OCI API Gateway 없이 Thales CipherTrust Manager를 사용하여 OCI Hold Your Own Key 설정

소개

이 사용지침서에서는 OCI(Oracle Cloud Infrastructure) API 게이트웨이 옵션을 사용하지 않고도 Thales CipherTrust Manager(CTM)와 함께 HYOK(자체 키 유지)를 설정하는 단계별 지침을 제공합니다. 이 접근 방식을 사용하면 암호화 키를 완전히 제어하면서 외부 키 관리를 지원하는 OCI 서비스와의 통합을 사용으로 설정할 수 있습니다.

이미지

전체 구성을 살펴보고, OCI에서 네트워크 아키텍처를 검토하고 애플리케이션 통합을 설정한 다음, 프라이빗 엔드포인트를 통해 Oracle Cloud Infrastructure External Key Management Service(OCI External Key Management Service)와 직접 통신하도록 Thales CipherTrust Manager를 구성합니다. 이 사용지침서에는 ID 제공자, OCI 테넌시, 외부 저장소 및 키의 생성 및 등록과 이러한 외부 키를 사용한 고객 관리 객체 스토리지에 대한 액세스 테스트도 포함됩니다.

이 튜토리얼을 마치면 완전한 운영형 HYOK 설정을 통해 중간 OCI API 게이트웨이 없이도 Thales CipherTrust Manager에서 호스팅되는 외부 관리형 키를 사용해 OCI 리소스에 대한 액세스를 암호화하고 제어할 수 있습니다.

이미지

참고: 이 자습서에서는 Thales CipherTrust Cloud Key Manager(CCKM)와 Thales CipherTrust Manager(CTM)라는 용어가 서로 바꿔서 사용됩니다. 둘 다 동일한 제품을 의미합니다.

이 사용지침서는 OCI에서 두 개의 Thales CipherTrust Cloud Key Manager Appliance 설정, 클러스터 생성 및 인증 기관으로 하나 구성 자습서에 설정된 technical foundation을 기반으로 합니다.

OCI API 게이트웨이와 함께 Thales CipherTrust Manager 옵션을 사용하여 HYOK(Hold Your Own Key)를 구현하려면 다음 자습서를 따르십시오. OCI API Gateway와 함께 CipherTrust Manager를 사용하여 OCI Hold Your Own Key 설정.

목표

이미지

다음 이미지는 이 자습서의 모든 단계를 설정하는 구성요소 및 구성을 보여줍니다.

이미지

작업 1: 클라우드 네트워크 구조 검토

Thales CipherTrust Manager를 사용하여 HYOK(Hold Your Own Key)를 구성하는 기술적 단계를 자세히 살펴보기 전에 이 설정이 상주하는 클라우드 네트워크 아키텍처를 이해하는 것이 중요합니다.

이 시나리오에서는 세 개의 OCI 리전이 사용됩니다.

원격 피어링 접속(RPC)을 사용하여 시뮬레이션된 두 온프레미스 데이터 센터 간의 접속이 설정됩니다. 그러나 이 사용지침서에서는 VPN 설정, RPC 구성 및 허브 앤 스포크 VCN 구조 세부 사항이 범위를 벗어난 것으로 간주되며 다루지 않습니다.

이 자습서에서는 시뮬레이션된 온프레미스 데이터 센터 중 하나인 암스테르담(AMS) 지역에 배포된 Thales CipherTrust Manager를 사용하여 HYOK를 설정하는 데 중점을 둡니다. 모든 키 관리 작업은 이 Thales CipherTrust Manager 인스턴스에서 수행됩니다.

외부 키 관리자 프라이빗은 OCI가 외부 Thales CipherTrust Manager와 안전하게 통신할 수 있도록 하며 기본 OCI 리전의 스포크 VCN 중 하나에 배포됩니다. 따라서 공용 인터넷에 트래픽을 노출하지 않고도 OCI 서비스와 외부 키 관리자 간의 안전한 직접 통신 경로를 보장합니다.

이 아키텍처는 잘 정의된 보안 네트워크 경계 내에서 키 관리를 격리함으로써 OCI의 민감한 워크로드에 대한 강력한 보안 및 규제 준수 상태를 지원합니다.

다음 그림은 전체 구조를 보여줍니다.

이미지

작업 2: 기밀 리소스 응용 프로그램 생성 및 기밀 클라이언트 응용 프로그램 연결(응용 프로그램 통합) 및 OCI에서 클라이언트와 암호 수집

Thales CipherTrust Manager와의 HYOK 통합을 사용으로 설정하려면 OCI와 외부 키 관리자 간에 신뢰를 설정해야 합니다.

이는 OCI IAM(Identity and Access Management)에서 기밀 리소스 애플리케이션기밀 클라이언트 애플리케이션의 두 가지 주요 구성요소를 등록하여 수행됩니다. 이는 OCI와 Thales CipherTrust Manager 간의 통신을 인증하고 승인하는 데 필수적입니다.

이 설정을 통해 Thales CipherTrust Manager는 OAuth 2.0을 통해 OCI IAM을 인증할 수 있습니다. 기밀 클라이언트는 외부 키 관리자를 대신하여 작동하며 기밀 리소스는 액세스 및 신뢰 구성의 범위를 정의합니다. OCI는 이러한 구성요소가 없으면 외부 키 소스와 검증하거나 안전하게 통신할 수 없습니다.

다음 이미지는 이 단계의 구성 요소 및 구성 설정을 보여줍니다.

이미지

참고:

작업 3: OCI에서 ID 도메인 URL 수집

OCI와 Thales CipherTrust Manager 간의 OAuth 기반 통신을 사용으로 설정하려면 Thales CipherTrust Manager에서 ID 제공자를 구성하는 동안 ID 도메인 URL을 제공해야 합니다.

작업 4: Thales CipherTrust Manager에서 ID 제공자 생성

이 작업에서는 Thales CipherTrust Manager에서 ID 제공자를 구성합니다. 이 설정을 통해 Thales CipherTrust Manager는 태스크 3에서 생성된 OAuth 2.0 인증서를 사용하여 OCI로 인증할 수 있습니다.

다음 이미지는 이 태스크의 구성요소 및 구성 설정을 보여줍니다.

이미지

작업 5: Thales CipherTrust Manager에 OCI 테넌시 추가

Thales CipherTrust Manager에서 ID 제공자를 구성한 후 다음 작업은 OCI 테넌시를 등록합니다. 이를 통해 Thales CipherTrust Manager는 이전에 구성된 OAuth 자격 증명을 사용하여 OCI 환경 대신 외부 저장소 및 키를 관리할 수 있습니다.

다음 이미지는 이 작업에서 설정된 구성 요소 및 구성을 보여줍니다.

이미지

작업 6: OCI에서 External Key Manager Service에 대한 프라이빗 끝점 생성

공용 인터넷에 트래픽을 노출하지 않고 OCI를 Thales CipherTrust Manager에 안전하게 연결하려면 OCI External Key Management Service에 대한 Private Endpoint를 생성해야 합니다.

이를 통해 OCI와 Thales CipherTrust Manager 간의 모든 통신이 제어되는 전용 네트워크 경로를 통해 이루어집니다.

다음 필요 조건이 충족되었는지 확인하십시오.

다음 이미지는 이 태스크의 구성요소 및 구성 설정을 보여줍니다.

이미지

작업 7: Thales CipherTrust Manager에서 외부 저장소 추가

OCI 테넌시 및 프라이빗 엔드포인트를 사용하면 다음 작업은 Thales CipherTrust Manager에 외부 저장소를 추가하는 것입니다. Thales CipherTrust Manager의 외부 저장소는 OCI의 외부 키 관리 저장소에 매핑되는 논리적 컨테이너로, Thales CipherTrust Manager가 HYOK 암호화에 사용되는 키를 관리할 수 있게 해줍니다.

다음 이미지는 이 태스크의 구성요소 및 구성 설정을 보여줍니다.

이미지

구성된 후에는 이 저장소가 OCI 서비스에서 참조할 외부 키를 저장하기 위한 대상 위치가 됩니다. OCI 환경과 CipherTrust 관리 키를 연결하여 HYOK 모델에서 암호화 작업을 완벽하게 제어할 수 있습니다.

작업 8: OCI 외부 키 관리 서비스 저장소 생성

이제 외부 저장소가 Thales CipherTrust Manager에 정의되었으므로 다음 작업은 OCI 콘솔에 해당 외부 키 관리 저장소를 생성하는 것입니다.

이 OCI 저장소는 Thales CipherTrust Manager에 연결되며 OCI 서비스에서 외부 키를 사용하여 암호화 및 암호 해독 작업을 수행하는 데 사용됩니다.

다음 이미지는 이 태스크의 구성요소 및 구성 설정을 보여줍니다.

이미지

이제 OCI가 지정된 프라이빗 끝점을 사용하여 Thales CipherTrust Manager에 접속합니다. 이 저장소가 활성화되면 OCI가 CCKM에서 관리하는 외부 키와 상호 작용하는 인터페이스가 되어 OCI Object Storage, OCI Block Volumes 등과 같은 OCI 서비스에 대한 HYOK 지원을 활성화합니다. 나중에 OCI Object Storage로 몇 가지 테스트를 수행할 예정입니다.

작업 9: Thales CipherTrust Manager에 외부 키 추가

다음 작업은 Thales CipherTrust Manager에서 외부 저장소를 설정하고 OCI에 연결하여 OCI가 HYOK 지원 서비스에 사용할 외부 암호화 키를 생성하거나 임포트하는 것입니다.

이러한 키는 Thales CipherTrust Manager 내에 안전하게 상주하며 외부 키 관리 인터페이스를 통해 OCI에서 참조됩니다. 조직 요구 사항에 따라 Thales CipherTrust Manager 내에서 직접 새 키를 생성하거나 기존 키를 가져올 수 있습니다.

다음 이미지는 이 태스크의 구성요소 및 구성 설정을 보여줍니다.

이미지

키가 추가되면 외부 키 관리 저장소를 통해 OCI에서 키를 사용할 수 있게 됩니다. 그러나 OCI 서비스가 키를 사용하도록 허용하려면 OCI 콘솔에서 키 참조를 생성해야 합니다. 이 참조는 다음 작업에서 다룰 것입니다.

참고:

작업 10: OCI에서 주요 참조 생성

외부 키가 생성되거나 Thales CipherTrust Manager로 임포트되면 다음 작업은 OCI 콘솔에서 키 참조를 생성하는 것입니다. 키 참조는 OCI 서비스가 외부 키 관리 저장소를 통해 Thales CipherTrust Manager에 저장된 외부 키에 액세스하고 사용할 수 있게 해주는 포인터 역할을 합니다.

다음 이미지는 이 태스크의 구성요소 및 구성 설정을 보여줍니다.

이미지

이제 OCI는 이 키 참조를 Thales CipherTrust Manager에서 관리되는 외부 키와 연관시킵니다. 이를 통해 OCI Object Storage, OCI Block Volumes 등의 OCI 서비스는 프라이빗 엔드포인트를 통해 외부 키로 암호화 요청을 전송할 수 있습니다. 대조적으로, 핵심 자료 자체는 전적으로 귀하의 통제하에 남아 있습니다.

OCI Object Storage 버킷에 키 참조를 첨부하여 통합이 예상대로 작동하는지 확인하는 방식으로 키 참조를 즉시 테스트합니다.

작업 11: 고객 관리 키로 OCI Object Storage 버킷 생성

OCI에서 참조된 외부 키를 사용하여 리소스를 암호화할 수 있습니다. 이 작업에서는 외부 키 관리 저장소를 통해 Thales CipherTrust Manager에서 호스팅되는 외부 고객 관리 키를 사용하는 OCI Object Storage 버킷을 생성합니다.

이 설정을 통해 버킷에 저장된 모든 객체가 완전히 제어되는 키(엄격한 규정 준수, 주권 또는 내부 정책 요구사항 충족)를 사용하여 암호화됩니다.

다음 이미지는 이 태스크의 구성요소 및 구성 설정을 보여줍니다.

이미지

버킷이 생성되면 버킷에 저장된 모든 데이터는 Thales CipherTrust Manager에서 관리하는 외부 키를 사용하여 암호화됩니다. 이를 통해 OCI는 액세스 및 제어를 위해 주요 인프라를 사용하므로 HYOK(Hold Your Own Key) 기능을 완벽하게 사용할 수 있습니다.

외부 키를 사용할 수 없게 된다고 가정합니다(예: Thales CipherTrust Manager에서 사용 또는 차단됨). 이 경우 버킷 및 해당 콘텐츠에 대한 액세스가 거부되어 데이터 보안 상태를 위한 강력한 제어 지점을 제공합니다. 이것은 우리가 다음 작업에서 테스트 할 것입니다.

태스크 12: Oracle 키 차단 및 차단 해제, Thales CipherTrust Manager 및 OCI에서 OCI Object Storage Bucket 접근성 테스트

HYOK(Hold Your Own Key) 모델의 주요 이점 중 하나는 언제든지 키를 차단 또는 차단 해제할 수 있는 기능을 포함하여 암호화 키에 대한 완전한 운영 제어를 유지하는 기능입니다. 이 섹션에서는 Thales CipherTrust Manager를 사용하여 외부 키를 차단하거나 차단 해제하여 Oracle이 관리하는 오브젝트 스토리지 버킷에 대한 액세스를 제어하는 방법을 설명합니다.

키를 차단하면 키나 데이터를 삭제하지 않고 해당 키로 암호화된 모든 OCI 리소스에 대한 액세스가 효과적으로 제한됩니다. 차단을 해제하면 액세스가 복원됩니다.

이미지

이미지

이제 Thales CipherTrust Manager의 키를 다시 차단 해제합니다.

아래 다이어그램은 이 작업의 구성 요소 및 구성 설정을 보여줍니다.

이미지

이 기능은 비상 대응, 규제 준수 및 데이터 주권 시행을 위한 강력한 메커니즘을 제공하므로 OCI에서 데이터에 액세스하는 시기와 방법에 대한 완벽한 제어를 유지할 수 있습니다.

다음 단계

이 자습서에서는 OCI API Gateway 옵션에 의존하지 않고 Thales CipherTrust Manager를 사용하여 OCI Hold Your Own Key 설정을 완료했습니다. ID 통합 및 네트워킹 구성에서 외부 저장소 및 키 배포에 이르는 단계에 따라 암호화 키를 완벽하게 제어할 수 있는 보안 및 호환 키 관리 아키텍처를 사용할 수 있습니다.

이 설정은 OCI Object Storage와 같은 OCI 서비스가 암호화 작업을 위해 외부에서 관리되는 키를 사용하는 반면, 키 자료는 전적으로 사용자의 거버넌스 하에 유지되도록 보장합니다. 또한 Thales CipherTrust Manager 내에서 주요 상태를 토글하여 클라우드 리소스에 대한 액세스를 차단하고 차단 해제하는 기능을 통해 HYOK가 얼마나 강력한지 확인했습니다.

OCI API Gateway를 사용하지 않으면 프라이빗 네트워킹 및 OAuth 기반 ID 신뢰를 통해 보안 경계를 강화하면서 아키텍처를 간소화할 수 있습니다.

이제 엔터프라이즈 보안 정책, 규제 준수 및 데이터 주권 요구 사항을 지원하는 프로덕션 준비 HYOK 구현을 통해 클라우드 암호화 전략을 완벽하게 제어할 수 있습니다.

승인

추가 학습 자원

docs.oracle.com/learn에서 다른 랩을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.