Event Streams 에서 암호화 관리

규정 준수를 위한 메시지 수준 암호화

PCI DSS와 같은 일부 규제 표준에서는 민감한 메시지 데이터(예: 카드 소지자 정보)를 저장 중, 이동 중, 사용 중 등 수명 주기 내내 암호화할 것을 요구합니다.

Event Streams 에서 메시지 데이터를 저장하는 데 사용하는 파일 시스템은 암호화되어 무단 액세스로부터 보호됩니다. 그러나 메시지가 전송 계층을 통과할 때 Event Streams 는 이러한 파일 시스템의 암호를 해독하여 메시지를 처리해야 합니다. 이는 메시지 페이로드가 종단 간 암호화되지는 않지만 전송 중 및 미사용 시 암호화는 업계 모범 사례에 따라 메시지 수명 주기 전반에 걸쳐 강력한 보호를 보장한다는 것을 의미합니다.

민감한 데이터를 의도한 수신자 이외의 다른 사람이 읽을 수 없도록 하려면 클라이언트는 Event Streams 으로 보내기 전에 애플리케이션 수준에서 메시지 자체를 암호화해야 하며, 이를 메시지 수준 암호화라고 합니다.

고객 관리 암호화에서 다루지 않는 사항

고객이 관리하는 암호화 기능을 선택한 경우 메시지 페이로드 데이터만 이 암호화에 적용된다는 점에 유의하세요. Event Streams 서비스 사용과 관련된 기타 데이터는 미사용 시 암호화됩니다. 그러나 암호화된 메시지 이외의 페이로드 데이터( 는 )는 고객이 관리하는 암호화로 암호화됩니다. 예를 들어 주제 이름, 주제 구성 데이터, 스키마 레지스트리에 저장된 스키마 및 엔터프라이즈 인스턴스의 구성과 관련하여 저장되는 메타데이터와 같은 클라이언트 메타데이터가 있습니다.

따라서 이러한 클라이언트 메타데이터에서 기밀 정보를 사용하지 마십시오.

고객 관리 암호화 작동 방식

Event Streams 는 봉투 암호화라는 개념을 사용하여 고객이 관리하는 키를 구현합니다.

엔벨로프 암호화는 하나의 암호화 키로 다른 암호화 키를 암호화하는 것입니다. 실제 데이터를 암호화하는 데 사용되는 키를 DEK(Data Encryption Key)라고 합니다. DEK 자체는 저장되지 않고, 대신 키 암호화 키(KEK)라고 하는 두 번째 키로 래핑되어 래핑된 DEK를 생성합니다.

데이터를 복호화하려면 먼저 랩핑된 DEK를 랩핑 해제하여 DEK를 가져와야 합니다. 이 프로세스는 KEK에 액세스해야만 가능합니다. 이 경우에는 Key Protect 또는 Hyper Protect Crypto Services에 저장된 루트 키입니다.

KEK를 소유합니다. KEK는 Hyper Protect Crypto Services 또는 Key Protect 서비스에서 루트 키로 작성합니다. Event Streams 서비스는 결코 루트(KEK) 키를 확인하지 않습니다. DEK를 랩핑 및 랩핑 해제하는 스토리지, 관리, 사용은 전체가 키 관리 서비스 내에서 수행됩니다. 키를 사용 안함으로 설정하거나 삭제하는 경우 데이터는 더 이상 암호 해독할 수 없습니다.

Event Streams에 대한 고객 관리 키 사용

다음 단계를 완료하여 고객 관리 키를 사용하도록 Event Streams 인스턴스를 프로비저닝하십시오.

1. Key Protect 또는 Hyper Protect Crypto Services의 인스턴스를 프로비저닝하십시오.
2. Event Streams 서비스가 독자로서 키 관리 서비스 인스턴스에 액세스할 수 있도록 권한 정책을 작성하십시오. 자세한 내용은 권한을 사용하여 서비스 간 액세스 권한을 부여하는 방법을 참조하세요.
3. 루트 키를 작성하거나 키 관리 서비스 인스턴스에 가져오십시오.
4. 키 관리 서비스 인스턴스 GUI에서 CRN 보기 옵션을 사용하여 키의 클라우드 리소스 이름(CRN)을 검색합니다.
5. Event Streams의 인스턴스를 프로비저닝하십시오. 이 기능은 엔터프라이즈 플랜에서만 지원됩니다.

IBM Cloud® 콘솔을 통해 프로비저닝하는 경우 키 관리 서비스 인스턴스를 선택한 후 인스턴스에서 루트 키를 선택하십시오.

CLI를 통해 프로비저닝하는 경우 다음 명령을 사용하십시오.

ibmcloud resource service-instance-create EVENT-STREAMS-INSTANCE-NAME messagehub ibm.message.hub.enterprise.3nodes.2tb REGION -p '{"kms_key_crn":"KMS_KEY_CRN"}'

고객이 관리하는 키가 없는 기존 클러스터는 업데이트할 수 없습니다. 이 작업은 모든 메시지 및 토픽 정의를 잃어버리게 만드는 파괴적인 작업이기 때문입니다. 암호화 키를 사용하여 인스턴스를 삭제하고 다시 만들어야 합니다.

사용자 관리 키 사용

Event Streams 의 인스턴스에 고객 관리 키를 제공한 후에는 다음과 같은 추가 기능으로 작동합니다.

고객 관리 암호화 사용 안함

고객 관리 암호화를 사용하도록 설정한 후에는 비활성화할 수 없습니다. 대신 서비스 인스턴스를 삭제하고 새 인스턴스를 작성해야 합니다.

Hyper Protect Crypto Services (HPCS)에서 Key Protect 전용(KP-ST)으로 마이그레이션하기

Hyper Protect Crypto Services (HPCS)에서 Key Protect 전용(KP-ST)으로 마이그레이션하는 동안 다음과 같은 일이 발생합니다:

• 각 KMS 인스턴스는 고유한 루트 키를 유지합니다. 마이그레이션에는 새로운 IBM® Key Protect 전용 루트 키와 서비스를 다시 연결해야 합니다.
• 기존 데이터 암호화 키(DEK)는 안전하게 다시 래핑됩니다.
• 전환하는 동안 Hyper Protect Crypto Services 에서 서비스 및 Key Protect 에서 서비스 액세스 정책은 모두 그대로 유지되어야 합니다.
• 암호화된 데이터는 재암호화되거나 이동되지 않습니다.
• 서비스 가용성은 유지됩니다.