GKE의 FIPS 검증 암호화 정보

---

이 페이지에서는 Trusted Cloud에서 실행되는 GKE 클러스터를 통해 데이터를 처리하고 전송할 때 Trusted Cloud by S3NS 및 Google Kubernetes Engine(GKE)이 연방 정보 처리 표준(FIPS)을 준수하는 방법을 설명합니다.

이 페이지는 FIPS와 관련된 엄격한 데이터 보안 및 개인 정보 보호 요구사항을 충족하려는 보안 관리자, 보안 엔지니어, 규정 준수 담당자를 대상으로 합니다. 이 페이지는 Trusted Cloud 기반 GKE에서 기본적으로 데이터 보안을 위해 FIPS 검증 보호 조치를 구현한다는 것을 감사자에게 보여주어야 하는 경우에도 유용합니다.

GKE의 FIPS 검증 암호화 관련 주요 사항

• 전송 중(SC-28) 및 저장(SC-8(1)) 데이터 암호화에 관한 FedRAMP® 보안 제어를 준수하려면 FIPS 140-2 검증 암호화 모듈 또는 그 이상을 사용하여 데이터를 암호화해야 합니다. 이러한 보안 제어는 운영체제(OS) 수준에서 'FIPS 모드'를 사용 설정하도록 명시적으로 요구하지 않습니다. 또한 OS 수준의 FIPS 모드가 규정 준수를 보장하는 것은 아닙니다.
• FedRAMP 승인 Trusted Cloud 시스템에 저장된 데이터는 기본적으로 FIPS 140-2 검증 암호화 모듈 또는 그 이상을 사용하여 저장 상태에서 암호화됩니다. 데이터가 이러한 승인된 시스템에 저장되어 있는 한 데이터는 저장 데이터 보호에 관한 FedRAMP 요구사항(보안 제어 SC-28)을 충족합니다. 승인된 시스템 목록은 범위 내 FedRAMP 높음 서비스를 참조하세요.
• Trusted Cloud가상 프라이빗 클라우드(VPC) 네트워크 내에서 전송하는 데이터는 자동으로 암호화되며 인증 및 승인 메커니즘으로 보호됩니다. VPC는 FedRAMP 높음에서 승인됩니다. 데이터가 Trusted Cloud VPC 네트워크 내에서 전송되는 한 데이터는 전송 중인 데이터 보호에 관한 FedRAMP 요구사항(보안 제어 SC-8(1))을 충족합니다.
• 저장 및 전송 중 데이터 보호에 관한 FedRAMP 요구사항을 충족하기 위해 FIPS 준수 빌드 프로세스를 사용하여 애플리케이션을 빌드할 필요는 없습니다. 이는Trusted Cloud VPC 네트워크 내에서 전송되고 FedRAMP 승인 Trusted Cloud 스토리지 시스템에 저장된 데이터가 기본적으로 데이터 보호를 위해 이러한 FedRAMP 요구사항을 준수하여 보호되기 때문입니다.

FIPS 및 FedRAMP 정보

연방 위험 및 인증 관리 프로그램(FedRAMP)은 클라우드 기술에 대한 보안 및 위험 평가에 대한 표준화된 접근 방식을 정의하는 미국 정부 프로그램입니다. GKE는 FedRAMP 높음 잠정적 운영 권한(P-ATO)이 있는Trusted Cloud 서비스 목록에 포함되어 있습니다. Trusted Cloud FedRAMP P-ATO에 관한 자세한 내용은 Trusted Cloud FedRAMP 개요를 참조하세요.

FIPS는 미국 국립표준기술연구소(NIST)에서 공개적으로 발표한 표준 집합입니다. FIPS 간행물 140-2에서는 암호화 모듈 승인 요구사항을 정의합니다. 자세한 내용은 NIST의 FIPS 140-2를 참조하세요.

FedRAMP 높음 P-ATO에는 FIPS 검증 암호화 모듈을 사용한 전송 중(SC-8(1)) 및 저장(SC-28(1)) 데이터 보호를 위한 제어가 포함됩니다.

GKE의 기본 FIPS 검증 데이터 보호

다음 섹션에서는 Trusted Cloud 및 GKE가 FIPS 검증 암호화를 구현하여 저장 데이터와 전송 중인 데이터를 보호하는 방법을 설명합니다. 이 정보는 Trusted Cloud 영업팀,Trusted Cloud 담당자 또는 정부 고객인 경우 Trusted Cloud FedRAMP 프로그램 관리 사무국에서 요청할 수 있는 Trusted Cloud 시스템 보안 계획(SSP)에 자세히 설명되어 있습니다. 자세한 내용은 Trusted Cloud FedRAMP 규정 준수를 참조하세요.

저장 데이터에 대한 FIPS 검증 데이터 보호

GKE 데이터는 BoringCrypto라는 FIPS 140-2 검증Trusted Cloud 암호화 모듈을 사용하여 저장 중에 암호화됩니다. 자세한 내용은 Trusted Cloud의 FIPS 140-2 검증을 참조하세요.

저장 데이터 암호화에 관한 자세한 내용은 다음 리소스를 참조하세요.

• 기본 저장 데이터 암호화
• FedRAMP P-ATO 범위 내의 Google Cloud 서비스
• NIST 800-57: 키 관리 권장사항
• NIST BoringCrypto 모듈 검증
• 사용자 관리 암호화 키로 GKE에서 전송 중 데이터 암호화

전송 중 FIPS 검증 데이터 보호

Trusted Cloud VPC에는 FedRAMP 높음 P-ATO가 있습니다. VPC 네트워크 내에서 전송하는 모든 데이터는 자동으로 암호화됩니다. GKE에서 이는 컨테이너, 포드, 각 노드의 kubelet 프로세스, 모든 노드, 컨트롤 플레인 인스턴스, VPC 내의 기타 Trusted Cloud 서비스 간 모든 트래픽이 전송 중에 보호된다는 것을 의미합니다. Google API에 대한 모든 연결은 전송 계층 보안(TLS) 1.2 이상을 사용하여 네트워크 트래픽을 암호화합니다. Trusted Cloud VPC 네트워크 내에서 전송 중인 데이터 보호를 위해 FIPS를 준수하는 데 필요한 추가 조치를 취하지 않아도 됩니다.

전송 중 데이터가 암호화되는 방식에 관한 자세한 내용은 전송 중인 데이터 암호화 백서를 참조하세요.

Trusted Cloud외부 데이터 보호를 위한 권장사항

GKE 및Trusted Cloud 의 전송 중 데이터 기본 암호화는 Trusted Cloud VPC 네트워크 내에서만 적용됩니다. VPC 네트워크 경계 외부의 데이터를 보호하려면 FIPS 준수 암호화를 사용해야 합니다. 다음 권장사항을 따르면 전송 중인Trusted Cloud FIPS 환경 외부의 모든 수신 및 발신 데이터가 FIPS 규정을 준수하는 암호화로 암호화됩니다.

인터넷에서 들어오는 트래픽 가로채기 및 암호화

인터넷에서 Trusted Cloud 환경으로 수신되는 트래픽의 경우 Trusted Cloud 부하 분산기에서 SSL 정책을 사용하여 데이터가 Trusted Cloud 환경에 들어올 때 보호해야 하는 FIPS 검증 암호화 또는 메커니즘의 허용되는 집합을 정의합니다. 자세한 내용은 다음 리소스를 참조하세요.

• SSL 및 TLS 프로토콜을 위한 SSL 정책
• 커스텀 프로필로 SSL 정책 만들기
• 프록시 부하 분산기와 백엔드 간의 암호화

인터넷에 대한 아웃바운드 트래픽 가로채기 및 암호화

방화벽을 구성하여 신뢰할 수 있는 알려진 서드 파티 집합으로 아웃바운드 데이터 연결을 제한하는 경계를 정의합니다. GitHub와 같은 소스에서 데이터를 가져오는 것과 같은 외부 네트워크 요구사항과 이러한 외부 연결이 환경 내에서 발생하는 위치를 다이어그램으로 표시하고 문서화합니다. 리버스 프록시를 사용하여 VPC에서 아웃바운드 트래픽을 가로채는 것이 좋습니다.

FedRAMP 준수Trusted Cloud 환경의 경계를 벗어나는 HTTP 트래픽이 있는 경우 데이터가 환경을 벗어나기 전에 가로채도록 HTTP 전달 프록시를 설정하는 것이 좋습니다. 데이터가 경계를 벗어나도록 허용하기 전에 FIPS 140-2 검증 암호화 모듈을 사용하여 데이터를 다시 암호화합니다. 이 접근 방식은 모든 내부 클라이언트가 외부 통신에 규정을 준수하는 암호화 라이브러리를 사용하도록 하는 것보다 규모에 맞춰 관리하기 쉽습니다.

비공개 노드 사용 설정

GKE를 사용하면 클러스터의 새 노드에 대한 외부 IP 주소를 사용 중지하여 노드에서 실행되는 워크로드가 기본적으로 인터넷과 통신할 수 없게 할 수 있습니다. http_proxy 또는 https_proxy 환경 변수를 사용하여 구성된 HTTP 프록시로 모든 트래픽을 전송합니다.

라우팅 규칙을 사용하여 이 트래픽을 더 투명하게 가로챌 수 있습니다. 하지만 TLS 트래픽을 프록시하기 때문에 프록시는 GKE에서 실행되는 애플리케이션에 완전히 투명할 수는 없습니다.

자세한 내용은 다음 리소스를 참조하세요.

• 네트워크 격리에 대한 정보
• 컨트롤 플레인 및 노드에 대한 네트워크 액세스 제한

GKE에 대한 네트워크 계층 연결에 Cloud VPN 사용

GKE 클러스터에 암호화된 네트워크 계층 연결이 필요한 경우가 있습니다. 예를 들어 GKE 노드와 온프레미스 노드 간에 FIPS 준수 네트워킹을 설정해야 할 수 있습니다. Cloud VPN은 VPC 네트워크와 온프레미스 네트워크 간에 전송 중인 데이터를 암호화하는 FedRAMP 높음 승인 서비스를 제공합니다. 자세한 내용은 Cloud VPN 개요를 참조하세요.

암호화 작업에 Cloud KMS 사용

Trusted Cloud환경에서 암호화 작업을 실행해야 하는 경우 Cloud Key Management Service를 사용하세요. Cloud KMS는 FedRAMP 높음 승인 서비스를 제공합니다. Cloud KMS를 사용하면 FIPS 140-2 Level 1 또는 Level 3를 준수하는 암호화 작업을 실행할 수 있습니다. 자세한 내용은 다음 리소스를 참조하세요.

• 키 백엔드 및 보호 수준
• 원시 대칭 암호화

GKE 워크로드에서 FIPS 검증 라이브러리 빌드

GKE 애플리케이션에서 BoringCrypto 암호화 모듈을 사용하려면 BoringSSL을 설치하세요. BoringSSL은 BoringCrypto 라이브러리를 포함하는 OpenSSL의 오픈소스 포크입니다. BoringCrypto 모듈을 빌드, 컴파일, 정적으로 BoringSSL에 연결하려면 BoringCrypto FIPS 140-2 보안 정책 PDF의 12.1 '설치 안내' 섹션을 참조하세요.

서드 파티 FIPS 준수 컨테이너 이미지 고려

FIPS 준수Trusted Cloud 환경의 경계에서 프록시를 사용하여 FIPS 규정을 포괄적으로 적용하는 것이 좋습니다. FIPS 준수 커널이 있는 노드 호스트 머신으로 제한되지 않고 FIPS 준수 워크로드를 실행할 수도 있습니다. 일부 서드 파티 공급업체는 별도의 FIPS 준수 엔트로피 소스를 사용하는 컨테이너 이미지를 제공합니다.

서드 파티 공급업체의 구현을 적절히 평가하여 실제로 FIPS를 준수하는지 확인해야 합니다.

다음 단계

• Trusted Cloud FedRAMP 구현 가이드 읽기
• 조직 정책 제약조건을 사용하여 TLS를 버전 1.2로 제한