최근 오라클을 사용 중인 기업들이 많이 도입하는 TDE 방식의 암호화에는 두가지 암호화 방식이 있습니다.
대표적인 TDE 암호화 구현 방법으로써는 컬럼 암호화와 테이블스페이스암호화를 예로 들 수 있습니다.
내장된 키 라이프사이클 관리
마스터 암호화 키에 대한 생성, 저장, 추가, 삭제에 대한 관리 지원
PKCS#11 인터페이스 키 관리 시스템에 안전하게 키 저장
-S/W 전자 지급(Wallet)
-HSM(Hardware Security Module) 전용 H/W 장치에 안전하게 키 저장
키의 종류
- Mater Key - Table Key와 Tablespace Key 해독
- Table Key - 테이블내의 칼럼 암호화에 사용
- Tablespace Key - 테이블스페이스 내용에 대한 암호화에 사용
[오라클과 HSM 동작 과정], 출처 - Oracle
※ PKCS#11 - RSA에 의해 공표된 암호화 장치와의 통신 표준
※ PKCS#12 - RAS에 의해 공표된 암호 키 저장 파일 형식
오라클 TDE 암호화 방식인 컬럼, 테이블스페이스 방식 암호화 기법에 대한 비교를 통해 차이점을 알아보도록 하겠습니다.
[컬럼 방식 암호화 VS 테이블스페이스 방식 암호화]
※ 컬럼 방식 (Column Level Encryption)
- 테이블의 특정 칼럼만 암호화
- 블록의 특정 부분만 암호화
- SGA에도 암호화된 채로 존재
[그림 - 컬럼 방식 암호화 방법], 출처 - Oracle
※ 테이블스페이스 방식 (Table space Level Encryption)
- 테이블스페이스 전체가 암호화
- SGA에서는 Clear Text로 존재
- 기존 SQL 및 기능 사용상의 제약이 없음
- 데이터 사이즈의 증가가 없음
[그림 - 테이블스페이스 방식 암호화 방법], 출처 - Oracle
[ORACLE DB 암호화 방식 비교 (오라클 암호화 솔루션)]
분류 |
암호화 패키지 사용 |
자동 암호화 방식 | ||
Oracle Column Encryption |
Oracle Tablespace Encryption | |||
구조 변경 |
스키마 |
- 암호화로 늘어나는 크기 만큼 컬럼 크기 재설정 필요 |
- 스키마의 기본 구조에 큰 변경이 없음 - 칼럼 형식, 칼럼 사이즈 변화 없음 |
- 스키마 및 인덱스 구조의 100% 호환 - 기능상의 제약이 없음 |
SQL |
- 관련 모든 SQL 수정 필요 |
- SQL 수정 최소화 |
- SQL 수정 필요 없음 | |
APP 인증 |
- 패키지 제품에 사용 불가 |
- EBS, People Soft, SAP 등과 인증됨 |
- EBS, Peoplesoft, Sibel과 인증 - SAP의 경우, 11g R2에 인증 예정 | |
기능 제약 |
인덱스 |
- 사용 불가 |
- PK 및 복합 인덱스 생성 가능 |
- PK 및 복합 인덱스 생성 가능 |
범위 검색 |
- 사용 불가 |
- 범위 검색 사용 제한 |
- 사용 가능 | |
Constraint |
- 생성 불가 또는 패키지를 통한 변경 필요 |
- 생성 가능 (default, check, null 등) |
- 생성 가능 | |
트리거 |
- 패키지를 통한 변경 필요 |
- 생성 가능 |
- 생성 가능 | |
파티션 |
- 사용 불가 |
- 사용 가능 (파티션 키 제외) |
- 생성 가능 | |
클러스터 |
- 사용 불가 |
- 사용 가능 (클러스터 키 제외) |
- 사용 가능 | |
병렬처리 |
- 사용 불가 |
- 사용 가능 |
- 사용 가능 | |
안정성 |
키 관리 |
- 암호키에 대한 관리 취약 - 프로그램 소스에 노출됨 |
- PKCS #11에 의한 마스터 키 보호 |
- PKCS #11에 의한 마스터 키 보호 - HSM(Hardware Security Module)에 의한 키 보호 |
오라클에서는 TDE 방식에 HSM을 통해 안전한 키 관리를 하는 것을 권장하고 있습니다. 그러기 위해서는 컬럼 방식이 아닌 테이블스페이스 방식으로 변경할 필요가 있습니다.
스키마 및 인덱스 구조와 100% 호환되고 HSM에 의한 보호를 지원하는 테이블스페이스 방식이 유리하며, HSM은 테이블스페이스 암호화 방식만 지원이 됩니다.
※ 체크사항 : 오라클 권장사항이 TDE + HSM을 사용하기 위해서는 반드시 오라클 11g R2 버전으로 마이그레이션을 해주어야 합니다.
(HSM 11g R2 이하 버전, 컬럼 암호화 방식을 지원하지 않으므로 반드시 HSM 도입전 오라클 11g R2 버전 이상으로 업그레이드 해주시기 바랍니다.)
(* 자료 출처 - Reference : 성공적인 데이터베이스 암호화 구축 및 운영 방안 (Oracle 작성))
전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
"전세계 주요 기업 46%, 데이터 유출 사고로 인해 암호화에 투자" (0) | 2014.09.24 |
---|---|
공인인증서 비밀번호 복잡화보다, 근본적인 금융보안 해결책은? (0) | 2014.09.23 |
의료기관 개인정보보호! 기술적, 관리적 조치방안은? (0) | 2014.09.15 |
Microsoft MS-SQL TDE (EKM 키 관리) (0) | 2014.09.12 |
[금융, 은행 보안] 지불 결제 전용 하드웨어 보안 모듈 Thales Payshield 9000 (0) | 2014.09.11 |
공개 키(PKI) 및 디지털 인증서 관리 방안 (0) | 2014.08.28 |
기업의 데이터 보호 및 암호화 키 관리 전략 (0) | 2014.08.26 |
DB암호화 시장 확대와 전망 (0) | 2014.08.19 |
DB 암호화 범위, 운전면허증, 여권번호까지 확대! (0) | 2014.08.08 |
DB 보안의 중요성과 솔루션 도입 (0) | 2014.08.06 |