서비스 특징
데이터 암호화 키를 안전하게 보호하고 관리
계층적 키 관리
키 관리 기준 준수
편리한 관리 기능
안전한 고가용성 인프라
HSM (Hardware Security Module) 연동
상세 기능
네이버 클라우드 플랫폼 Key Management Service는 암호화 키 보호에 필요한 모든 조건을 손쉽게 충족시킬 수 있는 다양한 기능을 제공합니다.
Key Management Service를 통해 키의 생성, 회전, 상태관리, 폐기 등 모든 키 관리 요건을 편리하게 관리할 수 있으며, 엄격한 관리 절차에 따라 암호화 키 혹은 최대 32KB 기밀 데이터를 안전하게 보호할 수 있습니다.
또한 클라우드 시스템에서 안전하게 관리되는 키를 마스터 키로 이용하면 계층적 키 관리를 손쉽게 구현할 수 있습니다.
네이버 클라우드 플랫폼 Key Management Service를 통한 Data 암호화 · 복호화 개요
Key Management Service 상품이 필요한 고객
암호화를 통해 데이터를 안전하게 보호함과 동시에, 안전한 키 관리 프로세스가 필요한 모든 개발사
키의 권한 설정 및 사용이력 조회 등의 쉽고 편리한 관리 기능을 원하는 보안 관리자 및 감사자
상세기능
키 사용 : 크리덴셜 보호
Key Management Service는 키 보호뿐 아니라 기밀성 보장이 필요한 모든 데이터를 보호합니다. 이중, 크리덴셜(Credential)은 DK, 패스워드 등을 포함하여 데이터를 보호하기 위해 필요한 모든 암호학적 데이터를 의미합니다. Key Management Service는 DK뿐만 아니라 이러한 크리덴셜을 안전하게 보호할 수 있습니다. MK는 대칭키 방식의 AES256 암호화를 이용하여 최대 32KB의 크리덴셜을 보호할 수 있습니다.
키 사용 : 서명 및 검증
공개키 방식의 암호화를 이용한 기능 중 인증 및 부인방지를 위한 서명/검증 기능은 개인키 관리 뿐 아니라 구현도 까다롭습니다. Key Management Service 관리 키를 ECDSA로 생성하면 최대 8KB 데이터의 서명 및 검증 값을 손쉽게 얻을 수 있습니다.
키 별 접근제어
Key Management Service는 키 별 역할 정책을 기반으로 접근제어(RBAC)를 수행합니다. 서브 계정에 키 사용 역할을 할당하여 키에 대한 접근 제어를 설정할 수 있습니다. 최소 권한 원칙에 따라 구분된 키 사용 역할을 부여해 보세요.
키 라이프사이클
암호화 키는 일관된 기준에 따라 관리되어야 합니다. 일정 주기 별로 회전하며 갱신 되어야하고, 더이상 사용되지 않는 키들은 비활성화 또는 폐기하여 여러 암호학적 위협에 대비해야 합니다. Key Management Service는 키 별 상태를 손쉽게 관리할 수 있는 기능을 제공합니다.
계층적 키 관리 기능 상세
안전한 키 관리를 위해서는 계층적 관리가 중요합니다. 네이버 클라우드 플랫폼 Key Management Service는 데이터를 암호화한 키를 데이터 키(DK)라고 하며, DK를 암호화한 키를 마스터 키(MK)라고 합니다. MK를 Key Management Service에서 관리해 보세요. 안전한 ’봉투 암호화(Envelope encryption)’ 방식을 쉽게 구현할 수 있습니다. 또한, 고객별 키 역시 루트키로 불리는 내부 시스템 키를 이용하여 철저하게 암호화 된 상태로 관리됩니다.
엄격한 내부 접근제어
민감한 정보를 다루는 시스템은 내부 관리자에 의한 위협도 고려해야 합니다. Key Management Service는 소수의 악의적 관리자에 의한 침해에 대비하여 시스템 루트키를 다수로 분할하여 격리 보관합니다. 소수의 분할된 키로 시스템 루트키를 계산하는 것은 불가능하기 때문에, 이를 통해 내부 위협으로부터 철저하게 보호됩니다. (KMS의 루트키는 FIPS140-lv2 장치에 분산 저장되어 물리적으로 격리 보관되고 있습니다.)
키 감사
전문가에 의한 주기적인 감사 및 관리는 안전한 키 사용에 있어서 필수적인 사항입니다. 모든 키에 대한 요청은 즉시 기록되며, 키 감사 권한을 가진 사용자는 언제든지 키의 사용 이력을 모니터링할 수 있습니다.
Rest API
Key Management Service의 목적 중 하나는 바로 데이터 암호화와 복호화를 적절하게 구현할 수 있는 기능을 제공하는 것에 있습니다. 키 사용 권한을 가진 사용자는 Key Management Service에서 관리되는 키를 이용하여 암/복호화, 암호데이터 갱신, 데이터 키 요청 등을 Rest API로 호출하여 이용할 수 있습니다.
상세 사양
내부 시스템 보호 : AES256 GCM 모드
크리덴셜 보호 : AES256 GCM 모드
서명 : ECDSA p256 커브, RSA 2048/4096(예정)
요금
Key Management Service 이용요금은 키 보유 개수에 따른 월 이용요금과 키를 호출한 횟수에 따른 이용요금을 합산해 부과됩니다.
구분 | 과금 기준(월) | 단위 | 이용 요금 (원) |
|---|---|---|---|
기본 | 키 보유 개수에 따른 월이용요금 | 보유 키 개수 (개) | - / 월 |
기본 | 키 보유 개수에 따른 월이용요금 | 키 호출 횟수 (10,000 건) | 월 20,000건 이하 : 무료 월 20,000건 초과 : 10,000건 당 - / 월 |
일반 HSM | 키 보유 개수에 따른 월이용요금 | 보유 키 개수 (개) | - |
일반 HSM | 키 보유 개수에 따른 월이용요금 | 키 호출 횟수 (10,000 건) | 월 20,000건 이하 : 무료 월 20,000건 초과 : 10,000건 당 - / 월 |
(VAT 별도)
키 호출 횟수는 익월로 이월되지 않습니다.
이용 요금은 한국 표준시간대(UTC+9)를 기준으로 산정됩니다.
요금 예시
Case 1) Key1을 9/1~9/5까지 보유하고, Key2를 9/1~9/20까지 보유했을 경우 → -= 5일/30일 x- + 20일/30일 x -
Case 2) 한 달간 Key1을 15,000건 호출하고, 같은달 안에 Key2를 10,000건 호출했을 경우
→ -= (Key1 15,000호출 + Key2 10,000호출 - 무료 20,000호출)의 결과(5,000호출)를 10,000 단위로 올린 결과(10,000호출) / 10,000 X -
Case3) 일반 HSM Key3을 3/1~3/5까지 보유하고, 해당 기간 안에 5,000건 호출했을 경우, → - = 5일/30일 x - (※ 키 호출 횟수 5,000건은 월 20,000건 이하 무료 구간)