여줍니다. 이 측정항목은 CMEK 통합 및 Cloud KMS 키 추적이 지원되는 리소스를 살펴봅니다. 리소스는 다음 카테고리로 그룹화됩니다.

  • Google 관리 암호화: Google 기본 암호화로 보호되는 리소스입니다.
  • Cloud KMS (수동): 수동으로 만들고 관리하는 CMEK로 보호되는 리소스입니다.
  • Cloud KMS (Autokey): Autokey 서비스에서 프로비저닝하고 할당한 CMEK로 보호되는 리소스입니다.

CMEK 적용 범위 측정항목은 프로젝트 전체에 대해 표시되며 보호된 각 리소스와 연결된 서비스별로 분류됩니다. 이 정보를 사용하여 선택한 프로젝트의 리소스 중 CMEK를 사용할 수 있는데 Google 기본 암호화를 사용하는 리소스가 얼마나 되는지 평가할 수 있습니다.

지원되는 리소스 유형 목록은 추적된 리소스 유형을 참고하세요.

키 정렬

키 사용 권장사항에 대한 부합 여부 차트의 키 부합 측정항목은 Cloud KMS 키가 다음 권장 보안 관행에 부합하는지 여부를 보여줍니다.

  • 순환 기간: 키에 적절한 순환 기간이 설정되어 있습니다.
  • 세부사항: 키는 하나의 프로젝트에 있고 하나의 서비스에 속하는 리소스를 보호합니다.
  • 직무 분리: 서비스 계정만 키로 암호화 및 복호화할 수 있는 권한이 있습니다.
  • 위치: 키는 동일한 클라우드 위치에 있는 리소스만 보호합니다.

키 정렬 측정항목에는 선택한 프로젝트의 모든 Cloud KMS 대칭 암호화 키가 포함됩니다. CMEK 통합 서비스에서 리소스를 보호하는 데 사용되지 않는 키도 포함됩니다. 이러한 측정항목은 키 버전이 아닌 키에 대해 평가됩니다. 예를 들어 활성 키 버전이 없는 키는 이러한 권장사항의 일부 또는 전부에 대해 준수로 표시될 수 있습니다.

다음 섹션에서는 이러한 각 사례에 대해 자세히 설명합니다.

세부사항

세분성은 키의 의도된 사용 규모 및 범위를 나타냅니다. 키는 세분성이 매우 높아 단일 리소스만 보호할 수도 있고, 세분성이 낮아 여러 리소스를 보호할 수도 있습니다. 세분성이 낮은 키를 사용하면 무단 액세스 및 실수로 인한 데이터 손실을 비롯한 보안 사고의 잠재적 영향이 커집니다.

일반적으로 다음과 같은 세부사항 전략을 사용하는 것이 좋습니다.

  • 각 키는 단일 위치(예: us-central1)의 리소스를 보호합니다.
  • 각 키는 단일 서비스 또는 제품(예: BigQuery)의 리소스를 보호합니다.
  • 각 키는 단일 Cloud de Confiance 프로젝트의 리소스를 보호합니다.

이 추천이 조직에 가장 적합한 세분화 전략이 아닐 수도 있습니다. 대부분의 조직에서 이 전략은 세분화된 키를 많이 유지하는 오버헤드와 여러 프로젝트, 서비스 또는 리소스 간에 공유되는 세분화되지 않은 키를 사용할 때 발생할 수 있는 위험 사이에서 적절한 균형을 제공합니다.

보호하는 리소스가 모두 동일한 위치, 서비스, 프로젝트 내에 있는 경우 프로젝트의 각 키는 이 권장사항과 정렬된 것으로 간주됩니다. 키가 보호하는 리소스가 두 개 이상의 위치, 서비스 또는 프로젝트에 있는 경우 이 권장사항과 정렬되지 않은 것으로 간주됩니다.

키가 이 권장사항과 일치하지 않는 경우 키 세분화 전략을 조정하는 것이 조직에 적합한지 고려하세요. 키 세분성에 관한 권장사항에 대한 자세한 내용은 키 세분성 전략 선택을 참고하세요.

위치

대부분의 경우 CMEK 통합 서비스와 함께 사용되는 Cloud KMS 키는 보호하는 리소스가 있는 정확한 Cloud de Confiance 리전 또는 멀티 리전에 있어야 합니다. 하지만 일부 서비스에서는 이 규칙에 예외를 허용합니다.

키가 보호하는 리소스가 모두 키와 동일한 위치에 있는 경우(예: us-central1의 리소스를 보호하는 us-central1의 키) 프로젝트의 각 키는 이 권장사항과 일치하는 것으로 간주됩니다. 리전 키는 동일한 리전 내의 영역 리소스를 보호할 수 있습니다(예: us-central1a의 리소스를 보호하는 us-central1의 키).

다른 리전 또는 멀티 리전의 리소스를 보호하는 키(예: us-central1 리전의 Compute Engine 디스크를 보호하는 us 멀티 리전의 키)는 이 권장사항과 일치하지 않는 것으로 간주됩니다.

키가 이 권장사항과 일치하지 않는 경우 리소스 또는 키를 동일한 위치로 이동하거나 교체하는 것이 좋습니다. 위치에 대한 자세한 내용은 Cloud KMS 위치를 참고하세요.

회전

키를 정기적으로 순환하는 것은 정보 보안의 중요한 측면입니다. 예를 들어 일부 표준에서는 특정 일정에 따라 키를 순환해야 합니다. 민감한 워크로드를 보호하는 키는 더 자주 순환해야 할 수 있습니다. Cloud KMS를 사용하면 선택한 일정을 따르도록 키의 자동 키 순환을 설정할 수 있습니다.

프로젝트의 각 키에 회전 일정이 설정되어 있으면 이 권장사항과 일치하는 것으로 간주됩니다. 키가 자동 키 순환을 위해 설정되지 않은 경우 정렬되지 않음으로 간주됩니다.

자동 순환을 사용 설정하려면 다음 중 하나를 수행하세요.

업무분장

직무 분리는 사용자나 기타 주체에게 너무 많은 권한을 부여하지 않기 위한 보안 관행입니다. Cloud KMS 및 CMEK 통합의 맥락에서 이는 Cloud KMS 키를 유지관리하는 사용자에게 해당 키를 사용할 권한이 없어야 하며, 키를 사용하여 리소스를 암호화하고 복호화하는 주체에게 키에 대한 다른 권한이 없어야 함을 의미합니다.

다음 두 가지가 모두 참이면 프로젝트의 각 키가 이 권장사항과 정렬된 것으로 간주됩니다.

  • 보호된 리소스의 서비스 계정은 키에 대한 cloudkms.cryptoKeyVersions.useToEncryptcloudkms.cryptoKeyVersions.useToDecrypt 권한이 있는 유일한 주 구성원입니다.
  • 보호된 리소스의 서비스 계정에 roles/cloudkms.admin, roles/editor, roles/owner를 비롯하여 키에 대한 키 관리 권한을 부여하는 역할이 없습니다.

서비스 계정에 관리 권한이 있거나 다른 주 구성원에게 암호화 또는 복호화 권한이 있는 경우 키가 정렬되지 않음으로 간주됩니다.

키가 이 권장사항과 일치하지 않는 경우 키 및 기타 Cloud KMS 리소스의 IAM 역할 및 권한을 검토하고 필요하지 않은 역할 및 권한 부여를 삭제하세요. Cloud KMS 역할 및 역할에 포함된 권한에 대한 자세한 내용은 권한 및 역할을 참고하세요. Cloud KMS 리소스의 IAM 역할을 보고 삭제하는 방법에 대한 자세한 내용은 IAM으로 액세스 제어를 참고하세요.

제한사항

암호화 측정항목 대시보드에는 다음과 같은 제한사항이 있습니다.

  • 대시보드에는 한 번에 하나의 프로젝트에 대한 측정항목이 표시됩니다.
  • 대시보드에는 프로젝트당 리소스 또는 키가 10,000개로 제한됩니다. 프로젝트에 10,000개가 넘는 키가 포함되어 있거나 프로젝트의 키가 10,000개가 넘는 리소스를 보호하는 경우 일부 측정항목만 표시됩니다.
  • 대시보드는 Cloud 애셋 인벤토리 서비스의 데이터를 사용합니다. Cloud 애셋 인벤토리의 데이터가 오래된 경우 대시보드에 부정확하거나 불완전한 정보가 표시될 수 있습니다.
  • 대시보드에서는 키 정렬 및 CMEK 적용 범위에 대칭 키만 고려합니다.
  • 대시보드에서는 키 사용 추적을 지원하는 리소스만 고려합니다.
  • 키 정렬 측정항목은 추적 가능한 리소스를 보호하는 CMEK로 활성 상태로 사용되는 키, 다른 사용 사례에 활성 상태로 사용되는 키, 활성 키 버전이 없는 키를 구분하지 않습니다. 예를 들어 키 정렬 데이터에는 맞춤 애플리케이션에 사용되는 키가 포함될 수 있습니다.
  • 키 정렬 데이터에 추적할 수 없는 리소스와 맞춤 애플리케이션을 보호하는 키가 포함된 경우 이러한 키의 정렬 세부정보가 정확하지 않을 수 있습니다. 예를 들어 여러 프로젝트에서 여러 맞춤 애플리케이션에 사용되는 키는 키 세부사항 권장사항과 일치하지 않더라도 일치하는 것으로 표시될 수 있습니다.

다음 단계