IBM Cloud Docs
암호화를 사용하여 데이터 보안

암호화를 사용하여 데이터 보안

IBM Cloud Schematics 을 사용할 때 어떤 데이터가 저장되고 암호화되는지, 저장된 사용자 데이터를 삭제하는 방법을 살펴보세요.

Schematics 을 사용할 때 데이터를 안전하게 관리하려면 어떤 데이터가 저장되고 암호화되는지, 저장된 데이터를 삭제할 수 있는 방법을 아는 것이 중요합니다. 데이터 암호화는 Key Protect 또는 Hyper Protect Crypto Services에서 관리하는 키를 사용하여 수행됩니다.

Schematics에서 데이터를 저장하고 암호화하는 방법

모든 데이터, 사용자 입력 및 Terraform 또는 Ansible 자동화 코드 실행 중 런타임에 생성된 데이터는 IBM Cloud Object Storage 에 저장됩니다. 데이터는 IBM Cloud 관리 루트 키와 함께 엔벨로프 암호화 기술을 사용하여 AES GCM 256암호화로 저장 시 암호화됩니다. Key Protect 관리 루트 키는 FIPS 140-2 Level 3 인증된 클라우드 기반 HSM(Hardware Security Module)온디맨드 암호화, 키 관리 및 키 저장소를 관리 서비스로 제공하는 물리적 어플라이언스입니다.에 의해 보호됩니다.

Schematics 는 세 가지 유형의 루트 키 관리를 지원합니다.

  1. Schematics 는 Key Protect에서 관리하는 루트 키를 소유합니다. (기본값)
  2. Key Protect에서 관리하는 BYOK (Bring Your Own Key).
  3. Hyper Protect Crypto Services (HPCS) 에서 관리하는 KYOK (Keep Your Own Key)

사용자 관리 키 사용에 대한 세부사항은 BYOK 또는 KYOK에 대한 KMS 통합 을 참조하십시오.

키 보호는 수동 및 자동 키 회전을 제공합니다. 루트 키를 회전하면 등록된 키는 새 키 버전으로 Schematics 리소스를 다시 암호화하는 데 사용됩니다. 로테이션이 완료될 때까지 세부 정보 등의 리소스 메타데이터( Schematics )에 액세스할 수 있습니다.

키 삭제 또는 사용 안함

키 삭제는 영구 삭제 조치입니다. Schematics 리소스를 암호화하는 데 사용되는 루트 키를 사용 안함으로 설정하거나 삭제하면, 활동 또는 작업 로그, 리소스 목록, 변수 저장소와 같은 트랜잭션 데이터에 액세스할 수 없습니다. 그러나 메타데이터 세부사항에 액세스할 수 있습니다. 또한 Schematics 을 통한 후속 배포 또는 구성 작업은 실패로 이어집니다. 키 삭제 또는 비활성화 이벤트는 IBM Cloud Logs Activity Tracker 으로 전송됩니다.

키 사용 또는 복원

루트 키를 활성화하거나 복원할 수 있는 경우, 비활성화 또는 삭제된 루트 키로 인해 액세스할 수 없었던 Schematics 리소스 트랜잭션 데이터에 액세스할 수 있게 됩니다. 배치 또는 구성 조작에 Schematics 리소스를 사용할 수도 있습니다. 키 활성화 또는 복원 이벤트는 IBM Cloud Logs Activity Tracker 으로 전송됩니다.

Schematics에 저장된 기술 정보는 무엇입니까?

Schematics 작업공간을 작성하고 사용할 때 다음 기술 데이터가 암호화되어 저장됩니다. -작업공간 세부사항 -작업공간 변수

  • 워크스페이스가 가리키는 테라폼 구성 파일 -Terraform 상태 파일 -Terraform 로그 파일 -사용자 활동 로그

내 정보는 어디에 저장됩니까?

기본적으로 Schematics에 저장되는 모든 정보는 전송 중과 저장 시에 암호화됩니다. 복원성 및 고가용성을 보장하기 위해 미국 및 EU 지역에 저장된 모든 데이터가 동일한 지역의 여러 위치에서 복제됩니다. 작업할 Schematics 위치를 선택할 때 데이터를 이러한 지리적 위치에 저장할 수 있는지 확인하십시오.

위치 정보
지역/위치 API 엔드포인트 저장된 데이터 복제된 데이터
북미 Public
https://us.schematics.cloud.ibm.com

https://cloud.ibm.com/schematics/overview

Private
https://private-us.schematics.cloud.ibm.com(더 이상 사용되지 않음)		 모든 데이터 개체는 미국 위치에 저장됩니다. 데이터는 미국의 두 위치 간에 복제됩니다.
Dallas Public
https://us-south.schematics.cloud.ibm.com

Private
https://private-us-south.schematics.cloud.ibm.com		 모든 데이터 개체는 달라스 위치에 저장됩니다. 데이터는 미국의 두 위치 간에 복제됩니다.
워싱턴 Public
https://us-east.schematics.cloud.ibm.com

Private
https://private-us-east.schematics.cloud.ibm.com		 모든 데이터 개체는 워싱턴 위치에 저장됩니다. 데이터는 미국의 두 위치 간에 복제됩니다.
유럽 Public
https://eu.schematics.cloud.ibm.com

Private
https://private-eu.schematics.cloud.ibm.com(더 이상 사용되지 않음)		 모든 데이터 개체는 유럽 위치에 저장됩니다. 데이터는 유럽의 두 위치 간에 복제됩니다.
프랑크푸르트 Public
https://eu-de.schematics.cloud.ibm.com

Private
https://private-eu-de.schematics.cloud.ibm.com		 모든 데이터 개체는 프랑크푸르트 위치에 저장됩니다. 데이터는 유럽의 두 위치 간에 복제됩니다.
런던 Public
https://eu-gb.schematics.cloud.ibm.com

Private
https://private-eu-gb.schematics.cloud.ibm.com		 모든 데이터 개체는 런던 위치에 저장됩니다. 데이터는 유럽의 두 위치 간에 복제됩니다.
토론토 Public
https://ca-tor.schematics.cloud.ibm.com

Private
https://private-ca-tor.schematics.cloud.ibm.com		 모든 데이터 개체는 토론토 (ca-tor) 위치에 저장됩니다. 서비스 기능에 대한 모든 메타데이터는 토론토 위치에 저장됩니다.

내 정보는 어떻게 암호화됩니까?

다음 이미지는 기본 IBM Cloud Schematics 컴포넌트 및 운영 데이터 플로우를 표시합니다. 고객 관리 Key Protect 및 Hyper Protect Crypto Services및 IBM Cloud Object Storage 의 스토리지를 사용하여 사용자 데이터를 암호화하기 위한 상호작용이 표시되어 있습니다.

IBM Cloud Schematics 아키텍처 및 데이터 암호화 프로세스
IBM Cloud Schematics 아키텍처 및 데이터 암호화 프로세스

  1. 사용자가 Schematics API 서버에 Schematics 워크스페이스 생성 요청을 보냅니다. 사용자에게 작업공간에 대한 Schematics 조작을 수행할 수 있는 권한이 부여되었는지 확인하기 위한 IAM 요청이 작성됩니다.
  2. API 서버는 GitHub 또는 GitLab 소스 저장소에서 Terraform 템플리트 및 입력 변수를 검색하거나, 로컬 시스템에서 업로드한 테이프 아카이브 파일(.tar)을 검색합니다. 전송 중인 사용자 데이터는 TLS로 보호됩니다.
  3. 사용자가 시작한 모든 작업, 작업 공간 생성, Terraform 실행 계획 생성 또는 계획 적용은 RabbitMQ 으로 전송되어 내부 대기열에 추가됩니다. Schematics 엔진은 RabbitMQ 에서 요청을 검색하고 조치를 실행합니다. 전송 중인 사용자 데이터는 TLS로 보호됩니다.
  4. Schematics 엔진은 클라우드 자원을 프로비저닝, 수정 또는 삭제하는 작업을 실행합니다.
  5. 저장된 사용자 데이터를 보호하기 위해 IBM Cloud Schematics 은 AES GCM 256암호화를 사용하여 데이터를 암호화합니다. Key Protect 및 Hyper Protect Crypto Services 로 관리되는 루트 키를 사용한 엔벨로프 암호화는 데이터 오브젝트에 대한 고유 데이터 암호화 키 (DEK) 를 생성하고 암호화하는 데 사용됩니다.
  6. 작업공간 트랜잭션 데이터는 로그 및 저장된 Terraform tf.state 파일을 포함하여 DEK를 사용하여 암호화됩니다. IBM Cloud Object Storage 버킷에 저장된 암호화된 데이터입니다.
  7. 작업공간 운영 데이터, 작업공간 및 작업 이름, IBM Cloud Object Storage 의 사용자 데이터에 대한 포인터 및 검색 키는 IBM Cloudant에 저장됩니다. Cloudant 에 저장된 모든 정보는 AES 256으로 암호화됩니다. Cloudant 데이터 보안 및 암호화에 대한 자세한 정보는 Cloudant Security 를 참조하십시오.

내 정보를 삭제할 수 있는 방법은 무엇입니까?

IBM Cloud Schematics에서 데이터를 제거하려면 다음 옵션 중에서 선택하십시오.

작업 공간 삭제
워크스페이스를 삭제하면 워크스페이스와 관련된 모든 데이터가 영구적으로 삭제됩니다. IBM Cloud 지원 케이스 열기
지원 케이스를 열어 워크스페이스 및 관련 데이터를 제거하려면 IBM 지원팀에 문의하세요. 자세한 정보는 지원 받기를 참조하십시오. IBM Cloud 구독 종료
Schematics 정리 작업은 하루에 여러 번 실행되어 IBM 에 저장된 모든 워크스페이스가 활성 IBM Cloud 계정에 속하는지 확인합니다. 활성 계정을 찾을 수 없으면 워크스페이스와 관련된 모든 저장된 데이터가 삭제됩니다.