키 관리 운영

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 12분

    • 키 관리 운영 하위 모듈은 와 함께 ServiceNow 클라우드 암호화사용되는 모든 암호화 키를 보고 관리할 수 있는 액세스를 제공합니다.

    주요 수명주기 상태

    시스템에는 지정된 시간에 하나의 활성 키만 있습니다. 키를 선택할 때 선택한 키에 대한 활동(예: 교체되거나 철회된 키 및 해당 타임스탬프)에 액세스합니다.

    수행된 키 관리 작업에 따라 키 수명 주기 상태가 업데이트됩니다.

    업데이트된 키 수명주기 상태를 표시합니다.

    자세한 내용은 또는 를 고객 관리형 키 교대 참조하십시오ServiceNow 관리 키 회전.

    주:
    키 순환 프로세스를 완료하는 데 최대 20분이 걸릴 수 있습니다.

    ServiceNow 관리 키 회전

    활성 클라우드 암호화 ServiceNow 관리형 키를 순환합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    중요사항:
    고객 관리형 키를 사용하는 경우 을 참조하십시오 고객 관리형 키 교대.

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영.
      클라우드 암호화 키 메타데이터 목록이 로드됩니다. 인스턴스에 사용된 모든 키가 나열됩니다. 한 번에 하나의 키만 활성화할 수 있습니다.

      모듈에 클라우드 암호화 처음 액세스하는 경우 초기 키 회전이 수행된 후 키 입력을 사용할 수 있습니다. ServiceNow 관리형 키는 시스템의 기본값입니다.

    2. 테이블에서 활성 키를 선택합니다.
      생성된 키에 대한 ServiceNow 일반 정보가 포함된 키 정의 테이블이 표시됩니다.
    3. 키 회전 버튼을 선택합니다.
      키 회전을 계속하거나 작업을 취소하는 옵션과 함께 알림이 표시됩니다.
    4. 확인을 선택하여 키를 회전합니다.
      키 정의 페이지의 맨 위에 확인 메시지가 표시됩니다.
    5. 키 관리 운영 화면으로 돌아가 키 메타데이터 테이블을 새로 고칩니다 클라우드 암호화 .
      현재 활성 키와 현재 활성 키 대신 회전하기 위해 생성되는 키에 대한 항목이 나열됩니다. 사용 가능한 다양한 상태를 확인합니다 주요 관리 프레임워크 주요 수명주기 상태 .

      활성 키는 키 버전 0 으로 나열되고 생성된 키의 버전은 1입니다.

    6. 원래 키에 대한 항목을 열어 키 관리 트랜잭션을 봅니다.
      자세한 내용은 자세한 내용을 참조하십시오 키 관리 트랜잭션 .
      이전의 활성 키인 버전 0은 키 수명 주기 상태인 Rotated 로 업데이트되었으며 새 키인 버전 1Active입니다.

    고객 관리형 키 준비

    다음 단계에 따라 인스턴스에 업로드할 고객 관리형 키를 준비합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    이 태스크 정보

    고객 관리형 키의 경우 암호화 라이브러리 또는 HSM을 사용하여 키를 생성할 수 있습니다. 이 키는 AES 256비트 키여야 하며 RSAES_OAEP_SHA_256 암호화 스키마가 있는 Cloud Encryption 래핑 인증서로 래핑해야 합니다.
    주:

    OpenSSL 암호화 도구를 사용하여 키를 생성하도록 선택한 경우 OpenSSL 버전은 버전 1.1.1x 이상이어야 합니다.

    를 사용하여 Windows고객 관리형 키를 만들고 래핑하는 경우 Git Bash와 같은 Bash 셸 지원 애플리케이션을 통해 래핑된 키를 생성해야 합니다.

    프로시저

    1. OpenSSL을 사용하여 AES-256비트 대칭 키로 사용할 임의의 값을 생성합니다.

      예를 들어 openSSL을 사용하여 openssl rand 32 명령으로 이 키를 생성할 수 있습니다.

      호환성을 위해 대칭 키에는 다음과 같은 특성이 있어야 합니다.

      속성
      키 유형 AES(Advanced Encryption Standard) 알고리즘 기반 대칭 키입니다.
      키 크기 256비트(32바이트)
      키 래핑 요구 사항
      • RSA 암호화 알고리즘
      • OAEP(최적 비대칭 암호화 패딩)
      • SHA-256 해시 함수(RSAES_OAEP_SHA_256)
      • Base64 알고리즘을 사용하여 인코딩됨
    2. 키를 파일에 저장합니다.
      예를 들어, openSSL 명령 openssl rand 32 > plaintext_key.bin 는 32바이트 키를 생성하여 plaintext_key.bin라는 파일에 저장합니다.
      중요사항:
      나중에 참조할 수 있도록 이 파일을 안전하게 저장합니다. 이 키는 업로드를 위한 공개 키로 래핑됩니다.
    3. 인스턴스에서 다운로드한 래핑 인증서 파일에서 공개 키를 추출합니다. 
      openssl x509 -pubkey -noout -in wrapping_cert.pem > public_key.pem
      주:
      래핑 인증서를 다운로드하는 방법에 대한 자세한 내용은 를 참조하십시오.
    4. RSAES_OAEP_SHA_256 알고리즘을 사용하여 래핑 인증서와 함께 다운로드한 공개 키로 생성된 키를 래핑합니다. 
      cat plaintext_key.bin | openssl pkeyutl -encrypt -inkey public_key.pem -pubin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 | openssl base64 -A -out wrapped_key.txt
      이 명령에 지정된 파일에는 CMK 프로세스에 대해 SN에 제공할 수 있는 래핑된 고객 관리형 키가 포함되어 있습니다.

    ServiceNow 키와 고객 관리 키 간 전환

    에서 사용할 고객 관리형 키 또는 ServiceNow 관리형 키 간에 전환합니다 ServiceNow 클라우드 암호화.

    기본적으로 인스턴스는 관리형 키를 사용하도록 ServiceNow 구성되어 있으며 ServiceNow 암호화 키 생성은 활성 상태입니다. 그러나 관리자는 고객 관리형 키를 사용하도록 선택할 수 있습니다. 관리형 키로 ServiceNow 돌아가도록 선택할 수도 있습니다.

    고객 관리형 키 교대

    에 대한 고객 관리형 키를 래핑한 후 고객 관리형 키를 인스턴스로 순환합니다 클라우드 암호화.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영.
      클라우드 암호화 키 메타데이터 목록이 로드됩니다. 인스턴스에서 사용된 모든 키가 나열됩니다.
    2. 클라우드 암호화 키 메타데이터 목록에서 활성 키에 대한 기록을 엽니다.
      키가 여러 개인 경우 키 수명 주기 상태가활성인 키를 선택합니다. 인스턴스에 활성 키가 하나만 있습니다.
    3. 키 정의 기록에서 키 회전 단추를 선택합니다.
    4. 고객 관리형 키 업로드 창에서 나열된 단계를 수행합니다.
      1. 래핑 인증서 다운로드를 선택합니다.
        public_certificate.... zip은 로컬 컴퓨터에 다운로드되고 고객 관리형 키를 래핑하는 데 사용됩니다.
        경고:
        고객 관리형 키로 전환하거나 전환할 때마다 래핑 인증서를 다운로드하여 잠재적인 인증서 관련 문제를 방지합니다.
      2. 찾아보기를 선택하여 고객 관리 키를 업로드한 다음, 래핑된 암호화 키를 찾아 선택합니다.
        다른 파일을 선택하려면 파일을 선택하고 제거를 선택합니다.
      3. 첨부 파일 창을 닫습니다.
      4. 확인을 선택하여 키를 업로드합니다.
        키가 올바른 형식이면 확인 메시지가 나타나고 그렇지 않으면 오류 메시지가 표시됩니다. 키 파일은 키 정의 기록에 첨부됩니다.

        키 관리 트랜잭션 테이블에 인증서 다운로드 및 키 업로드 단계가 나열됩니다. 요청 단계에 대한 자세한 내용은 을 참조하십시오 키 관리 트랜잭션 .

    5. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영 을 클릭하여 키 목록을 표시합니다.
      키 목록에서 고객 관리형 키에 대한 새 레코드를 볼 수 있습니다. 이 새 키의 Origin 값은 customer_supplied 이며 Active 상태입니다. 이전 키가 회전됨 상태입니다.

    고객 관리형 키로 전환

    에 대해 ServiceNow 클라우드 암호화고객 관리형 키를 사용합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    고객 관리형 키로 전환하려면 이 단계의 일부로 업로드할 수 있는 래핑된 고객 관리형 키가 준비되어 있어야 합니다. 이 키를 업로드할 준비를 하는 방법에 대한 자세한 내용은 을 참조하십시오 고객 관리형 키 준비. 키를 업로드한 후 이 프로세스는 새 키에 대한 키 회전을 시작합니다.

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영.
    2. 클라우드 암호화 키 메타데이터 목록에서 활성 키에 대한 기록을 엽니다.
      키가 여러 개인 경우 키 수명 주기 상태가활성인 키를 선택합니다. 인스턴스에 활성 키가 하나만 있습니다.
    3. 양식의 관련 링크 섹션에서 고객 관리 키로 전환 링크를 선택합니다.
    4. Switch to Customer Managed Key(고객 관리형 키로 전환) 대화 상자에서 Upload Managed Key(관리형 키 업로드) 버튼을 선택합니다.
    5. 고객 관리형 키 업로드 대화 상자에서 나열된 단계를 수행합니다.
      1. 래핑 인증서 다운로드를 선택합니다.
        경고:
        고객 관리형 키로 전환하거나 전환할 때마다 래핑 인증서를 다운로드하여 잠재적인 인증서 관련 문제를 방지합니다.
      2. 찾아보기를 선택하고 프롬프트에 따라 장치에서 키를 선택하고 업로드합니다.
      3. 고객 관리형 키로 전환을 선택합니다.
      인스턴스에서 고객 관리형 키로 전환하라는 요청이 생성됩니다. 현재 양식에서 원래 활성 키의 키 수명 주기 상태가Rotated로 변경된 것을 볼 수 있습니다.
    6. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영 을 클릭하여 키 목록을 표시합니다.
      키 목록에서 고객 관리형 키에 대한 새 레코드를 볼 수 있습니다. 이 새 키의 Origin 값은 customer_supplied 이며 Active 상태입니다.

    결과

    이제 인스턴스에서 에 대한 ServiceNow 클라우드 암호화고객 관리형 키를 사용합니다.

    중요사항:
    키 관리 작업을 위해 암호화 키의 복사본을 항상 안전한 위치에 보관할 수 있는지 확인합니다. 이 키가 없으면 인스턴스에 액세스할 수 없게 될 수 있습니다.

    ServiceNow 관리 키로 전환

    고객 관리형 키에서 에 대한 관리형 키로 다시 전환합니다 ServiceNow 클라우드 암호화.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영.
    2. 클라우드 암호화 키 메타데이터 목록에서 활성 키에 대한 기록을 엽니다.
      키가 여러 개인 경우 키 수명 주기 상태가활성인 키를 선택합니다. 인스턴스에 활성 키가 하나만 있습니다.
    3. 양식의 관련 링크 섹션에서 ServiceNow 관리 키로 전환 링크를 선택합니다.
    4. ServiceNow 관리 키로 전환 대화 상자에서 ServiceNow 관리 키로 전환 단추를 선택합니다.
      인스턴스에서 관리형 키로 ServiceNow 전환하기 위한 요청이 생성됩니다. 현재 양식에서 원래 활성 키의 키 수명 주기 상태가Rotated로 변경된 것을 볼 수 있습니다.
    5. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 키 관리 운영 을 클릭하여 키 목록을 표시합니다.
      키 목록에서 관리형 키에 대한 ServiceNow 새 레코드를 볼 수 있습니다. 이 새 키는 ServiceNow원본 값을 가지며 활성 상태입니다.

    키 회전 예약

    관리형 키의 ServiceNow 자동 순환 일정을 설정합니다. 이 프로세스는 암호화 키를 자동으로 폐기하고 이전 키를 새로 생성된 암호화 키로 바꿉니다. 고객 관리형 키를 사용하는 경우 이 일정은 사용자 지정 키를 수동으로 교체하라는 미리 알림을 제공할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > 일정이 예약된 키 전환 설정.
    2. 예약된 키 전환 사용 확인란을 선택합니다.
    3. 비즈니스 요구에 따라 나머지 필드를 채웁니다.
      표 1. 일정이 예약된 키 전환 설정
      필드 설명
      키 전환 사이의 개월 수(최대 60개월) 키 전환 사이의 개월 수입니다. 이 값은 기본적으로 12 이며 최대 60 개월을 가질 수 있습니다.
      키 전환을 수행할 요일 키 회전이 수행되는 요일입니다.
      키 전환을 수행할 일의 시간 키 회전이 수행되는 시간입니다.
      다음 키 전환의 날짜 및 시간 다음 예정된 키 전환의 날짜 및 시간입니다. 이 값은 직접 편집할 수 없으며 선택에 따라 자동으로 계산됩니다.
      미리 알림을 보낼 키 전환 전 일 수(최대 15일) 인스턴스에서 알림을 보내는 키 전환 날짜 이전의 일 수입니다.
      승인된 보안 관리자 목록으로 이메일 알림이 전송됩니다 키 회전에 대한 알림을 받는 사용자의 목록입니다. 기본적으로 시스템 관리자가 이 목록에 있습니다.
    4. 제출을 선택합니다.
      제출을 선택하면 양식 상단에 알림이 표시됩니다. 알림은 키 회전 및 알림 일정을 확인합니다.
      경고:

      예약된 각 키 교체에는 작업의 무결성을 보장하고 무단 수정을 감지하는 고유한 서명이 있습니다. 예약된 작업의 서명은 각 인스턴스에서 고유합니다. 예약된 키 회전 작업을 소스 인스턴스 A에서 대상 인스턴스 B로 복제하면 인스턴스 B의 예약된 작업이 서명 확인에 실패합니다. 이 경우 예약된 키 전환 사용 확인란을 선택 취소한 다음 다시 선택하여 서명을 다시 만들 수 있습니다. 이 문제에 대한 자세한 내용은 KB1247113 참조하세요.

    고객 관리 키 철회

    고객 관리형 키 철회 기능이 활성화되면 키 관리 작업 페이지에서 철회 작업을 사용할 수 있게 됩니다. 철회 키 및 쿼럼 승인 작업도 관리할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    이 섹션은 에 대한 선택적 추가 기능 클라우드 암호화인 Cloud Encryption Withdraw and Resupply를 라이센스한 경우에만 적용됩니다.

    프로시저

    1. 다음으로 이동 모두 > 클라우드 암호화 키 관리 > > 키 관리 운영.
    2. 테이블에서 활성 고객 관리 키를 선택합니다.
      키 정의 테이블에 고객 키에 대한 일반 정보가 표시됩니다. 이제 철회 키 기능을 사용할 수 있습니다.
    3. 출금 키를 선택하여 출금 프로세스를 트리거합니다.
      경고:

      키 철회 경고 메시지가 표시됩니다. 키를 철회하면 철회된 키로 복원 작업이 수행될 때까지 인스턴스가 종료됩니다.

      위험:
      철회된 동일한 키를 사용해서만 복원 작업을 수행할 수 있습니다. 다른 키로 회전하려면 철회된 키를 복원한 후 회전해야 합니다.

      철회된 고객 관리형 키가 백업을 보존하는 ServiceNow 기간 내에 복원되지 않으면(자세한 내용은 백업 및 복원 SOP [표준 운영 절차] 참조) 인스턴스 데이터베이스 백업에 더 이상 액세스할 수 없습니다. 이러한 방식으로 손실된 백업 데이터는 복구할 수 없습니다.

    4. 확인을 선택하여 키를 철회합니다.
      키 철회 기능에 대해 의문이 있는 경우 취소 를 선택합니다.
      키 정의 화면으로 돌아가고 확인 메시지가 표시됩니다.
    5. 키 정의 페이지를 새로 고쳐 보류 중인 철회 요청을 확인합니다.
      키 관리 트랜잭션

      Quorum 통제 정책이 활성화된 경우 승인 워크플로우를 성공적으로 완료해야 키 철회를 완료할 수 있습니다. 자세한 내용은 Quorum 통제 관리 문서를 참조하십시오.

    고객 관리 키 다시 공급

    키 철회 작업이 완료된 후에는 고객 관리형 키를 인스턴스에 다시 공급해야 합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    주:
    이 섹션은 Cloud Encryption 철회 및 재공급에 대한 라이선스를 취득한 경우에만 적용됩니다.

    프로시저

    1. 다음으로 Now Support 이동하여 다음으로 이동합니다. 서비스 카탈로그 > 카탈로그 > 인스턴스 관리 > 인스턴스 재개 - 재보급 관리 키.
    2. 요청을 클릭합니다.
    3. Instance Restore - Resupply Managed Key(인스턴스 복원 - 관리 키 재보급) 창의 Select Instance(인스턴스 선택) 드롭다운에서 인스턴스를 선택합니다.
    4. 래핑 인증서 텍스트를 클릭하여 래핑 인증서를 다운로드합니다.
      경고:
      고객 관리형 키를 교체하거나 업로드할 때마다 새 래핑 인증서를 다운로드해야 합니다.
    5. 업로드할 키를 준비합니다.
      이 프로세스에 대한 자세한 내용은 고객 관리형 키 준비 문서를 참조하십시오.
    6. Step 4(4단계) 섹션에서 Browse and upload(찾아보기 및 업로드)를 클릭하여 로컬 디바이스에서 래핑된 키를 업로드합니다.
      키가 업로드된 후 아래 파일 아래에 성공적으로 업로드됨에서 키를 볼 수 있습니다. 키를 다시 업로드해야 하는 경우 파일 삭제 를 클릭하고 이전 단계에서 설명한 대로 키를 다시 업로드합니다.
    7. 키 회전을 클릭하여 재공급을 완료합니다.