Key Management FAQ

개요
FAQ

FAQ 주제

일반적인 질문
Vault
전용 키 관리 서비스
외부 키 관리 서비스

일반적인 질문

Oracle Cloud Infrastructure Key Management Service(KMS)가 무엇인가요?

Oracle Cloud Infrastructure(OCI) Key Management Service(KMS)는 OCI에 저장된 데이터를 위한 중앙화된 관리 기능 및 암호화 키의 제어 권한을 제공하는 클라우드 기반 서비스입니다. OCI KMS는 고객 관리형 암호화 기능이며, 다음과 같은 서비스를 제공합니다:

OCI Vault: OCI Vault는 Oracle이 HSM을 관리하는 동안 OCI 하드웨어 보안 모듈(HSM) 내에 호스팅된 키를 제어할 수 있게 해 주는 고객 관리형 암호화 서비스입니다. OCI Vault는 다음과 같은 옵션을 제공합니다:
- Virtual Vault: Virtual Vault는 멀티테넌트 암호화 서비스로, 키는 다른 고객들의 키를 함께 호스트하는 HSM 파티션에 저장됩니다. OCI Vault의 기본 암호화 서비스입니다.
- Private Vault: Private Vault는 싱글 테넌트 암호화 서비스로, 테넌시 내에 격리된 전용 코어를 갖춘 전용 HSM 파티션에 키가 저장됩니다.
OCI Dedicated KMS: 출시 예정인 OCI Dedicated KMS는 싱글 테넌트 서비스형 HSM 파티션으로, 암호화 키의 저장 및 관리를 위한 완전 격리된 환경을 제공합니다. Private Vault와 OCI Dedicated KMS의 차이는 HSM 파티션의 제어 방식에 있습니다. OCI Dedicated KMS를 사용하면 HSM 파티션의 소유권을 제어 및 주장할 수 있고, PKCS#11과 같은 표준 인터페이스를 사용해 암호화 작업을 수행할 수 있습니다. Oracle은 보안 및 펌웨어 패칭을 위해 여전히 이 HSM 파티션들을 관리합니다.
OCI External KMS: External KMS는 OCI 서비스 내 데이터 보호에 자체 서드파티 키 관리 시스템을 사용할 수 있게 해 줍니다. 사용자가 OCI 외부에서 키와 HSM을 제어할 수 있고, 해당 HSM의 어드민 및 관리 용이성의 책임 역시 사용자에게 있습니다. 마스터 키는 항상 OCI 외부에 저장되며, 절대 OCI External KMS로 임포트되지 않기 때문에 암호화 및 암호 해독 작업 역시 OCI 외부에서 수행됩니다.

OCI 암호화 오퍼링에 대한 보다 자세한 내용은 이 블로그에서 확인할 수 있습니다.

OCI KMS가 충족하는 보안 및 규정 준수 요구 사항은 무엇인가요?

OCI KMS는 FIPS(Federal Information Processing Standards) 140-2 보안 레벨 3 보안 인증을 충족하는 HSM을 사용하여 사용자의 키를 보호합니다. FIPS 인증서는 NIST Cryptographic Module Validation Program(CMVP) 웹사이트에서 확인할 수 있습니다.

OCI KMS는 PCI DSS 3.2.1(주로 3.5 및 3.6 섹션에서 참조됨)의 암호화 및 키 관리 요구 사항 충족을 돕기 위한 기능 및 보안 제어를 통해 검증되었습니다.

OCI KMS가 지원하는 기능 또는 변수는 무엇인가요?

OCI KMS는 사용자가 직접 키를 제어하고, OCI 서비스 내 데이터에 필요한 보안을 확보할 수 있도록 다양한 기능을 지원합니다. 다음은 OCI KMS 내 다양한 서비스 전반의 핵심 기능에 대한 변수 매트릭스입니다.

기능	Virtual Vault	Private Vault	Dedicated KMS	External KMS
FIPS 140-2 Level 3 HSM	해당	해당	해당	외부
대칭(AES) 암호화	해당	해당	해당	해당
비대칭(RSA 및 ECDSA) 암호화	해당	해당	해당	해당 없음
소프트웨어 키	해당	해당	해당 없음	외부
백업/복원	해당 없음	해당	해당	해당 없음
리전 간 복제	출시 예정	해당	해당 없음	해당 없음
Bring Your Own Key	해당	해당	해당	외부
OCI 서비스 통합(스토리지, 데이터베이스, SaaS)	해당	해당	해당 없음	해당
자동 키 로테이션	출시 예정	출시 예정	해당 없음	해당 없음
감사 로그	해당	해당	해당	해당
예정된 삭제	해당	해당	해당	해당

Oracle이 한 리전 내에서 키의 고가용성을 제공하는 방식은 무엇인가요? 내 키는 어떤 지리적 리전에 저장되나요?

Oracle은 노드 클러스터와 HSM을 사용하여 키의 생성 리전과 동일한 리전에 키의 복제본을 저장합니다. 이를 통해 우리는 키 관리에 관한 99.9%의 서비스 수준 계약(SLA)과 99.99%의 서비스 수준 목표(SLO)를 제공할 수 있습니다. Oracle PaaS 및 IaaS 퍼블릭 클라우드 서비스 핵심 문서를 참고하세요.

키는 생성된 리전에서만 저장 및 사용될 수 있습니다. 규정 준수 또는 DR 요구 사항 충족을 위해 영역 내 다른 리전에 키를 백업/복제하고 싶다면 리전 간 백업을 사용해 키를 복원하거나 리전 간 복제를 수행할 수 있습니다.

OCI KMS와 Oracle Key Vault(OKV)는 어떻게 다른가요?

OCI KMS는 Oracle이 모든 클라우드 애플리케이션에 권장하는 클라우드 네이티브 키 관리 서비스입니다. OCI KMS는 스토리지, 데이터베이스 및 FA와 같은 SaaS 서비스와 관련된 다양한 OCI 서비스에 기본적으로 통합되어 있습니다. Oracle Cloud 내에서의 중앙화된 키 관리 방식 및 모든 클라우드 애플리케이션을 위한 사용량 기반 과금 구조의 관리형 서비스를 찾고 있다면, Oracle은 OCI KMS를 추천합니다.

Oracle Key Vault는 Oracle이 제공하는 또 하나의 키 관리 제품입니다. Oracle Key Vault는 온프레미스(Oracle Exadata Cloud@Customer 및 Oracle Autonomous Database—Dedicated 포함) 및 OCI 모두에서 실행되는 TDE 지원 Oracle 데이터베이스에 대한 키 관리는 물론 암호화 된 Oracle GoldenGate 추적 파일 및 암호화된 Oracle Automatic Storage Management Cluster 파일 시스템에 대한 키 관리도 제공합니다.

OCI KMS는 어떤 OCI 리전에 존재하나요? 그리고 OCI KMS용 리소스는 어디에서 찾을 수 있나요?

OCI KMS는 정부, EU Sovereign Cloud, Oracle National Security Regions 및 OCI Dedicated Region Cloud@Customer를 포함한 모든 OCI 리전 및 영역에서 이용 가능합니다. Oracle의 설명서 및 블로그에서 리전 가용성 및 OCI KMS 오퍼링에 대한 더 자세한 내용을 확인할 수 있습니다.

Vault

OCI Vault가 무엇인가요?

OCI Vault는 하드웨어 프로비저닝, 소프트웨어 패칭 등 고가용성 달성에 필요한, 시간이 많이 걸리는 관리 작업에 대한 걱정 없이 데이터 암호화 니즈에만 집중할 수 있게 해 주는 안전하고, 탄력적인, 완전 관리형 서비스입니다. Vault는 FIPS(Federal Information Processing Standards) 140-2 보안 레벨 3 보안 인증을 충족하는 HSM을 사용하여 사용자의 키를 보호합니다. OCI Vault는 Oracle의 네이티브 2세대 클라우드 암호화 서비스입니다.

Vault는 다양한 유형의 암호화 키와(동기(AES 키) 및 비동기(RSA 및 ECDSA 키)) Oracle Exadata Cloud Service, Oracle Autonomous Database, Transparent Data Encryption in Oracle Database 및 비데이터베이스 워크로드 등 일반적인 워크로드 세트를 지원합니다.

OCI Vault에는 Private Vault와 기본 Virtual Vault 이렇게 두 종류가 있습니다. 생성하는 자격 증명 모음 유형에 따라 키의 격리 수준과 성능이 결정됩니다. 각 테넌트에는 0부터 여러 개에 이르는 자격 증명 모음을 둘 수 있습니다.

Private Vault는 HSM(싱글 테넌트)에서 전용 파티션을 제공합니다. 파티션은 다른 파티션과 격리된 HSM의 물리적 경계입니다. Private Vault는 암호화 작업을 위해 더 나은 일관된 초당 트랜잭션을 제공합니다. 싱글 테넌트 HSM에 해당합니다. 또한 Private Vaults에는 Cross Region Replication 및 Cross Region Backup, Restore of Keys 등 추가 기능들이 포함되어 있습니다.

기본 Virtual Vault는 중간 수준의 격리를 제공하는 멀티테넌트 파티션을 사용합니다.

두 Vault 옵션 모두 다음의 방식 중 하나로 저장된 마스터 암호 키를 생성할 수 있게 해 줍니다:

HSM 키: HSM이 보호하는 마스터 암호 키는 HSM에 저장되며 HSM 밖으로 내보낼 수 없습니다. 키와 관련된 모든 암호화 작업은 HSM에서도 수행됩니다. 이 키들은 FIPS 레벨 3를 준수합니다.
소프트웨어 키: 소프트웨어가 보호하는 마스터 암호 키는 서버에 저장되며 서버가 아닌 클라이언트에서의 암호화 작업 수행을 위해 서버에서 내보낼 수 있습니다. 사용되지 않는 동안에는 소프트웨어 보호 키가 HSM의 루트 키로 암호화됩니다. 이 키들은 FIPS 레벨 1을 준수합니다.

OCI Vault는 어떤 기능을 제공하나요?

OCI Vault를 사용하면 다음과 같은 키 관리 기능을 이용할 수 있습니다:

사용자의 데이터를 보호하는 자체 암호 키 생성
Bring Your Own Keys
키 로테이션
서명으로 디지털 서명 생성 및 검증, 비대칭 키를 사용한 작업 검증
Vault 및 키(Private Vaults에만 해당)에 대한 리전 간 백업 및 복원 지원
Vault 및 키(Private Vaults에만 해당)의 리전 간 복제 지원
데이터 보호를 위한 일시적인 키 비활성화
더 이상 사용하지 않는 키 및 Vault의 삭제 일정 관리
OCI IAM 정책을 사용해 키 및 Vault의 관리 및 사용에 관한 세분화된 권한을 수립할 수 있습니다.
Oracle Audit and Database Firewall을 통한 키 및 Vault 수명 주기 상태 모니터링
OCI 내부 서비스로의 원활한 통합: Oracle Exadata Cloud Service, Oracle Autonomous Database—Dedicated, Oracle Cloud Infrastructure(OCI) Block Storage, File Storage, Object Storage, Streaming 및 Container Engine for Kubernetes.

OCI Vault에서는 Advanced Encryption Standard(AES-GCM), Rivest-Shamir-Adleman (RSA), Elliptic Curve Digital Signature Algorithm(ECDSA) 키를 생성할 수 있습니다. AES 키의 경우 3가지 키 길이(AES-128, AES-192, AES-256) 중 선택할 수 있습니다. AES-256이 권장됩니다. OCI Vault는 다음의 비대칭 키 유형을 지원합니다: RSA 2048, RSA 3072, RSA 4096, NIST P-256, NIST P384, ECC_NIST521.

암호화 및 암호 해독을 위해 AES 대칭 키 및 RSA 비대칭 키를 생성 및 사용할 수 있습니다. RSA 또는 ECDSA 비대칭 키를 사용해 디지털 메시지에 서명할 수도 있습니다.

OCI Vault 개요에서 보다 자세한 내용을 확인하고, OCI Vault를 시작해 보세요.

OCI Vault를 사용하는 경우 내 데이터는 어디에서 암호화되나요?

데이터를 직접 Key Management API에 제출하고 Vault에 저장된 마스터 암호화 키를 사용해 암호화 및 해독할 수 있습니다. 또한 봉투 암호화라고 알려진 방법을 사용해 애플리케이션 및 OCI 서비스 내 로컬에서 데이터를 암호화할 수 있습니다.

봉투 암호화를 사용하면 데이터 암호화 키(DEK)를 키 관리 API에서 생성 및 검색할 수 있습니다. DEK는 키 관리 서비스에서 저장되거나 관리되지 않지만 마스터 암호화 키를 통해 암호화됩니다. 애플리케이션은 DEK를 사용해 데이터를 암호화하고 암호화된 DEK를 데이터와 함께 저장할 수 있습니다. 애플리케이션에서 데이터의 암호를 해독하려면, 암호화된 DEK의 키 관리 API에 암호 해독을 호출하여 DEK를 검색해야 합니다. DEK를 사용하면 로컬에서 데이터의 암호를 해독할 수 있습니다.

봉투 암호화를 사용하는 이유는 무엇인가요? 데이터를 그냥 OCI Key Management Service나 OCI Vault로 직접 보내 암호화하지 않는 이유는 무엇인가요?

키 관리 서비스는 최대 4KB의 데이터를 전송해 직접 암호화할 수 있도록 지원합니다. 또한 봉투 암호화는 상당한 성능 이점을 제공할 수 있습니다. 키 관리 API를 사용하여 데이터를 직접 암호화하는 경우, 데이터는 네트워크를 통해 전송되어야 합니다. 봉투 암호화의 경우 훨씬 작은 DEK의 요청 및 전송만 네트워크를 통해 이동하기 때문에 네트워크 부하를 줄일 수 있습니다. DEK는 애플리케이션에서 로컬로 사용되거나 OCI 서비스를 암호화하는 데 사용되기 때문에 전체 데이터 블록을 전송할 필요가 없습니다.

OCI Vault로 자체 키를 가져갈 수(BYOK) 있나요?

예. 자체 키 관리 인프라에서 OCI Vault로 키 사본을 가져온 뒤, 모든 통합 OCI 서비스 또는 자체 애플리케이션 내에서 사용할 수 있습니다. 다음을 포함한 모든 키 알고리즘을 가져올 수 있습니다: AES, RSA, ECDSA 키. HSM 및 소프트웨어 키 모두의 가져오기가 지원됩니다. 참고: HSM 외부로 HSM 키를 내보낼 수 없습니다.

키 로테이션이 가능한가요?

예. 보안 거버넌스 및 규제 준수 니즈를 바탕으로 정기적으로 또는 보안 사고 발생 시 즉석으로 키를 교체할 수 있습니다. 콘솔, API 또는 CLI를 사용하여 정기적으로 키를 교체(예: 90일마다)하면 단일 키로 보호되는 데이터의 양이 제한됩니다.

참고: 이전 키 버전으로 이전에 암호화된 데이터의 경우 키를 교체해도 자동으로 다시 암호화되지 않습니다. 이 데이터는 다음에 고객이 수정할 때 다시 암호화됩니다. 키가 손상된 것으로 의심될 경우 해당 키로 보호된 모든 데이터를 다시 암호화하고 이전 키 버전을 비활성화해야 합니다.

Vault 또는 키를 삭제할 수 있나요?

네. 하지만 삭제가 즉시 이루어지지는 않습니다. 대기 기간을 7일 - 30일로 구성해 Vault, 키 또는 키 버전의 삭제 일정을 정할 수 있습니다.

Vault 삭제의 경우 Vault와 Vault 내에 생성된 모든 키가 대기 기간의 마지막 날 삭제되며, 이후에는 해당 키가 보호하던 모든 데이터에 더 이상 액세스할 수 없습니다. Vault를 삭제한 후에는 복구할 수 없습니다.

키를 비활성화할 수 있으며 이 경우 해당 키를 사용하는 모든 암호화/암호 해독 작업이 차단됩니다.

키가 생성된 곳이 아닌 다른 리전에서 키를 전송 및 사용할 수 있나요?

예. Vault는 리전 간 키 및 Vault의 복제를 지원합니다. 한 리전에서 다른 리전으로 Private Vaults를 복제하여 각 Vault와 해당 Vault에 포함된 키가 규정 준수 요구 사항을 충족하도록 하거나 지연성 문제가 개선되도록 할 수 있습니다.

Private Vault의 리전 간 복제 구성 시, Vault 서비스는 기존 Vault와 대상 리전 내 Vault 사이의 모든 키 또는 키 버전 생성, 삭제, 업데이트, 이전을 자동으로 동기화해 줍니다. 해당 서비스가 데이터를 복제해 오는 Vault를 소스 Vault(source vault)라고 칭합니다. 이 서비스가 소스 Vault로부터 데이터를 복제해 오는 대상 리전의 Vault를 Vault 복제본(vault replica)이라고 부릅니다. 이 서비스는 대상 리전 내 Vault 및 키의 암호화 작업을 지원합니다.

OCI Vault는 또한 Private Vault의 리전 간 백업 및 복원을 지원하기 때문에 키가 생성된 곳이 아닌 다른 리전에서도 키를 사용할 수 있습니다. 백업 및 복원은 FIPS 요구 사항을 충족합니다. 실제 키 자료가 엑스포트되는 것이 아니라, 키 자료를 대표하는 이진 객체이기 때문입니다. 복원 작업은 OCI 관리형 HSM에서만 수행될 수 있습니다.

OCI Key Management Service 및 OCI Vault의 요금은 어떻게 부과되나요?

생성된 Vault 유형에 따라 요금이 부과됩니다.

기본적으로 Vault는 키 버전에 따라 요금이 부과됩니다. 소프트웨어 보호 키는 무료로 제공되지만, HSM 보호 키에는 키 버전당 53센트가 부과됩니다. (처음 20개 키 버전은 무료로 제공됩니다). 하지만 Private Vault(싱글 테넌트 HSM) 생성 시에는 시간당 요금이 부과됩니다. 해당 가격 정책은 Vault 생성 시점부터 Vault 삭제 예정일까지 계속해서 적용됩니다. Private Vault 내 키 버전에 대해서는 요금이 부과되지 않습니다.

요금은 관리 또는 암호화 작업을 위해 서비스에 제출된 Vault 및 키용 API 요청의 개수를 기반으로 청구되지 않습니다.

자세한 내용은 Oracle Cloud Security 가격 정책을 참고하세요.

삭제 예정 키: 삭제 예정인 키에 대해서는 비용이 청구되지 않습니다. 키 삭제를 취소하면 청구가 재개됩니다.

OCI Vault에 적용되는 기본 제한은 얼마인가요?

Private Vault의 기본 제한은 0입니다. Private Vault 사용을 위해서는 제한 증가를 요청해야 합니다. Private Vault가 활성화되면 사용자는 1,000개의 소프트 리밋(soft limit)과 3,000개의 하드 리밋(hard limit) 대칭 키 버전을 얻게 됩니다.

기본 Virtual Vault를 사용해 키를 저장하는 경우 하드 리밋은 제공되지 않습니다. 기본적으로 Vault당 100개의 키가 적용된 10개의 Vault가 제공됩니다.

Vault 에 저장하는 모든 키 버전은 해당 키의 활성화 또는 비활성화 여부에 관계없이 이 제한에 포함됩니다.

OCI Vault에 적용되는 제한은 OCI 서비스 제한에 의해 관리됩니다. 모든 테넌시에 대해 기본 제한이 설정됩니다. 고객은 Oracle Cloud Infrastructure 설명서 내 여기에 설명된 단계에 따라 Vault에 저장된 키의 서비스 제한 상향을 요청할 수 있습니다. 활성화 및 비활성화된 키 모두가 해당 제한의 적용을 받기 때문에 Oracle은 더 이상 사용하지 않는 비활성화된 키를 삭제할 것을 권고합니다.

OCI Vault 내에서 내 키를 사용 및 관리할 수 있는 사람은 누구인가요? 키 및 Vault 수명 주기가 변경된 경우 누가 이를 변경했는지 확인할 수 있나요?

OCI Key Management Service를 사용해 데이터를 암호화 또는 암호 해독하는 경우, OCI IAM 정책을 통해 권한을 부여받은 사용자, 그룹 또는 서비스만이 키를 관리 및 사용할 수 있습니다. 사용자별로 별도의 권한을 부여하고 싶다면 세분화된 사용 및 관리 정책을 적용할 수 있습니다.

테넌시 내 모든 Vault, 키 또는 키 버전의 생성, 로테이션, 비활성화 등 OCI Vault 관리 요청 세부 내역을 모두 보여주는 OCI Audit의 기록을 사용해 수명 주기 상태 변경을 추적할 수 있습니다.

전용 키 관리 서비스

OCI Dedicated KMS란?

OCI Dedicated KMS는 OCI 계정 내에 단일 테넌트 HSM(하드웨어 보안 모듈) 파티션을 제공하는 완전 관리형 서비스입니다. 암호화 키와 그러한 키를 저장하는 HSM 파티션에 대한 독점적 제어 및 가시성을 확보하여 키 관리를 더욱 강력하게 제어할 수 있습니다.

OCI Dedicated KMS의 주요 이점은 무엇인가요?

세분화된 제어: HSM 환경에서 키 수명 주기, 사용자 액세스 및 보안 정책을 관리합니다.
직접 HSM 상호 작용: 애플리케이션은 효율성을 위해 OCI API를 우회하여 PKCS#11을 통해 HSM에 직접 액세스합니다.
규정 준수: 지연 시간이 짧은 작업을 위해 FIPS 140-2 Level 3 인증 HSM 및 직접 HSM 상호 작용을 사용합니다.

OCI Dedicated KMS 사용 대상은 누구인가요?

엄격한 규제 준수 요구 사항 또는 맞춤형 공용 키 기반 구조(PKI) 배포를 통해 키 관리 및 암호화 작업에 대한 세부적인 제어와 가시성이 필요한 조직은 OCI 전용 KMS를 통해 상당한 이점을 얻을 수 있습니다.

OCI Dedicated KMS는 OCI의 Vault(Private Vault) 오퍼링과 어떻게 다른가요?

둘 다 단일 테넌트 HSM 파티션을 제공하지만 OCI Dedicated KMS는 고급 사용자 정의 및 관리에 이상적인 HSM 파티션 및 관리 사용자를 직접 제어할 수 있습니다. OCI Dedicated KMS를 사용하면 PKCS#11과 같은 표준 인터페이스를 사용하여 키에 암호화 작업을 수행할 수 있습니다. 반면 Private Vault는 Oracle 관리형 HSM에서 사용 편의성을 우선시하며 표준 KMS 요구에 적합합니다. KMS API를 사용하여 Private Vault 오퍼링에서 암호화 작업을 수행할 수 있습니다.

OCI Dedicated KMS를 통해 지원되는 OCI 서비스는 무엇인가요?

애플리케이션은 OCI Dedicated KMS와 직접 상호 작용하려면 PKCS#11과 같은 표준 인터페이스를 사용해야 합니다. 데이터베이스, 스토리지, Oracle Fusion Applications와 같은 OCI 서비스는 Vault 오퍼링과 기본적으로 통합되며, OCI KMS 내에서 이러한 서비스에 Vault를 사용합니다.

OCI Dedicated KMS 사용을 시작하려면 어떻게 해야 하나요?

OCI 콘솔에서 HSM 클러스터를 생성할 수 없으므로 기본적으로 OCI 내에서 OCI Dedicated KMS 리소스 제한을 늘리세요. HSM 클러스터 생성은 다단계 프로세스이며 초기화 필요 및 활성화 필요의 두 단계에서 사용자 개입을 포함합니다. HSM 클러스터를 성공적으로 생성하려면 기술 문서를 참조하세요.

OCI Dedicated KMS의 비용은 얼마인가요?

OCI Dedicated KMS의 비용은 시간당 HSM 파티션당 1.75 USD입니다. 최소 3개의 HSM 파티션으로 시작 비용은 시간당 5.25 USD입니다.

전용 HSM 파티션에 대해 명시적으로 제한을 요청해야 합니다.

기존 HSM 클러스터에 파티션을 더 추가할 수 있나요?

아니요. 각 HSM 클러스터는 세 개의 고정된 파티션을 보유합니다. 파티션이 더 필요한 경우 추가 HSM 클러스터를 생성하세요.

내 키에 대한 암호화 작업을 어떻게 관리하고 수행하나요?
고객 애플리케이션은 OCI API에 의존하지 않고 PKCS#11 표준 인터페이스를 사용하여 HSM을 통해 키에 액세스하고 암호화 작업을 직접 수행합니다.

OCI Dedicated KMS의 보안 기능은 무엇인가요?

OCI Dedicated KMS는 FIPS 140-2 Level 3 인증 HSM 파티션, HSM 상호 작용을 위한 엔드투엔드 암호화, 사용자 액세스 및 보안 정책에 대한 세분화된 제어를 통해 키 관리를 위한 보다 강력한 제어 및 보안을 제공합니다.

OCI Dedicated KMS에 대한 자세한 정보는 어디에서 찾을 수 있나요?

OCI Key Management Service 웹 페이지에서 유용한 정보를 찾을 수 있습니다. 설정에 대한 자세한 정보는 Oracle 기술 문서를 참조하세요.

외부 키 관리 서비스

OCI External Key Management Service(OCI External KMS)가 무엇인가요?

OCI External KMS는 고객이 OCI 외부에서 저장 및 관리되는 암호화 키를 사용할 수 있게 해 주는 서비스입니다. 암호화 키를 온프레미스 또는 OCI 외부에 저장해야 하는 규제 요건을 적용받거나, 암호화 키를 직접 제어할 필요가 있는 고객이 유용하게 사용할 수 있습니다. 보다 자세한 내용은 이 블로그를 참고하세요.

OCI External KMS의 이점은 무엇인가요?

해당 서비스는 고객이 다음과 같은 문제를 해결하는 과정에 기여합니다.

데이터 주권, 규정 준수, 규제 준수: OCI External KMS는 고객이 자신의 암호화 키와 해당 키가 저장된 장소에 대한 제어 권한을 유지할 수 있게 해 줍니다. EU 일반 데이터 보호 규칙(GDPR)과 같은 엄격한 데이터 주권 관련 요건을 반드시 준수해야 하는 조직에게 유용한 서비스입니다.
신뢰 및 보증: OCI External KMS는 고객이 암호화 모듈을 소유 및 관리하고, 직접 암호화 키의 관리자 역할을 수행할 수 있게 해 줍니다. 최종 고객, 파트너, 이해관계자 등에게 암호화 프로세스에 대한 통제력을 갖추고 있음을 입증해야 하는 조직에게 유용한 서비스입니다.

OCI External KMS 사용 시 운영상 고려 사항은 무엇이 있나요?

OCI External KMS가 고객에게 암호화 키에 대한 더 큰 제어 권한을 제공한다는 건, 고객에게 더 많은 운영상의 책임이 부여된다는 뜻이기도 합니다. 고객은 암호화 키와 하드웨어 보안 모듈(HSM)을 반드시 온프레미스에서 관리, 운영 유지해야 합니다. 이는 Oracle이 고객을 대신하여 HSM 인프라를 관리 및 운영하는 기존의 OCI Vault 서비스와는 다른 소유권 모델입니다.

OCI External KMS에서 키를 로테이션하려면 어떻게 해야 하나요?

OCI External KMS에서 키를 로테이션(키 참조로도 알려짐)하려면, 키 자료가 OCI 외부에 저장되어 있기 때문에 먼저 아래의 단계에 따라 Thales CipherTrust Manager에서 키를 로테이션해야 합니다.

새로운 외부 키 버전을 Thales CipherTrust Manager에 추가하세요.

이후 OCI에서 Rotate Key Reference를 클릭하여 이전 단계에서 추가한 External Key Version ID를 입력할 수 있습니다.

OCI External KMS가 지원하는 OCI 서비스에는 무엇이 있나요?

OCI External KMS는 대칭 암호화 키를 지원하며 이미 OCI Vault와 통합된 애플리케이션들과 호환됩니다. 따라서 고객은 External KMS의 이점을 누리기 위해 애플리케이션을 별도로 수정할 필요가 없습니다. OCI Vault와 동일한 방식으로, 99.9% 동일한 SLA를 적용하여 키를 사용하고 연결할 수 있습니다.

다음 서비스들은 OCI Vault와 통합되어 있으며 별도의 조건 없이 OCI External KMS를 바로 사용할 수 있습니다:

Oracle Cloud Infrastructure(OCI) Object Storage, Block Volume, File Storage
Oracle Cloud Infrastructure(OCI) Container Engine for Kubernetes
Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure, Oracle Database Cloud Service, Database as a Service 등 Oracle Database
Oracle Fusion Cloud Applications

OCI External KMS에서 Thales CipherTrust Manager의 키를 비활성화, 차단 또는 제거하면 어떻게 되나요? OCI의 데이터에 계속 액세스할 수 있나요?

OCI External KMS는 OCI가 실제 암호화 키 자료에 액세스하지 못하도록 설계되었습니다. 고객이 Thales CipherTrust Manager에서 키를 차단하면, OCI는 키 참조를 사용하여 데이터를 해독할 수 없고, 해당 키 참조를 사용하는 어떤 작업도 수행할 수 없습니다.

또한 OCI 콘솔에서 키 참조를 비활성화/삭제할 수도 있습니다.

OCI External KMS가 리전 간 키/Valut 복제를 지원하나요?

OCI External KMS는 현재 리전 간 키/Vault 복제를 지원하지 않습니다.

OCI External KMS의 가격 정책은 어떻게 되나요?

OCI External KMS는 키 버전당 US$3/월의 비용이 부과되며, 키 버전의 사용에 대한 추가 비용은 부과되지 않습니다. 각 고객에게는 10개의 볼트 및 볼트당 100개의 키 버전이라는 부분 제한이 적용됩니다. CipherTrust Manager의 가격 정책 및 제한에 대한 자세한 내용은 Thales에 문의해 주세요.

OCI External KMS에 대한 더 자세한 정보는 어디에서 찾을 수 있나요?

OCI External KMS에 대한 자세한 정보는 기술 설명서를 통해 확인할 수 있으며, OCI 콘솔을 통해 직접 체험해 볼 수도 있습니다. OCI 콘솔의 OCI 탐색 메뉴에서 Identity and Security, Key Management and Secret Management, External Key Management를 차례로 선택하여 External KMS에 액세스해 보세요.