본문 바로가기
CSP (Cloud Service Provider)/GCP

[GCP] Secret Manager

by BTC_문돌이 2022. 8. 3.

안녕하세요~! BTC Hallo팀입니다.

 

오늘은 GCP의 Secret Manager에 대해서 소개해 드리겠습니다.

요즘 보안에 대한 관심이 높고 중요하게 생각되는데요. 이러한 상황에서 Secret Manger는 편리하면서도 높은 보안을

유지해 주는 Service라고 할 수 있습니다.

 

 

이번에는 Secret Manger에 대해 전체적인 개요를 소개해 보겠습니다.

Secret Manager는 API 키, 비밀번호, 인증서, 기타 민감한 정보를 위한 안전하고 편리한 스토리지 시스템입니다.

Secret Manager는 Google Cloud에서 보안 비밀을 관리, 액세스, 감사하는 중앙의 단일 정보 소스를 제공합니다.

 

 

Secret Manager를 사용하면 다음과 같은 장점을 얻을 수 있습니다.

 

1. 간편해진 최소 권한

Secret Manager의 Cloud IAM 역할로 최소 권한 원칙을 쉽게 따를 수 있습니다. 개별 권한 보안 비밀을 부여하고 보안 비밀 데이터에 액세스하는 기능에서 보안 비밀을 관리하는 기능을 분리할 수 있습니다.

 

2. 단순화된 수명 주기 관리

Secret Manager는 최고 수준의 버전 관리, 요청을 최신 보안 비밀 버전에 고정하는 기능을 통해 수명 주기 관리를 단순화합니다. Cloud Functions를 사용하여 순환을 자동화할 수 있습니다.

 

3. 강력한 감사 기본 제공

Cloud 감사 로그와 통합되어 있으므로 Secret Manager와의 모든 상호작용에서 감사 로그가 생성됩니다. 이 통합을 통해 감사 및 규정 준수 요구사항을 쉽게 충족할 수 있습니다.

 

 

다음으로 Secret Manager의 기능에 대해서 알아보겠습니다.

 

1. 복제 정책

보안 비밀 이름은 프로젝트-전역 리소스이지만 보안 비밀 데이터는 리전에 저장됩니다. 보안 비밀을 저장할 특정 리전을 직접 선택하거나 결정을 Google에 맡길 수도 있습니다. 어느 방식을 선택하든 Google에서는 보안 비밀 데이터의 복제를 자동으로 처리합니다.

 

2. 최고 수준의 버전 관리

보안 비밀 데이터는 변경할 수 없으며 대부분의 작업은 보안 비밀 버전에서 이루어집니다. 보안 비밀 관리자를 사용하면 '42' 같은 특정 버전이나 'latest' 같은 부동 별칭에 보안 비밀을 고정할 수 있습니다.

 

3. Cloud IAM 통합

다른 Google Cloud 리소스에 대한 액세스를 제어하는 것과 동일한 방법으로 보안 비밀에 대한 액세스를 제어할 수 있습니다. 보안 비밀 관리자 보안 비밀에 액세스할 권한은 프로젝트 소유자에게만 있습니다. 다른 역할은 Cloud IAM을 통해 명시적으로 권한을 부여받아야 합니다.

 

4. 감사 로깅

Cloud 감사 로그가 사용 설정되면 Secret Manager와의 모든 상호작용에서 감사 로그가 생성됩니다. 이러한 로그를 이상 감지 시스템으로 수집하여 이상 액세스 패턴을 발견하고 보안 위반 가능성에 대한 알림을 제공할 수 있습니다.

 

5. 기본적으로 암호화됨

전송 중 데이터는 TLS 암호화 키로, 저장 데이터는 AES-256비트 암호화 키로 암호화됩니다.

 

6. VPC 서비스 제어 지원

VPC 서비스 제어를 사용하여 하이브리드 환경에서 Secret Manager에 대한 컨텍스트 인식 액세스를 사용 설정합니다.

 

7. 강력하고 확장 가능

보안 비밀 관리자는 API 중심 설계 덕분에 확장 및 기존 시스템과의 통합이 쉽습니다. 또한 HashiCorp Terraform과 GitHub Actions 등 널리 사용되는 타사 기술에 통합됩니다.

 

 

이상으로 Secret Manager에 대해서 간단하게 소개해 드렸습니다. 다음주에는 계속해서 Secret Manger에 대한 자세한 개념에 대해서 소개해 드리겠습니다. 감사합니다.

 

출처: https://cloud.google.com/secret-manager

댓글