Secrets Manager(SSM)는 사용자에게 자격 증명 생성, 인덱스, 업데이트, 삭제 등 전체 라이프사이클 관리 서비스를 제공하며, 리소스 레벨의 권한 부여와 결합해 중요 데이터 자격 증명을 통합 관리할 수 있습니다. 중요 데이터 설정, 중요 데이터 자격 증명의 하드코딩으로 인한 정보 유출 리스크에 대해 사용자 또는 응용 프로그램이 SSM API 호출로 자격을 인덱스하여, 프로그램 하드코딩 및 플레인 텍스트 설정 등으로 인한 중요 데이터 유출과 권한 삭제로 인한 업무 리스크를 효과적으로 방지합니다.
소개
특징
보안 통제가 가능한 자격 증명 인덱스
응용 프로그램의 소스 코드에서 하드코딩 자격 증명을 삭제하여 코드 상의 하드코딩 자격 증명을 SSM API 호출로 대체해, 프로그래밍 방식으로 동적 인덱스와 자격 증명을 편리하게 관리할 수 있습니다.
자격 증명 암호화 저장 및 전송
Tencent Cloud 보안키 관리 시스템을 통해 자격 증명을 암호화하여 저장합니다. 보안키 암호화는 3rd party 인증 하드웨어 보안 모듈(HSM)을 기반으로 생성 및 보호하며 자격 증명 인덱스 시 TLS를 통해 서버 로컬로 안전하게 전송합니다.
응용 레이어 자격 증명 전환
SSM을 활용해 중요 데이터 자격 증명 내용을 주기적으로 업데이트합니다. 해당 자격 증명의 모든 응용 지점을 근거로 자동으로 동기화하여 안전하게 자격 증명 전환을 관리하고, 해당 자격 증명을 기반으로 비즈니스 연속성을 확보할 수 있습니다.
리소스 레벨의 액세스 권한
Tencent 클라우드 액세스 관리(CAM)와 통합하여 신분 관리 및 정책 관리를 통해 권한이 있는 사용자만 자격 증명에 액세스하거나 수정할 수 있도록 합니다. 또한 해당 정책을 사용자 또는 역할에 적용할 수 있으며 사용자를 지정하여 자격 증명 액세스 권한을 부여할 수 있습니다.
정밀한 관리 및 감사
Tencent CloudAudit과 결합하여, Tencent Cloud 사용자 계정에 대한 관리, 적합성 검사, 작업/리스크 심사 서비스를 지원하며, 모든 자격 증명 관리 작업 및 사용 현황을 기록할 수 있습니다.
고가용성 재해 복구 백업
SSM은 클러스터화 배포 방식을 적용하여 분산형 데이터베이스 스토리지 시스템을 통해 데이터를 저장하고 재해 복구 백업을 진행합니다. 또한 서비스 사용자는 여러 리전 내에서 동일한 자격 증명을 생성하여 리전 간 재해 복구를 진행할 수 있습니다.
기능
엔터프라이즈급 자격 증명 관리
권한 및 모니터링
보안 규정 준수
엔터프라이즈급 자격 증명 관리
자격 증명 인덱스
응용 프로그램의 소스 코드에서 하드코딩 자격 증명을 삭제하고 SSM을 통해 프로그램 상의 중요 정보 하드코딩 또는 구성 파일 상의 중요 정보를 API를 통한 조회 방식으로 대체하여, 프로그래밍 방식의 동적 인덱스 자격 증명을 통해 코드 유출 또는 코드 조회 시 중요 정보를 획득하지 못하게 합니다.
자격 증명 암호화 저장 및 전송
Name-Value 방식을 통해 SSM에 데이터베이스 연결, 계정 비밀번호, IP 포트 등 여러 종류의 중요 데이터를 저장할 수 있으며 Value 부분에 최대 4,096바이트를 지원합니다. SSM은 Tencent Cloud 보안키 관리 시스템(KSM)이 보호하는 마스터 키(CMK)를 사용하여 보안키를 암호화하고 저장된 모든 중요 데이터 자격 증명을 암호화하여 저장합니다. 자격 증명 사용 시에는 TLS를 통해 서버 로컬에 보안 전송합니다.
응용 레이어 자격 증명 전환
SSM을 활용하여 시스템 내에서 자격 증명 내용 업데이트를 완료합니다. 해당 자격 증명을 호출하는 모든 응용 지점에서 자격 증명을 수동으로 업데이트할 필요 없이 자동으로 동기화되어 안전하게 자격 증명 전환을 관리하고, 자격 증명을 기반으로 비즈니스 시스템의 연속성을 보장합니다.
권한 및 모니터링
리소스 레벨의 액세스 권한
SSM과 Tencent 클라우드 액세스 관리(CAM)를 통합하여 고객 보안에 도움을 줄 뿐만 아니라 중요 데이터 자격 증명에 대한 액세스 권한을 세분화하여 관리할 수 있습니다. 액세스 관리에서 자격 증명 관리 사용자 또는 역할을 생성해 어떤 사용자가 SSM의 어떤 자격 증명에 액세스할 수 있는지 권한을 부여할 수 있으며, 자격 증명에 대한 조회, 수정, 삭제 등 조작 권한을 세부적으로 관리할 수 있습니다.
세분화된 관리 감독
Tencent 클라우드 감사(CloudAudit)와 결합하여 Tencent Cloud 계정에 대한 관리 감독, 적합성 검사, 조작/리스크 감사 서비스를 지원합니다. 사용자, 시간, 날짜, API 조작 등 자격 증명 상세 정보를 포함한 모든 자격 증명 관리 조작 및 사용 상황을 기록하여 지정한 COS 버킷에 전송할 수 있습니다.
보안 규정 준수
적합성 설명
SSM은 보안키 관리 시스템(KMS)과 연결되며, KMS는 기본적으로 3rd party 인증 하드웨어 보안 모듈을 통해 보안키를 생성 및 보호함으로써 관리 감독, 적합성 요구에 부합합니다.
고가용성 재해 복구 백업
SSM은 클러스터화 배포 방식을 적용하여 분산형 데이터베이스 스토리지 시스템을 통해 데이터를 저장하고 재해 복구 백업을 진행합니다. 또한 서비스 사용자는 여러 리전 내에서 동일한 자격 증명을 생성하여 리전 간 재해 복구를 진행할 수 있으므로, 한 클러스터에 장애 발생 시 리전만 전환하면 됩니다.
기능
엔터프라이즈급 자격 증명 관리
자격 증명 인덱스
응용 프로그램의 소스 코드에서 하드코딩 자격 증명을 삭제하고 SSM을 통해 프로그램 상의 중요 정보 하드코딩 또는 구성 파일 상의 중요 정보를 API를 통한 조회 방식으로 대체하여, 프로그래밍 방식의 동적 인덱스 자격 증명을 통해 코드 유출 또는 코드 조회 시 중요 정보를 획득하지 못하게 합니다.
자격 증명 암호화 저장 및 전송
Name-Value 방식을 통해 SSM에 데이터베이스 연결, 계정 비밀번호, IP 포트 등 여러 종류의 중요 데이터를 저장할 수 있으며 Value 부분에 최대 4,096바이트를 지원합니다. SSM은 Tencent Cloud 보안키 관리 시스템(KSM)이 보호하는 마스터 키(CMK)를 사용하여 보안키를 암호화하고 저장된 모든 중요 데이터 자격 증명을 암호화하여 저장합니다. 자격 증명 사용 시에는 TLS를 통해 서버 로컬에 보안 전송합니다.
응용 레이어 자격 증명 전환
SSM을 활용하여 시스템 내에서 자격 증명 내용 업데이트를 완료합니다. 해당 자격 증명을 호출하는 모든 응용 지점에서 자격 증명을 수동으로 업데이트할 필요 없이 자동으로 동기화되어 안전하게 자격 증명 전환을 관리하고, 자격 증명을 기반으로 비즈니스 시스템의 연속성을 보장합니다.
권한 및 모니터링
리소스 레벨의 액세스 권한
SSM과 Tencent 클라우드 액세스 관리(CAM)를 통합하여 고객 보안에 도움을 줄 뿐만 아니라 중요 데이터 자격 증명에 대한 액세스 권한을 세분화하여 관리할 수 있습니다. 액세스 관리에서 자격 증명 관리 사용자 또는 역할을 생성해 어떤 사용자가 SSM의 어떤 자격 증명에 액세스할 수 있는지 권한을 부여할 수 있으며, 자격 증명에 대한 조회, 수정, 삭제 등 조작 권한을 세부적으로 관리할 수 있습니다.
세분화된 관리 감독
Tencent 클라우드 감사(CloudAudit)와 결합하여 Tencent Cloud 계정에 대한 관리 감독, 적합성 검사, 조작/리스크 감사 서비스를 지원합니다. 사용자, 시간, 날짜, API 조작 등 자격 증명 상세 정보를 포함한 모든 자격 증명 관리 조작 및 사용 상황을 기록하여 지정한 COS 버킷에 전송할 수 있습니다.
보안 규정 준수
적합성 설명
SSM은 보안키 관리 시스템(KMS)과 연결되며, KMS는 기본적으로 3rd party 인증 하드웨어 보안 모듈을 통해 보안키를 생성 및 보호함으로써 관리 감독, 적합성 요구에 부합합니다.
고가용성 재해 복구 백업
SSM은 클러스터화 배포 방식을 적용하여 분산형 데이터베이스 스토리지 시스템을 통해 데이터를 저장하고 재해 복구 백업을 진행합니다. 또한 서비스 사용자는 여러 리전 내에서 동일한 자격 증명을 생성하여 리전 간 재해 복구를 진행할 수 있으므로, 한 클러스터에 장애 발생 시 리전만 전환하면 됩니다.
응용 시나리오
자격 증명 집중 관리
중요 데이터 자격 증명 인덱스 관리
응용 레이어 자격 증명 전환
기술 응용
비즈니스 개발의 민첩성 및 시스템에 존재하는 대량의 중요 계정 정보, 토큰, 인증서, SSH 보안키, API 보안키 등을 보장하기 위해 SSM을 통해 중요 데이터 자격 증명에 대한 저장, 인덱스, 사용 등의 전체 라이프사이클을 통합 관리합니다.
예상 시나리오
중요 데이터 설정 정보 자격 증명 암호화 저장 및 조회 관리 등 라이프사이클 관리에 다양하게 응용
당면 과제
대량의 중요 데이터 자격 증명이 각 비즈니스 부서 및 시스템에 분산되어 있어 관리가 힘들고 집중 관리 툴이 부족합니다.
솔루션
비즈니스 개발자가 콘솔이나 SDK 또는 명령 프롬프트를 통해 중요 데이터 설정 정보의 자격 증명을 생성/사용/저장할 수 있습니다. 비즈니스 관리자는 SSM을 활용하여 액세스 관리(CAM), 클라우드 감사(CloudAudit)와 결합해 기업의 자격 증명에 대한 전체 라이프사이클을 통합 관리할 수 있습니다.
기술 응용
응용 프로그램에 액세스하거나 서비스에서 신분을 인증하는 모든 디지털 인증서(예: 비밀번호, 토큰, 인증서, SSH 보안키 또는 API 보안키 등 각종 암호화 정보)를 생성하는 경우 통상적으로 플레인 텍스트를 응용 프로그램 구성 파일에 직접 삽입하여 표시하므로 보안성이 떨어집니다. SSM을 활용하면 중요 데이터 자격 증명 하드코딩 등의 리스크를 효과적으로 방지할 수 있습니다.
예상 시나리오
데이터베이스 자격 증명, API 보안키, 계정 비밀번호 등 자격 증명 관리
당면 과제
중요 데이터 자격 증명 정보 하드코딩, 플레인 텍스트 스토리지 리스크
솔루션
코드의 하드코딩 자격 증명(비밀번호 포함)을 SSM의 API 호출로 대체하여 프로그래밍 방식으로 자격 증명을 동적 인덱스하면, 중요 데이터 자격 증명이 전혀 포함되지 않으므로 코드를 조회하는 사람이 보안키를 유출하지 못하도록 할 수 있습니다.
기술 응용
시스템의 보안성 향상을 위해 중요 데이터 자격 증명의 정기적인 업데이트가 필요합니다.
예상 시나리오
응용 레이어 자격 증명 전환
당면 과제
타깃 자격 증명에 신뢰성 있는 애플리케이션/설정 동기화 업데이트가 필요하며, 멀티 애플리케이션 시스템의 자격 증명 업데이트 누락 및 애플리케이션 중단 리스크가 존재합니다.
솔루션
SSM은 콘솔을 통해 자격 증명 버전 또는 호출 API를 추가해 타깃 자격 증명 내용을 업데이트하며, 사용자 스스로 전체 또는 A/B 테스트를 선택해 자격 증명을 전환할 수 있어, 타깃 자격 증명을 기반으로 모든 응용 포인트의 동기화 업데이트가 진행됩니다.
가격
Tencent Cloud SSM은 자격 증명 스토리지 요금과 API 호출 요금 등 2개 부분으로 구성되어 있으며, 월별 후불 결제 방식이 적용됩니다. 매월 3일~5일은 요금 결제일로, 전월 산출된 요금을 결제 및 차감하며 명세서를 제공합니다. 자세히 보기