암호화 키 관리는 데이터 보호의 시작이자 끝입니다. Key Management Service는 키의 계층적 관리를 가능하게 함으로써, 암호화 키를 안전하게 관리할 수 있습니다. Key Management Service에서 관리되는 마스터 키(MK)를 이용해 최대 32KB의 기밀 데이터(credential)를 보호해 보세요.
Key Management Service는 국내외 암호화 키 관리 표준에 따라 키를 관리합니다. 고객이 직접 설정한 접근제어 정책 기준에 맞춰 허가되지 않은 모든 접근을 원천 차단하며, 물리적으로 철저하게 격리된 루트 키 관리 절차에 따라 시스템의 기밀성 및 무결성을 보장합니다.
고객의 서브 계정 관리와 연동하여 키의 사용 권한을 쉽게 관리할 수 있습니다. 더불어 암호 기능 권고 기준에 따라 주기적인 키 회전(rotation)을 설정할 수 있으며, 키 사용 이력 모니터링 기능을 통해 키 감사를 수행할 수 있습니다. 또한 상태 관리 기능을 통해 암호 키의 생명 주기(life cycle) 관리도 가능합니다.
Key Management Service는 안정적인 서비스를 위해 설계된 고가용성 시스템에서 운용됩니다. 지역적으로 분산된 시스템은 어떠한 상황에서도 안정적인 서비스를 보장하며, 시스템 자체 암호화를 통해 어떠한 비인가 접근도 허가하지 않습니다.
안전한 키 저장을 위해 HSM 연동하실 수 있습니다. Ncloud의 HSM 저장소는 FIPS 140-2 lv3 물리 보호 수준을 제공하여 다양한 규제 수준을 충족시킬 수 있습니다.
네이버 클라우드 플랫폼 Key Management Service는 암호화 키 보호에 필요한 모든 조건을 손쉽게 충족시킬 수 있는 다양한 기능을 제공합니다.
Key Management Service를 통해 키의 생성, 회전, 상태관리, 폐기 등 모든 키 관리 요건을 편리하게 관리할 수 있으며, 엄격한 관리 절차에 따라 암호화 키 혹은 최대 32KB 기밀 데이터를 안전하게 보호할 수 있습니다.
또한 클라우드 시스템에서 안전하게 관리되는 키를 마스터 키로 이용하면 계층적 키 관리를 손쉽게 구현할 수 있습니다.
암호화를 통해 데이터를 안전하게 보호함과 동시에, 안전한 키 관리 프로세스가 필요한 모든 개발사
키의 권한 설정 및 사용이력 조회 등의 쉽고 편리한 관리 기능을 원하는 보안 관리자 및 감사자
Key Management Service는 키 보호뿐 아니라 기밀성 보장이 필요한 모든 데이터를 보호합니다. 이중, 크리덴셜(Credential)은 DK, 패스워드 등을 포함하여 데이터를 보호하기 위해 필요한 모든 암호학적 데이터를 의미합니다. Key Management Service는 DK뿐만 아니라 이러한 크리덴셜을 안전하게 보호할 수 있습니다. MK는 대칭키 방식의 AES256 암호화를 이용하여 최대 32KB의 크리덴셜을 보호할 수 있습니다.
공개키 방식의 암호화를 이용한 기능 중 인증 및 부인방지를 위한 서명/검증 기능은 개인키 관리 뿐 아니라 구현도 까다롭습니다. Key Management Service 관리 키를 ECDSA로 생성하면 최대 8KB 데이터의 서명 및 검증 값을 손쉽게 얻을 수 있습니다.
Key Management Service는 키 별 역할 정책을 기반으로 접근제어(RBAC)를 수행합니다. 서브 계정에 키 사용 역할을 할당하여 키에 대한 접근 제어를 설정할 수 있습니다. 최소 권한 원칙에 따라 구분된 키 사용 역할을 부여해 보세요.
암호화 키는 일관된 기준에 따라 관리되어야 합니다. 일정 주기 별로 회전하며 갱신 되어야하고, 더이상 사용되지 않는 키들은 비활성화 또는 폐기하여 여러 암호학적 위협에 대비해야 합니다. Key Management Service는 키 별 상태를 손쉽게 관리할 수 있는 기능을 제공합니다.
안전한 키 관리를 위해서는 계층적 관리가 중요합니다. 네이버 클라우드 플랫폼 Key Management Service는 데이터를 암호화한 키를 데이터 키(DK)라고 하며, DK를 암호화한 키를 마스터 키(MK)라고 합니다. MK를 Key Management Service에서 관리해 보세요. 안전한 ’봉투 암호화(Envelope encryption)’ 방식을 쉽게 구현할 수 있습니다. 또한, 고객별 키 역시 루트키로 불리는 내부 시스템 키를 이용하여 철저하게 암호화 된 상태로 관리됩니다.
민감한 정보를 다루는 시스템은 내부 관리자에 의한 위협도 고려해야 합니다. Key Management Service는 소수의 악의적 관리자에 의한 침해에 대비하여 시스템 루트키를 다수로 분할하여 격리 보관합니다. 소수의 분할된 키로 시스템 루트키를 계산하는 것은 불가능하기 때문에, 이를 통해 내부 위협으로부터 철저하게 보호됩니다. (KMS의 루트키는 FIPS140-lv2 장치에 분산 저장되어 물리적으로 격리 보관되고 있습니다.)
전문가에 의한 주기적인 감사 및 관리는 안전한 키 사용에 있어서 필수적인 사항입니다. 모든 키에 대한 요청은 즉시 기록되며, 키 감사 권한을 가진 사용자는 언제든지 키의 사용 이력을 모니터링할 수 있습니다.
Key Management Service의 목적 중 하나는 바로 데이터 암호화와 복호화를 적절하게 구현할 수 있는 기능을 제공하는 것에 있습니다. 키 사용 권한을 가진 사용자는 Key Management Service에서 관리되는 키를 이용하여 암/복호화, 암호데이터 갱신, 데이터 키 요청 등을 Rest API로 호출하여 이용할 수 있습니다.
내부 시스템 보호 : AES256 GCM 모드
크리덴셜 보호 : AES256 GCM 모드
서명 : ECDSA p256 커브, RSA 2048/4096(예정)
구분 | 과금 기준(월) | 단위 | 이용 요금 (원) |
---|---|---|---|
기본 | 키 보유 개수에 따른 월이용요금 | 보유 키 개수 (개) | - / 월 |
기본 | 키 보유 개수에 따른 월이용요금 | 키 호출 횟수 (10,000 건) | 월 20,000건 이하 : 무료 월 20,000건 초과 : 10,000건 당 - / 월 |
일반 HSM | 키 보유 개수에 따른 월이용요금 | 보유 키 개수 (개) | - |
일반 HSM | 키 보유 개수에 따른 월이용요금 | 키 호출 횟수 (10,000 건) | 월 20,000건 이하 : 무료 월 20,000건 초과 : 10,000건 당 - / 월 |
(VAT 별도)
키 호출 횟수는 익월로 이월되지 않습니다.
이용 요금은 한국 표준시간대(UTC+9)를 기준으로 산정됩니다.
Case 1) Key1을 9/1~9/5까지 보유하고, Key2를 9/1~9/20까지 보유했을 경우 → -= 5일/30일 x- + 20일/30일 x -
Case 2) 한 달간 Key1을 15,000건 호출하고, 같은달 안에 Key2를 10,000건 호출했을 경우
→ -= (Key1 15,000호출 + Key2 10,000호출 - 무료 20,000호출)의 결과(5,000호출)를 10,000 단위로 올린 결과(10,000호출) / 10,000 X -
Case3) 일반 HSM Key3을 3/1~3/5까지 보유하고, 해당 기간 안에 5,000건 호출했을 경우, → - = 5일/30일 x - (※ 키 호출 횟수 5,000건은 월 20,000건 이하 무료 구간)