죄송합니다. 검색 내용과 일치하는 항목을 찾지 못했습니다.

원하시는 정보를 찾는 데 도움이 되도록 다음을 시도해 보십시오.

  • 검색에 사용하신 키워드의 철자가 올바른지 확인하십시오.
  • 입력한 키워드에 동의어를 사용하십시오. 예를 들어 “소프트웨어” 대신 “애플리케이션”을 사용해 보십시오.
  • 새로운 검색을 시작하십시오.
Country 문의하기 Oracle Cloud에 로그인

Key Management FAQ

FAQ 주제

공통 질문

Oracle Cloud Infrastructure Vault-Key Management가 무엇입니까?

Oracle Cloud Infrastructure (OCI) Vault를 사용하면 광범위한 OCI 서비스 및 애플리케이션 전반에서의 키 및 암호 사용을 중앙에서 관리 및 제어할 수 있습니다. OCI Vault는 하드웨어 프로비저닝, 소프트웨어 패치 및 고가용성 등 시간이 많이 걸리는 관리 작업에 대한 걱정 없이 데이터 암호화 요구 사항에 집중할 수 있게 해주는 안전하고 탄력적인 관리 서비스입니다.

Key Management는 FIPS(Federal Information Processing Standards) 140-2 보안 레벨 3 보안 인증을 충족하는 하드웨어 보안 모듈(HSM)을 사용하여 사용자의 키를 보호합니다. HSM 또는 소프트웨어에 의해 보호되는 마스터 암호화 키를 생성할 수 있습니다. HSM으로 보호되는 키를 사용하면 모든 암호화 작업 및 키 저장이 HSM 내부에 있습니다. 소프트웨어로 보호되는 키를 사용하면 암호화 키가 소프트웨어에 저장되고 처리되지만 HSM의 루트 키를 사용하면 안전하게 보호됩니다.

OCI Vault와 Oracle Key Vault의 차이는 무엇입니까?

OCI Vault 및 Oracle Key Vault는 Oracle의 두 가지 주요 관리 제품입니다.

OCI Vault—Key Management는 완전 관리형 서비스이며 OCI에만 저장된 데이터를 보호하기 위해 중앙 집중식 암호화 키 관리를 제공합니다. Key Management의 비전은 다양한 유형의 암호화 키(대칭 및 비대칭)와 Oracle Database TDE 및 비 데이터베이스 워크로드를 포함한 일반 워크로드 세트를 지원하는 것입니다. OCI Vault는 기본 2세대 클라우드 암호화 서비스입니다.

Oracle Key Vault는 온프레미스(Oracle Exadata Cloud@Customer 및 전용 Oracle Autonomous Database 포함) 및 OCI 모두에서 실행되는 TDE 지원 Oracle 데이터베이스에 대한 키 관리는 물론 암호화 된 Oracle GoldenGate 추적 파일 및 암호화된 ACFS 파일 시스템에 대한 키 관리도 제공합니다.

Oracle 관리형 암호화와 고객 관리형 암호화의 차이는 무엇입니까?

Oracle 관리는 많은 OCI 서비스에 대한 기본 암호화입니다. Oracle 관리는 Oracle에서 수명주기 관리를 제어하는 암호화 키를 사용하여 데이터가 사용되지 않을 때 암호화됨을 의미합니다. 암호화 키를 관리하거나 액세스하지 않고 OCI에 저장된 모든 데이터를 보호하는 가장 쉬운 방법을 찾고 있는 고객은 Oracle 관리 암호화를 선택하면 됩니다.

고객 관리 암호화는 고객이 데이터를 보호하는 키를 제어하고 관리하는 OCI Vault—Key Management 서비스에서 제공합니다. 또한 규정 준수를 충족하기 위해 강화된 보안 및 FIPS 140-2 레벨 3 보호가 필요한 고객은 암호화 키가 하드웨어 보안 모듈(HSM)에 저장되므로 고객 관리를 선택합니다.

OCI Vault-Key Management 내에는 어떤 종류의 Vault 격리들이 존재합니까?

OCI Vault는 또한 논리적 키 그룹으로 정의됩니다. 키를 생성하거나 가져오기 전에 자격 증명 모음을 생성해야 합니다.

두 가지 유형의 Vault가 있습니다: Virtual Private Vault 및 기본 Vault. 생성하는 자격 증명 모음 유형에 따라 키의 격리 수준과 성능이 결정됩니다. 각 테넌트에는 0부터 여러 개에 이르는 자격 증명 모음을 둘 수 있습니다.

Virtual Private Vault는 HSM(단일 테넌트) 전용 파티션을 제공합니다. 파티션은 다른 파티션과 격리된 HSM의 물리적 경계입니다. Virtual Private Vault는 암호화 작업을 위해 더 나은 일관된 초당 트랜잭션을 제공합니다.

기본 Vault는 다중 테넌트 파티션을 사용하므로 중간 수준의 격리가 발생합니다.

Vault-Key Management를 시작하려면 어떻게 해야 합니까?

1. 보유한 테넌시 제한이 원하는 Vault 유형 생성을 허용하는지 확인하세요.

2. 사용자 계정에서 Vault를 생성하는 데 필요한 승인을 얻기 위한 Oracle Identity and Access Management(IAM) 정책이 생성되었는지 확인하세요. 설명을 구성하려면 IAM Policy Reference를 참고하세요.

3. 먼저 Oracle Cloud Infrastructure Console에서 보안, Vault를 차례로 선택해 Vault를 생성하세요.

Vault를 생성하고 다음과 같은 두 가지 Vault 유형 중에서 격리 및 처리 요구 사항에 가장 잘 부합하는 것을 선택하세요.

  • : HSM에서 격리를 강화하고 암호화/암호 해독 작업을 전용으로 처리해야 하는 경우 Virtual Private Vault를 선택하세요.
  • Vault(기본): 암호화/암호 해독 작업을 위해 중간 격리(HSM의 다중 테넌트 분할 영역) 및 공유 처리를 허용하려면 기본 Vault를 선택해야 합니다.

4. Vault 내에 [마스터 암호화] 키를 생성하세요. 마스터 암호화 키는 다음 두 가지 보호 모드 중 하나를 사용할 수 있습니다: HSM 또는 소프트웨어.

  • HSM으로 보호되는 마스터 암호화 키는 HSM에 저장되며 HSM에서 내보낼 수 없습니다. 키와 관련된 모든 암호화 작업은 HSM에서도 수행됩니다.
  • 소프트웨어로 보호되는 마스터 암호화 키는 서버에 저장되며 서버가 아닌 클라이언트에서 암호화 작업을 수행하기 위해 서버에서 내보낼 수 있습니다. 사용되지 않는 동안에는 소프트웨어 보호 키가 HSM의 루트 키로 암호화됩니다.

5. Vault를 호출하는 서비스 또는 엔티티에 대한 IAM 정책이 필요한 승인을 획득했는지 확인하세요.

예: service objectstorage-us-ashburn-1이 구획의 키를 사용하도록 허용

다음과 같은 키를 사용하세요:

  • 네이티브 Oracle Cloud Infrastructure 스토리지 사용 시: 스토리지(버킷, 파일, 볼륨)를 생성할 때 '고객 관리 키를 사용한 암호화(ENCRYPT USING CUSTOMER-MANAGED KEYS)'로 표시한 다음 Vault 및 마스터 암호화 키(Master Encryption Key)를 선택하세요. 해당 버킷/볼륨/파일 스토리지에 있는 데이터는 자격 증명 모음의 마스터 암호화 키로 래핑된 데이터 암호화 키를 사용하여 암호화됩니다.
  • 암호화 작업의 경우 CLI(Command Line Interface)를 예제로 사용합니다: oci kms crypto encrypt --key-id --plaintext

SDK와 API에서도 암호화 작업을 사용할 수 있습니다. 자세한 내용은 설명서의 Vault 개요를 참고하세요.

6. 콘솔 및 모니터링 서비스에서 제공되는 측정 지표를 사용하여 작업 사용량을 모니터링하세요. 측정 지표 및 기준을 확인하세요.

Vault의 기본 제한은 무엇입니까?

Virtual Private Vault 제한은 기본적으로 0입니다. 사용하려면 제한 증가를 요청해야 합니다. Virtual Private Vault가 활성화되면 사용자는 소프트 제한 1000개와 하드 제한 3000개의 대칭 키 버전을 얻습니다.

기본 Virtual Private Vault를 사용하여 키를 저장하면 고정된 제한이 적용되지 않습니다. 기본값은 자격 증명 모음당 100개의 키가 있는 10개의 Virtual Private Vault 입니다.

Vault 에 저장하는 모든 키 버전은 해당 키의 활성화 또는 비활성화 여부에 관계없이 이 제한에 포함됩니다.

OCI Vault에 부과된 제한은 OCI 서비스 제한에 의해 관리됩니다. 모든 테넌시에 대해 기본 제한이 설정됩니다. 고객은 Oracle Cloud Infrastructure 설명서의 서비스 제한 증가 요청에 나와 있는 단계에 따라 Vault 내에 저장된 키 서비스 제한 증가를 요청할 수 있습니다. 활성화된 키 및 비활성화된 키가 모두 이 제한에 포함되므로 더 이상 사용하지 않는 비활성화된 키는 삭제하는 것이 좋습니다.

OCI Vault-Key Management가 제공하는 기능은 무엇입니까?

Vault 서비스를 사용하면 다음과 같은 키 관리 기능을 사용할 수 있습니다. 자세한 내용은 설명서의 Vault 개요를 참고하세요.

  • 데이터를 보호하는 고유한 암호화 키 생성
  • 사용자 키 필요
  • 키 교체
  • 리전 간 키 백업 및 복원 지원
  • IAM 정책을 사용하여 키에 대한 권한 제한
  • OCI 내부 서비스로 통합: Oracle Autonomous Database-Kubernetes 전용, Oracle Block Storage, Oracle File Storage, Oracle Object Storage, Streaming and Container Engine for Kubernetes

Vault-Key Management에 생성 및 저장할 수 있는 키의 형태/길이는 무엇입니까?

키를 생성할 때 키 길이 및 이와 함께 사용되는 알고리즘을 나타내는 키 형태를 선택할 수 있습니다. 현재 모든 키는 AES - GCM(고급 암호화 표준)이며 다음과 같은 키 길이 중에서 선택할 수 있습니다: AES-128, AES-192, AES-256. AES-256이 권장됩니다.

Vault-Key Management를 사용할 수 있는 Oracle Cloud Infrastructure 리전은 어디입니까?

Key Management는 모든 상용 및 정부 Oracle Cloud Infrastructure 리전에서 사용할 수 있습니다.


키 및 Key Vault 관리

여러 키를 돌려 사용할 수 있습니까?

네. 보안 사고 발생 시 보안 거버넌스 및 규제 규정 준수 요구 또는 임시 상황에 맞게 정기적으로 키를 교체할 수 있습니다. 콘솔, API 또는 CLI를 사용하여 정기적으로 키를 교체(예: 90일마다)하면 단일 키로 보호되는 데이터의 양이 제한됩니다.

참고: 이전 키 버전으로 이전에 암호화된 데이터의 경우 키를 교체해도 자동으로 다시 암호화되지 않습니다. 이 데이터는 다음에 고객이 수정할 때 다시 암호화됩니다. 키가 손상된 것으로 의심될 경우 해당 키로 보호된 모든 데이터를 다시 암호화하고 이전 키 버전을 비활성화해야 합니다.

내 Vault-Key Management를 가져올 수 있습니까?

네. 자체 키 관리 인프라에서 Vault로 키 사본을 가져와서 통합된 OCI 서비스 또는 자체 애플리케이션 내에서 사용할 수 있습니다.

Vault를 삭제할 수 있습니까?

예. 그러나 즉시 수행되지는 않습니다. 7~30일의 대기 기간을 구성하여 삭제를 예약할 수 있습니다. Vault와 Vault 내에서 생성된 모든 키는 대기 기간이 만료되면 삭제되고 해당 키로 보호된 모든 데이터에 더 이상 액세스할 수 없습니다. Vault를 삭제한 후에는 복구할 수 없습니다.

키 또는 키 버전을 삭제할 수 있습니까?

예. 그러나 즉시 수행되지는 않습니다. 7~30일의 대기 기간을 구성하여 삭제를 예약할 수 있습니다. 키를 비활성화할 수 있으며 이 경우 해당 키를 사용하는 모든 암호화/암호 해독 작업이 차단됩니다.


키 사용

OCI Vault-Key Management를 사용할 경우 내 데이터는 어디에서 암호화됩니까?

Vault에 저장된 마스터 암호화 키를 사용하여 데이터를 Key Management API에 직접 제출하여 암호화 및 암호 해독할 수 있습니다.

또한 봉투 암호화라고하는 방법을 사용하여 애플리케이션 및 OCI 서비스 내에서 로컬로 데이터를 암호화할 수도 있습니다.

봉투 암호화를 사용하면 Key Management API에서 DEK(데이터 암호화 키)를 생성하고 검색할 수 있습니다. DEK는 Key Management 서비스에 저장되거나 관리되지 않지만 마스터 암호화 키로 암호화됩니다. 애플리케이션은 DEK를 사용하여 데이터를 암호화하고 암호화된 DEK를 데이터와 함께 저장할 수 있습니다. 애플리케이션에서 데이터를 암호 해독하려면 암호화된 DEK의 Key Management API에 암호 해독을 호출하여 DEK를 검색해야 합니다. DEK를 사용하여 로컬에서 데이터를 암호 해독할 수 있습니다.

봉투 암호화를 사용하는 이유는 무엇입니까? Vault-Key Management로 데이터를 전송해 직접 암호화를 하지 않는 이유는 무엇입니까?

Key Management는 최대 4KB의 데이터를 직접 암호화하는 것을 지원합니다. 또한 봉투 암호화는 상당한 성능 이점을 제공할 수 있습니다. Key Management API를 사용하여 데이터를 직접 암호화하는 경우 네트워크를 통해 전송되어야 합니다. 봉투 암호화는 훨씬 더 작은 DEK의 요청과 전달만 네트워크를 통해 이동하므로 네트워크 부하를 줄입니다. DEK는 애플리케이션에서 로컬로 사용되거나 OCI 서비스를 암호화하므로 전체 데이터 블록을 보낼 필요가 없습니다.


고가용성 및 재해 복구

Oracle은 한 리전 내에서의 키 고가용성을 어떻게 제공합니까?

Oracle은 노드 및 HSM 클러스터를 사용하여 해당 키가 생성된 동일한 지역에 키 복제본을 저장하므로 키 관리를 위해 99.9% SLA 및 99.99% SLO를 제공할 수 있습니다. 'Oracle PaaS 및 IaaS 퍼블릭 클라우드 서비스' 주요 문서(PDF)를 확인하세요.

키가 생성된 곳이 아닌 다른 리전에서 키를 전송 및 사용할 수 있습니까?

네. Key Management는 Virtual Private Vault에 대해 지역 간 백업 및 복원을 지원하므로 생성된 지역과 다른 지역에서 키를 사용할 수 있습니다. 백업 및 복원은 실제 키 자료를 내보내지 않고 키 자료를 나타내는 바이너리 개체이므로 FIPS 요구 사항을 충족합니다. 복원 작업은 OCI 관리 HSM에서만 수행할 수 있습니다.


비용

Vault-Key Management 사용 요금은 어떻게 부과됩니까?

생성된 Vault 유형에 따라 요금이 부과됩니다.

기본적으로 Vault는 키 버전에 따라 요금이 부과됩니다. 소프트웨어 보호 키는 무료이지만 HSM 보호 키에는 키 버전당 50센트가 부과됩니다(처음 20개 키 버전은 무료).

그러나 Virtual Private Vault(단일 테넌트 HSM)를 생성하는 경우 시간당 요금이 부과됩니다. 가격은 Vault 생성 시점부터 시작하여 Vault 삭제가 예약될 때까지 계속됩니다. Virtual Private Vault 내의 키 버전에 대해서는 요금이 부과되지 않습니다.

자세한 내용은 Oracle Cloud Security 가격을 참고하세요.

삭제 예정 상태의 키에 대해서도 요금이 부과됩니까?

아니요. 삭제가 예약된 키에 대해서는 요금이 청구되지 않습니다. 키 삭제를 취소하면 청구가 재개됩니다.


보안

내 Vault-Key Management에서 생성한 키는 어떻게 보호됩니까?

해당 서비스가 보호 모드 HSM을 사용하여 키를 생성하도록 요청하면 Key Management가 키와 모든 후속 키 버전을 HSM에 저장합니다. HSM에서 일반 텍스트 키 자료를 보거나 내보낼 수 없습니다. 보호 모드 소프트웨어를 사용하면 키는 Key Management 서버에 저장되지만 사용되지 않을 때는 HSM의 루트 키로 보호됩니다.

IAM 정책을 통해 권한을 부여하는 사용자, 그룹 또는 서비스만 Key Management를 호출하여 해당 키를 통해 데이터를 암호화하거나 암호 해독할 수 있습니다.

Vault-Key Management에서 생성한 키를 내보낼 수 있습니까?

네. 보호 모드 소프트웨어로 키를 생성하는 경우 키 자료를 일반 텍스트로 내보낼 수 있습니다. 그러나 보호 모드 HSM으로 키를 생성하는 경우 키가 HSM을 벗어나지 않으므로 키 자료를 내보낼 수 없습니다. 동일한 또는 다른 지역으로 복원하기 위해 키 자료를 백업할 수 있습니다. 그러나 해당 백업은 키 자료에 대한 액세스를 제공하지 않습니다.


External KMS

OCI External Key Management Service(External KMS)란 무엇인가요?

OCI External KMS는 고객이 OCI 외부에 저장하고 관리하는 암호화 키를 OCI에서 사용할 수 있도록 해 주는 서비스입니다. 암호화 키를 온프레미스 또는 OCI 외부에 저장해야 하는 규제 요건을 적용받거나, 암호화 키를 직접 제어할 필요가 있는 고객이 유용하게 사용할 수 있습니다. External KMS는 모든 OCI 리전에서 사용 가능합니다.

OCI External KMS의 이점은 무엇인가요?

External KMS는 모든 OCI 리전에서 사용 가능합니다. 해당 서비스는 고객이 다음과 같은 문제를 해결하는 과정에 기여합니다.

  • 데이터 주권, 규제 준수, 규정: External KMS는 고객이 암호화 키 및 해당 키의 저장 위치를 계속해서 직접 관리할 수 있도록 지원합니다. EU 일반 데이터 보호 규칙(GDPR)과 같은 엄격한 데이터 주권 관련 요건을 반드시 준수해야 하는 조직에게 유용한 서비스입니다.
  • 신뢰 및 보증: External KMS를 사용하는 고객은 암호화 모듈을 직접 소유 및 관리하고, 암호화 키의 관리자 역할을 수행할 수 있습니다. 최종 고객, 파트너, 이해관계자 등에게 암호화 프로세스에 대한 통제력을 갖추고 있음을 입증해야 하는 조직에게 유용한 서비스입니다.

External KMS 사용과 관련된 운영상의 고려 사항으로는 어떤 것들이 있나요?

External KMS는 고객에게 암호화 키에 대한 추가적인 제어 권한을 제공하지만, 고객에게는 그와 관련된 운영상의 책임도 함께 부과됩니다. 고객은 암호화 키 및 하드웨어 보안 모듈(HSM)을 반드시 온프레미스에서 관리, 운영, 유지해야 합니다. 이는 Oracle이 고객을 대신하여 HSM 인프라를 관리 및 운영하는 기존의 OCI Vault 서비스와는 다른 소유권 모델입니다.

External KMS 사용시 키를 순환하려면 어떻게 해야 하나요?

External KMS에서 키를 순환(또는 '키 참조')하기 위해서는 먼저 다음과 같은 단계에 따라 Thales CipherTrust Manager에서 키를 순환해야 합니다. 키 자료가 OCI 외부에 저장되어 있기 때문입니다.

  • Thales CipherTrust Manager에서 External Key Version을 새로 추가합니다.

이후 OCI에서 Rotate Key Reference를 클릭하고, 이전 단계에서 추가한 External Key Version ID를 입력할 수 있습니다.

External KMS는 어떤 OCI 서비스를 지원하나요?

External KMS는 대칭 암호화 키를 지원하고, 이미 OCI Vault와 통합되어 있는 애플리케이션들과 호환됩니다. 따라서 고객은 External KMS의 이점을 누리기 위해 애플리케이션을 별도로 수정할 필요가 없습니다. OCI Vault와 동일한 방식으로, 99.9%의 동일한 SLA를 적용하여 키를 사용하고 연결할 수 있습니다.

다음 서비스들은 OCI Vault와 통합되어 있으며 별도의 조건 없이 External KMS를 바로 사용 가능합니다.

  • Oracle Cloud Infrastructure(OCI) Object Storage, Block Volume, File Storage
  • Oracle Cloud Infrastructure(OCI) Container Engine for Kubernetes
  • Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure and Oracle Database Cloud Service, Database as a Service 등의 Oracle Database
  • Oracle Fusion Cloud Applications

External KMS에서 Thales CipherTrust Manager의 키를 비활성화, 차단 또는 제거하면 어떻게 되나요? OCI의 데이터에 계속 액세스할 수 있나요?

External KMS의 Thales CipherTrust Manager 관련 기능은 OCI가 실제 암호화 키 자료에 액세스하지 못하도록 설계되었습니다. 고객이 Thales CipherTrust에서 키를 차단하면, OCI는 키 참조를 사용하여 데이터를 해독하거나 해당 키 참조를 사용하는 어떤 작업도 수행할 수 없습니다.

어느 OCI 리전에서 External KMS를 지원하나요?

External KMS는 모든 OCI 리전 및 영역에서 사용할 수 있습니다. 특히 개중에서도 전용 리전(예: Oracle Cloud Infrastructure Dedicated Region) 및 데이터 주권 및 네트워크 안정성을 지원하기 위해 지연 시간이 짧은 네트워크를 통해 타사 관리 시스템에 액세스할 필요가 있는 리전에서 그 진가가 발휘됩니다.

External KMS의 가격 정책은 어떻게 되나요?

External KMS는 키 버전당 매월 미화 3달러의 비용을 청구합니다. 키 버전 사용과 관련된 추가 비용은 발생하지 없습니다. 각 고객에게는 10개의 볼트 및 볼트당 100개의 키 버전이라는 부분 제한이 적용됩니다. CipherTrust Manager의 가격 정책 및 제한에 대한 자세한 내용은 Thales에 문의해 주세요.

External KMS에 대한 추가 정보는 어디에서 찾아볼 수 있나요?

기술 설명서를 읽거나, OCI Console에서 직접 사용해 보는 방법을 통해 External KMS에 대해 더 자세히 알아볼 수 있습니다. OCI Console의 OCI 탐색 메뉴에서 'Identity & Security', 'Key Management & Secret Management', 'External Key Management'를 차례로 선택하여 External KMS에 액세스할 수 있습니다.