GKE의 FIPS 인증 암호화 정보

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

---

이 페이지에서는 Google Cloud 및 Google Kubernetes Engine (GKE)이 Google Cloud에서 실행되는 GKE 클러스터를 통해 데이터를 처리하고 전송할 때 연방 정보 처리 표준 (FIPS)을 준수하는 방법을 설명합니다.

이 페이지는 FIPS와 관련된 엄격한 데이터 보안 및 개인 정보 보호 요구사항을 충족하려는 보안 관리자, 보안 엔지니어, 규정 준수 담당자를 대상으로 합니다. 이 페이지는 GKE On-Prem이 기본적으로 데이터 보안을 위해 FIPS 검증 보호 기능을 구현한다는 사실을 감사자에게 보여주어야 하는 경우에도 유용합니다. Google Cloud

GKE의 FIPS 인증 암호화에 관한 주요 사항

• 전송 중인 데이터 암호화 (SC-28) 및 저장 데이터 암호화 (SC-8(1))에 관한 FedRAMP® 보안 제어를 준수하려면 FIPS 140-2 검증 암호화 모듈 이상을 사용하여 데이터를 암호화해야 합니다. 이러한 보안 제어는 운영체제 (OS) 수준에서 'FIPS 모드'를 사용 설정하도록 명시적으로 요구하지 않습니다. 또한 OS 수준의 FIPS 모드가 규정 준수를 보장하는 것은 아닙니다.
• FedRAMP 승인 Google Cloud 시스템에 저장된 데이터는 기본적으로 FIPS 140-2 유효성 검사 암호화 모듈 이상을 사용하여 저장 상태에서 암호화됩니다. 데이터가 이러한 승인된 시스템에 저장되어 있는 한 데이터는 저장 데이터 보호에 관한 FedRAMP 요구사항 (보안 제어 SC-28)을 충족합니다. 승인된 시스템 목록은 범위에 포함된 FedRAMP 높음 수준 서비스를 참고하세요.
• Google CloudVirtual Private Cloud (VPC) 네트워크 내에서 전송하는 데이터는 자동으로 암호화되며 인증 및 승인 메커니즘으로 보호됩니다. VPC는 FedRAMP 높음에서 승인됩니다. 데이터가 Google Cloud VPC 네트워크 내에서 전송되는 한 데이터는 전송 중인 데이터 보호를 위한 FedRAMP 요구사항 (보안 제어 SC-8(1))을 충족합니다.
• 저장 데이터 및 전송 중 데이터 보호에 관한 FedRAMP 요구사항을 충족하기 위해 FIPS 준수 빌드 프로세스를 사용하여 애플리케이션을 빌드할 필요는 없습니다. 이는Google Cloud VPC 네트워크 내에서 전송되고 FedRAMP 승인 Google Cloud 저장소 시스템에 저장된 데이터가 기본적으로 이러한 데이터 보호를 위한 FedRAMP 요구사항을 준수하여 보호되기 때문입니다.

FIPS 및 FedRAMP 정보

연방 위험 및 인증 관리 프로그램 (FedRAMP)은 클라우드 기술의 보안 및 위험 평가에 대한 표준화된 접근 방식을 정의하는 미국 정부 프로그램입니다. GKE는 FedRAMP 높음 수준 잠정적 운영 권한 (P-ATO)이 있는Google Cloud 서비스 목록에 포함되어 있습니다. Google Cloud FedRAMP P-ATO에 대한 자세한 내용은 Google Cloud FedRAMP 개요를 참고하세요.

FIPS는 미국 국립표준기술연구소 (NIST)에서 발표한 공개 표준 집합입니다. FIPS 게시물 140-2에서는 암호화 모듈 승인 요구사항을 정의합니다. 자세한 내용은 NIST의 FIPS 140-2를 참고하세요.

FedRAMP High P-ATO에는 전송 중인 데이터 보호(SC-8(1)) 및 FIPS 검증 암호화 모듈을 사용한 저장 데이터 보호 (SC-28(1))를 위한 제어가 포함됩니다.

GKE의 기본 FIPS 검증 데이터 보호

다음 섹션에서는 Google Cloud 및 GKE가 FIPS 인증 암호화를 구현하여 비정상적으로 저장된 데이터와 전송 중인 데이터를 보호하는 방법을 설명합니다. 이 정보는 Google Cloud 시스템 보안 계획 (SSP)에 자세히 설명되어 있습니다. Google Cloud 영업팀,Google Cloud 담당자 또는 정부 고객인 경우 Google Cloud FedRAMP 프로그램 관리 사무실에 요청할 수 있습니다. 자세한 내용은 Google Cloud FedRAMP 규정 준수를 참고하세요.

저장 데이터에 대한 FIPS 검증 데이터 보호

GKE 데이터는 저장 중에 BoringCrypto라는 FIPS 140-2 검사Google Cloud 암호화 모듈을 사용하여 암호화됩니다. 자세한 내용은 Google Cloud의 FIPS 140-2 검증을 참고하세요.

저장 데이터 암호화에 관한 자세한 내용은 다음 리소스를 참고하세요.

• 기본 저장 데이터 암호화
• FedRAMP P-ATO 범위 내의 Google Cloud 서비스
• NIST 800-57: 키 관리 권장사항
• NIST BoringCrypto 모듈 유효성 검사
• 사용자 관리 암호화 키로 GKE에서 전송 중 데이터 암호화

전송 중 FIPS 인증 데이터 보호

Google Cloud VPC에 FedRAMP 높음 P-ATO가 있습니다. VPC 네트워크 내에서 전송하는 모든 데이터는 자동으로 암호화됩니다. GKE에서는 컨테이너, 포드, 각 노드의 kubelet 프로세스, 모든 노드, 제어 영역 인스턴스, VPC 내의 기타 Google Cloud 서비스 간의 모든 트래픽이 전송 중에 보호됩니다. Google API에 대한 모든 연결은 전송 계층 보안 (TLS) 1.2 이상을 사용하여 네트워크 트래픽을 암호화합니다. Google Cloud VPC 네트워크 내에서 전송 중인 데이터 보호를 위해 FIPS를 준수하기 위해 추가 조치를 취하지 않아도 됩니다.

전송 중 데이터가 암호화되는 방식에 관한 자세한 내용은 전송 중인 데이터 암호화 백서를 참고하세요.

Google Cloud외부에서 데이터를 보호하기 위한 권장사항

GKE 및Google Cloud 의 전송 중 데이터 기본 암호화는 Google Cloud VPC 네트워크 내에서만 적용됩니다. VPC 네트워크 경계 밖에 있는 데이터를 보호하려면 FIPS 준수 암호화를 사용해야 합니다. 다음 권장사항을 따르면 전송 중인Google Cloud FIPS 환경 외부의 모든 수신 및 발신 데이터가 FIPS 규정을 준수하는 암호화로 암호화됩니다.

인터넷에서 들어오는 트래픽 가로채기 및 암호화

인터넷에서 Google Cloud 환경으로 수신되는 트래픽의 경우 Google Cloud 부하 분산기에서 SSL 정책을 사용하여 Google Cloud 환경에 들어올 때 데이터를 보호해야 하는 FIPS 인증 암호화 암호 또는 메커니즘의 허용되는 집합을 정의합니다. 자세한 내용은 다음 리소스를 참고하세요.

• SSL 및 TLS 프로토콜을 위한 SSL 정책
• 커스텀 프로필로 SSL 정책 만들기
• 프록시 부하 분산기와 백엔드 간의 암호화

인터넷으로 향하는 아웃바운드 트래픽 가로채기 및 암호화

방화벽을 구성하여 신뢰할 수 있는 알려진 서드 파티 집합으로 아웃바운드 데이터 연결을 제한하는 경계를 정의합니다. GitHub와 같은 소스에서 데이터를 가져오는 것과 같은 외부 네트워크 요구사항과 이러한 외부 연결이 환경 내에서 발생하는 위치를 다이어그램으로 표시하고 문서화합니다. 역방향 프록시를 사용하여 VPC의 아웃바운드 트래픽을 가로채는 것이 좋습니다.

FedRAMP 규정을 준수하는Google Cloud 환경의 경계를 벗어나는 HTTP 트래픽이 있는 경우 데이터가 환경을 벗어나기 전에 가로채도록 HTTP 전달 프록시를 설정하는 것이 좋습니다. 데이터가 경계를 벗어나도록 허용하기 전에 FIPS 140-2 검사를 통과한 암호화 모듈을 사용하여 데이터를 다시 암호화합니다. 이 접근 방식은 모든 내부 클라이언트가 외부 통신에 규정을 준수하는 암호화 라이브러리를 사용하도록 하는 것보다 대규모로 관리하기 쉽습니다.

비공개 노드 사용 설정

GKE를 사용하면 클러스터의 새 노드에 대한 외부 IP 주소를 사용 중지하여 노드에서 실행되는 워크로드가 기본적으로 인터넷과 통신할 수 없도록 할 수 있습니다. http_proxy 또는 https_proxy 환경 변수를 사용하여 구성된 HTTP 프록시로 모든 트래픽을 전송합니다.

라우팅 규칙을 사용하여 이 트래픽을 더 투명하게 가로챌 수 있습니다. 하지만 TLS 트래픽을 프록시하므로 프록시는 GKE에서 실행되는 애플리케이션에 완전히 투명할 수 없습니다.

자세한 내용은 다음 리소스를 참조하세요.

• 네트워크 격리에 대한 정보
• 제어 영역 및 노드에 대한 네트워크 액세스 제한

GKE에 대한 네트워크 레이어 연결에 Cloud VPN 사용

GKE 클러스터에 암호화된 네트워크 레이어 연결이 필요한 경우가 있습니다. 예를 들어 GKE 노드와 온프레미스 노드 간에 FIPS를 준수하는 네트워킹을 설정해야 할 수 있습니다. Cloud VPN은 VPC 네트워크와 온프레미스 네트워크 간에 전송되는 데이터를 암호화하는 FedRAMP High 승인 서비스를 제공합니다. 자세한 내용은 Cloud VPN 개요를 참고하세요.

암호화 작업에 Cloud KMS 사용

Google Cloud환경에서 암호화 작업을 실행해야 하는 경우 Cloud Key Management Service를 사용하세요. Cloud KMS는 FedRAMP 높음 수준 승인을 받은 서비스입니다. Cloud KMS를 사용하면 FIPS 140-2 Level 1 또는 Level 3을 준수하는 암호화 작업을 실행할 수 있습니다. 자세한 내용은 다음 리소스를 참조하세요.

• 키 백엔드 및 보호 수준
• 원시 대칭 암호화

GKE 워크로드에서 FIPS 검증 라이브러리 빌드

GKE 애플리케이션에서 BoringCrypto 암호화 모듈을 사용하려면 BoringSSL을 설치하세요. BoringSSL은 BoringCrypto 라이브러리를 포함하는 OpenSSL의 오픈소스 포크입니다. BoringCrypto 모듈을 빌드, 컴파일, 정적으로 BoringSSL에 연결하려면 BoringCrypto FIPS 140-2 보안 정책 PDF의 12.1 '설치 안내' 섹션을 참고하세요.

서드 파티 FIPS 준수 컨테이너 이미지 고려

FIPS 준수Google Cloud 환경의 경계에서 프록시를 사용하여 FIPS 규정을 포괄적으로 시행하는 것이 좋습니다. FIPS 준수 커널이 있는 노드 호스트 머신으로 제한되지 않고 FIPS 준수 워크로드를 실행할 수도 있습니다. 일부 서드 파티 공급업체는 별도의 FIPS 준수 엔트로피 소스를 사용하는 컨테이너 이미지를 제공합니다.

서드 파티 공급업체의 구현이 실제로 FIPS를 준수하는지 적절하게 평가해야 합니다.

다음 단계

• Google Cloud FedRAMP 구현 가이드 읽기
• 조직 정책 제약조건을 사용하여 TLS를 버전 1.2로 제한