고객 관리 암호화 키 소개
고객 관리 암호화 키 개요
Oracle NoSQL Database Cloud Service(NDCS)는 데이터 암호화 키를 사용하여 미사용 데이터를 암호화함으로써 보안 침해로부터 데이터를 보호합니다. 그런 다음 마스터 암호화 키를 사용하여 데이터 암호화 키가 암호화됩니다. 기본적으로 NDCS는 Oracle 관리 마스터 암호화 키를 사용합니다.
또한 NDCS를 사용하면 CMEK(Customer-Managed Encryption Key)라고 하는 자체 마스터 암호화 키로 데이터 암호화 키를 암호화할 수 있습니다. 이 기능을 사용하기 전에 전용 환경에서 CMEK를 사용으로 설정해야 합니다. CMEK용으로 구성된 전용 환경을 생성하는 경우 Oracle NoSQL Database는 OCI 블록 볼륨을 사용하여 사용자가 제어하는 마스터 암호화 키를 사용하여 데이터베이스 데이터를 저장하고 암호화합니다. 또한 환경 데이터의 백업은 OCI 객체 스토리지에 상주하며 마스터 키를 사용하여 암호화됩니다. 서비스 티켓을 높이려면 전용 호스팅 환경 요청을 참조하십시오.
고유의 마스터 암호화 키를 생성하고 관리합니다. NDCS는 OCI KMS(키 관리 서비스)를 사용하여 마스터 암호화 키를 Vault 내에 저장하고 해당 운영 상태를 관리합니다.
용어
- CMEK(고객 관리 암호화 키): 블록 볼륨 및 오브젝트 스토리지 키를 암호화하고 해독하는 데 사용되는 마스터 암호화 키입니다.
- 미사용 데이터: Oracle NoSQL Database에 저장된 데이터를 의미합니다.
- CMEK 전용 환경: 테넌시 전용으로 고객 관리 암호화 키를 사용하도록 구성된 Oracle NoSQL 환경입니다.
- 키 관리 서비스(KMS): 저장소 내에 키를 저장하고 관리하는 OCI 서비스입니다. KMS는 암호화 키의 중앙 집중식 관리 및 제어를 제공합니다.
- 키 순환: 키가 손상된 경우 위험을 완화하기 위해 이전 암호화 키를 새 키로 바꾸는 프로세스입니다.
- 블록 볼륨 서비스: 필요한 애플리케이션 요구 사항을 충족하기 위해 블록 스토리지를 동적으로 프로비저닝하고 관리할 수 있는 OCI 서비스입니다.
- 오브젝트 스토리지 서비스: 데이터를 위해 완전히 프로그래밍 가능하고 확장 가능하며 내구성이 우수한 클라우드 스토리지를 제공하는 OCI 서비스입니다.
- OCI Vault 서비스: 암호화 키 및 암호 관리를 위한 안전하고 중앙화된 위치를 제공하는 OCI 서비스입니다.
CMEK는 어떻게 작동합니까?
OCI Vault 서비스를 사용하면 테넌시에 저장소를 암호화 키 컨테이너로 생성할 수 있습니다. Vault에서 CMEK를 생성하면 고유한 OCID(Oracle Cloud ID)가 지정됩니다.
OCI 콘솔을 통해 전용 환경에 CMEK를 할당합니다. 블록 볼륨 서비스 및 오브젝트 스토리지 서비스는 CMEK를 사용하여 블록 볼륨 및 오브젝트 스토리지 키를 암호화합니다.
NDCS는 새 CMEK를 지정할 수 있도록 하여 키 순환을 지원합니다. 먼저 Vault에 새 키를 작성해야 합니다. 순환을 트리거하려면 OCI 콘솔에서 전용 환경의 새 키를 업데이트합니다. 새 CMEK로 회전해도 블록 볼륨 또는 오브젝트 스토리지에 저장된 데이터는 다시 암호화되지 않습니다. 블록 볼륨 및 오브젝트 스토리지 키만 다시 암호화합니다.
블록 볼륨 서비스 및 오브젝트 스토리지 서비스는 모든 데이터 작업을 관리합니다.
CMEK 생성
Oracle NoSQL Database Cloud Service는 OCI Vault 서비스와의 통합을 지원하여 Vault를 생성하고 KMS를 사용하여 Vault에서 CMEK를 생성, 저장 및 관리합니다. 저장소에 대한 자세한 내용은 Oracle Cloud Infrastructure 문서의 OCI Vault 항목을 참조하십시오.
먼저 OCI 콘솔에서 저장소를 생성한 다음 저장소에 CMEK를 생성해야 합니다.
자세한 내용은 Oracle Cloud Infrastructure 설명서의 저장소 생성 항목을 참조하십시오.
CMEK 생성:
CMEK를 만들 때 보호 모드, 알고리즘 및 길이를 지정합니다.
CMEK를 생성하려면 다음 단계를 수행하십시오. 자세한 내용은 Oracle Cloud Infrastructure 설명서의 마스터 암호화 키 생성 항목을 참조하십시오.
- 저장소 생성.
- 키 생성을 선택합니다.
주:
Oracle NoSQL Database Cloud Service는 단일 버전 키만 지원합니다.
CMEK를 만든 후 전용 환경에 지정합니다. 전용 환경의 블록 볼륨 서비스 및 오브젝트 스토리지 서비스는 CMEK의 OCID를 사용하여 내부적으로 CMEK에 액세스합니다.
Vault의 CMEK 수명 주기:
Vault는 다음 작업을 지원합니다.
- 생성: Vault에 CMEK를 작성합니다.
- Disabling/Enabling: CMEK의 사용을 제어하기 위해 CMEK를 사용 안함으로 설정하거나 사용으로 설정할 수 있습니다.
- 삭제: Vault에서 CMEK를 삭제할 수 있습니다. 삭제는 우발적 삭제를 방지하기 위해 대기 기간이 있는 2단계 프로세스입니다.
주:
이 대기 기간 동안 CMEK의 상태가 사용 안함으로 설정되었습니다.
CMEK 사용, 사용 안함으로 설정 및 삭제에 대한 자세한 내용은 CMEK Key Management Workflow를 참조하십시오.
CMEK 관리 작업
Oracle NoSQL Database Cloud Service는 전용 환경에서 CMEK의 작업을 관리합니다. 여기에는 전용 환경에 대한 CMEK 지정, CMEK 순환, 제거, 저장소에서 사용 안함으로 설정, 다시 사용으로 설정 및 삭제가 포함됩니다.
다음 표에서는 CMEK 관리와 관련된 작업에 대해 설명합니다. CMEK 키 관리 작업에 대한 자세한 내용은 CMEK Key Management Workflow를 참조하십시오.
표 - CMEK 관리 작업
| 사용자 작업 | NDCS 작업 |
|---|---|
|
CMEK 할당: OCI 콘솔에서 전용 환경에 CMEK를 할당합니다. |
|
| CMEK 순환: 전용 환경에서 CMEK를 업데이트합니다. |
|
| CMEK disable: 저장소에서 CMEK를 사용 안함으로 설정합니다. |
|
| CMEK 다시 사용으로 설정: 저장소에서 사용 안함으로 설정된 CMEK를 다시 사용으로 설정합니다. |
|
| CMEK 삭제: Vault에서 CMEK를 삭제합니다. |
|
| CMEK 제거: 전용 환경에서 CMEK를 지정 해제합니다. |
|
CMEK 액세스 제어
Oracle NoSQL Database Cloud Service는 Oracle Cloud Infrastructure Identity and Access Management(IAM)를 사용하여 Oracle 클라우드에 대한 보안 액세스를 제공합니다. OCI IAM을 사용하면 KMS 기능을 사용하기 위해 액세스 제어를 구현할 수 있습니다.
필요한 모든 작업에 대해 저장소, 블록 볼륨 및 오브젝트 스토리지의 CMEK에 액세스하기 위한 정책을 만들어야 합니다. 정책에 대한 자세한 내용은 Oracle Cloud Infrastructure 문서의 정책 작동 방식을 참조하십시오.
다음은 CMEK 사용에 대한 테넌시의 기본 IAM 정책 요구사항입니다.
-
필요한 컴파트먼트에서 CMEK를 사용하도록 블록 볼륨 액세스 권한을 부여하려면 다음과 같이 하십시오.
allow service blockstorage to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>설명
name_of_compartment:전용 환경의 컴파트먼트 이름입니다.key-ocid:CMEK의 OCID입니다. -
영역 및 컴파트먼트의 오브젝트 스토리지에 CMEK를 사용할 수 있는 액세스 권한을 부여하려면 다음을 수행합니다.
allow service objectstorage-<region> to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>설명
region:오브젝트 스토리지가 상주하는 지역입니다.name_of_compartment:전용 환경의 컴파트먼트 이름입니다.key-ocid:CMEK의 OCID입니다. -
Oracle NoSQL Database Cloud Service에 키 위임 CMEK에 대한 액세스 권한을 부여하려면 다음을 수행합니다.
NDCS와 같은 통합 서비스가 특정 컴파트먼트의 키를 사용하도록 허용하려는 경우 키 위임 권한을 추가합니다.allow service nosql-database-cloud to use key-delegate in compartment <name_of_compartment> where target.key.id = <key-ocid>설명
name_of_compartment:전용 환경의 컴파트먼트 이름입니다.key-ocid:CMEK의 OCID입니다. -
Oracle NoSQL Database Cloud Service에 CMEK를 읽을 수 있는 액세스 권한을 부여하려면 다음을 수행합니다.
allow service nosql-database-cloud to read keys in compartment <name_of_compartment> where target.key.id = <keyocid>설명
name_of_compartment:전용 환경의 컴파트먼트 이름입니다.key-ocid:CMEK의 OCID입니다.
CMEK 모니터 및 로깅
Oracle NoSQL Database Cloud Service는 전용 환경에서 모든 CMEK 관련 이벤트를 로깅하고 적절한 알림을 통해 경고를 로깅할 수 있도록 지원합니다.
OCI 감사 로그
Oracle NoSQL Database Cloud Service는 OCI Audit 서비스를 사용하여 모든 주요 상태 변경 사항을 기록합니다. 감사 로그 정보에는 다음이 포함됩니다.
- 상태 변경이 감지된 시간 기록입니다.
- CMEK의 이전 및 새 상태입니다. CMEK 수명 주기 관리에 대한 자세한 내용은 CMEK Key Management Workflow를 참조하십시오.
- 영향 받은 끝점입니다.
- 수행된 특수 작업입니다.
OCI 알람
Oracle NoSQL Database Cloud Service는 OCI 모니터링 서비스를 사용하여 측정지표 및 알람 기능을 사용하여 클라우드 리소스를 능동적이고 수동적으로 모니터링합니다. 다음 측정항목을 기반으로 OCI 알람을 설정할 수 있습니다.
표 - CMEK 측정항목 및 알람
| 측정항목 | 표시 이름 | 단위 | 설명 |
|---|---|---|---|
| EncryptionKeyStatus | 암호화 키 상태 | integer |
Oracle NoSQL Database Cloud Service에 표시되는 암호화 키의 상태입니다. 값이 0이면 암호화 키가 사용 안함으로 설정됩니다. 값이 1이면 암호화 키가 사용으로 설정되고 암호화/해독을 수행할 수 있습니다. Oracle 관리 키는 항상 1을 반환합니다. |
| EncryptionKeyType | 암호화 키 유형 | integer |
Oracle NoSQL Database Cloud Service에 지정된 암호화 키의 현재 유형입니다. 값이 0이면 Oracle 관리 키가 사용됩니다. 값이 1이면 CMEK가 대신 사용됩니다. |
OCI 콘솔
Oracle NoSQL Database Cloud Service는 OCI 통지 서비스를 사용하여 영향을 받는 전용 환경에 대한 OCI 콘솔의 중요 경보를 표시합니다.
다음과 같은 CMEK 관련 이벤트에 대한 알림을 받게 됩니다.
- 새 CMEK는 전용 환경에 지정됩니다.
- CMEK는 전용 환경에서 변경됩니다.
- CMEK가 전용 환경에서 제거됩니다.
- CMEK가 저장소에서 삭제되고 있으며 대기 기간에 있습니다.
- CMEK가 저장소에서 삭제됩니다.
- CMEK가 저장소에서 다시 사용으로 설정됩니다.
- 암호화 프로세스는 전용 환경에서 시작됩니다.
- 암호화 프로세스는 전용 환경에서 완료됩니다.
경보에는 다음이 포함됩니다.
- CMEK의 현재 상태입니다.
- 전용 환경을 사용할 수 없는 경우 사용할 수 없는 이유입니다.
CMEK 서비스 가용성
Oracle NoSQL Database Cloud Service는 Vault에서 CMEK 서비스 가용성을 모니터링하고 CMEK가 비활성화되거나 삭제될 때 적절한 조치를 적용합니다. NDCS는 CMEK 문제로 인해 전용 환경을 사용할 수 없거나 복구할 수 없을 때 명확한 오류 메시지와 로그를 제공합니다.
CMEK가 사용 안함으로 설정된 경우 Oracle NoSQL Database Cloud Service는 다음 작업을 트리거합니다.
- 전용 환경에 대한 모든 액세스를 즉시 사용 안함으로 설정합니다.
- 전용 환경에서 인스턴스를 종료합니다.
- 전용 환경에서 모든 모니터링을 사용 안함으로 설정합니다.
- 전용 환경의 블록 볼륨 및 오브젝트 스토리지의 데이터에 접근할 수 없도록 합니다.
CMEK 사용 안함으로 설정에 대한 자세한 내용은 CMEK Disable을 참조하십시오.
CMEK가 삭제되면 Oracle NoSQL Database Cloud Service는 다음 작업을 트리거합니다.
- 전용 환경을 복구 불가능으로 즉시 표시합니다.
- 전용 환경에서 인스턴스를 종료합니다.
- 전용 환경에서 모든 모니터링을 사용 안함으로 설정합니다.
- 영구적으로 종료되도록 전용 환경을 예약합니다.
CMEK 삭제에 대한 자세한 내용은 CMEK Delete를 참조하십시오.
CMEK가 다시 사용으로 설정된 경우 Oracle NoSQL Database Cloud Service는 다음 작업을 제안합니다.
- 자격 증명 모음에서 CMEK가 다시 사용으로 설정된 후 환경을 다시 온라인으로 설정하기 위한 CAM 티켓을 마련해야 합니다.
CMEK를 다시 사용으로 설정하는 방법에 대한 자세한 내용은 CMEK Restore을 참조하십시오.