보메트릭 솔루션을 활용한 암호화 정책 설정 예시 및 구축 사례 (로그, 팩스)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019. 1. 16. 08:30 / 카테고리 : 보메트릭 암호화 솔루션



보메트릭 데이터 시큐리티 플랫폼(Vormetric Security Platform)으로 암호화 환경을 구축하는 방법 소개

탈레스 보메트릭 비정형데이터 암호화 솔루션은 이미지, 동영상, 음성, 로그, 문서 파일 등 다양한 데이터를 암호화 할 수 있는 통합 암호화 환경입니다. 보메트릭 솔루션을 도입하기 위한 전략과 구축 사례를 소개해드립니다. 이를 통해서 보메트릭 암호화 솔루션 도입에 대하여 참고할 수 있는 자료가 되시길 바랍니다. 




먼저, 보메트릭 데이터 시큐리티 플랫폼(Vormetric Security Platform)으로 암호화 환경을 구축 후에 변화되는 부분은 아래와 같습니다. 


1. 개인정보 컬럼 유형이 변경되지 않습니다.

2. DB 크기 증가가 되지 않습니다. 

3. 응용 프로그램의 변경이 없습니다.

4. 시스템 오버로드가 적은 고성능 암호화가 가능합니다.

5. 비정형데이터 (음성, 파일, 이미지, 영상, 로그 등) 암호화가 가능해 집니다. 




암호화 솔루션인 Vormetric Transparent Encryption의 정책 설정 예시


  • 조건 : Resource, User, Process, Time

  • 동작 : 모든 유형의 IO

  • 제어 : 키 적용 (암호화 및 복호화), 허용, 차단, 감사


 #

 Resource 

 User 

 Process 

 Action 

 Effects

 1

 *.log

 log_daemon

 log_process

 *

 Permit, Apply Key

 2

 *.log

 root

 admin_tools

 read

 Permit, Audit

 3

 *

 *

 * 

 * 

 Deny, Audit 



  1. 로그를 저장하는 특정 유저 및 프로세스만 암호화된 파일에 대해 읽기 및 쓰기 허용

  2. 관리자는 암호화 로그 파일에 대해 백업 등 관리 기능만 수행 가능

  3. 기타 모든 접근에 대해 통제 및 감사 로그 생성





Vormetric Transparent Encryption 의 암호화 방식은?





특허 기술 - MetaClear

  • 파일 이름, 생성일, 변경일 등 메타데이터는 변경하지 않고 파일의 내용만을 암호화 (파일의 속성을 유지)

  • 암호화 시 데이터 크기 변화 없음


▣ 암호화 알고리즘

  • 안전성이 확인 된 국내외 표준 암호화 알고리즘 3DES, AES 128/256, ARIA 128/256 지원


▣ 표준 및 인증

  • 국가사이버안전센터 암호모듈 검증필 (KCMVP)

  • NIST에서 주관하 FIPS 140-2 

  • GS 인증

  • SAP HANA 인증




CCKM – CipherTrust Cloud Key Manager 활용


  • 멀티클라우드 환경에서 중앙 집중화된 암호 키 관리

  • As a Service 또는 기존 전산실 환경에 구축

  • 가시성 향상 및 규제 충족을 위한 로깅 및 리포팅





멀티클라우드 환경 지원

  • IaaS : Amazon Web Services, Microsoft Azure, China and Germany Azure National Clouds

  • SaaS : Microsoft Office 365, Salesforce.com



클라우드 사업자 환경과 연계된 사용성





CipherTrust Cloud Key Manager를 As a Service 또는 기존 전산실 환경에 구축시


AS a Service 에서는 FIPS 140-2 Level 1 인증을 받은 암호 키 저장소, 전산실 구축에서는 개인클라우드 FIPS 140-2 Level 1, 온프레미스에서는 FIPS 140-2 Level 3 암호 키 저장소 구축이 가능합니다.





CipherTrust Cloud Key Manager를 가시성 향상 및 규제 충족을 위한 로깅 및 리포팅에 활용할 수 있습니다. 







암호화 구축사례 - 로그파일 





▣ 구축 및 관리

  • 암호화 : WAS 서버, 웹 서버, 저장 시 또는 통합 로그 서버 저장 시 암호화 (통합 로그 서버에서 암호화 시 WAS 서버, 웹 서버에서 평문)

  • 복호화 : 조회 권한 사용자/애플리케이션에 대해 복호화

  • 암호화 설정 : 업무 요건에 따라 다르지만 1 ~ 2일 내 완료

  • 초기 암호화 : 서버 및 스토리지 구성에 따라 다름. 테스트 필요



▣ 업무 영향

기존 애플리케이션 수정 및 구성 변경 필요 없음





암호화 구축사례 - 팩스 파일



▣ 사용 환경

  • 주 IDC 2대, DR IDC 2대 운영

  • 이미지는 Windows 공유 (CIFS)로 NAS에 저장

  • 키 관리 서버 이중화




팩스 파일 암호화 환경 구현 방안




구축 및 관리

  • FAX 서버에서 파일 입출력 시 암호화 및 복호화

  • FAX 서버 - NAS 구간 및 NAS 상에 암호화 상태 유지

  • 설치 및 암호화 기능 검증 : Main 센터, DR 센터 각 2개, 총 4대를 테스트 포함 수 일내 완료

  • 초기 암호화 없이 신규 수신 데이터 부터 암호화


▣ 업무 영향

  • FAX 어플리케이션 : 어플리케이션 수준에서 암호화 필요 없음 (어플리케이션 변경 없음)

  • 스토리지 및 하드웨어 계층 구성에 투명하게 동작




비정형데이터 전용 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[Vormetric] DBMS MS-SQL 암호화를 지원하는 보메트릭 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019. 1. 14. 17:30 / 카테고리 : 보메트릭 암호화 솔루션


MS SQL은 마이크로소프트에서 개발한 데이터베이스 서버 관리시스템(DBMS)를 말합니다. MS SQL 서버는 SQL에 기반하여 개발되어 있으며, 웹사이트 운영시 혹은 시스템 운영시 필요한 수천만건의 데이터를 저장하고 처리 할 수 있습니다. 또한, 데이터 사이의 관계를 관리하고 이용자의 인터넷 검색 기능 또한 지원합니다. 




하지만, 리눅스 계열 데이터베이스 서버는 소스 코드가 공개되기 때문에 패치 파일을 업데이트 하는 것이 용이하지만, MS는 소스코드를 공개하지 않고 있기 때문에 문제가 발생시 대응이 어렵다는 단점을 가지고 있습니다. 


MS SQL 데이터베이스를 암호화 하기 위해서는 MS SQL 암호화에 적합하게 설계된 암호화 솔루션을 사용해야 합니다. 탈레스 이시큐리티의 보메트릭 솔루션은 비정형데이터 뿐만 아니라, MS SQL로 구성된 데이터베이스 서버를 안전하게 암호화 할 수 있습니다.



지적 재산을 보호하고, 개인 정보 보호 정책이나 규정을 준수하고, 기업의 데이터를 사이버 공격으로부터 보호하기 위해 SQL 서버 데이터베이스 암호화가 중요합니다. Vormetric Data Security Platform을 사용하면 Microsoft SQL Server 데이터베이스의 민감한 자산을 암호화하고 보안을 유지하면서 이러한 형태의 암호화와 관련된 이슈들을 해결 할 수 있습니다. 



MS-SQL 데이터베이스 서버 운용시 아래와 같은 위협이 있을 수 있습니다. 


SQL Server TDE의 성능 저하 이슈

Microsoft SQL Server는 데이터베이스 내에서 모든 암호화 작업을 수행하는 TDE (Transparent Database Encryption) 기능을 제공합니다. 이는, 데이터베이스 서버 리소스에 큰 부담을 줍니다.


SQL Server TDE 사용의 관리 복잡성

대부분의 조직에서 MS SQL Server는 암호화가 필요한 여러 영역 중 하나 일뿐입니다. SQL Server TDE는 SQL Server 암호화만 지원하기 때문에 여러 암호화 구현을 위해서는 교육 및 Work-Flow를 구분해야 합니다. 그렇기 때문에, 서버 암호화와 관련된 비용과 관리 이슈가 늘어납니다.


비효율적이고 복잡한 키 관리

SQL Server TDE는 암호화 키 관리를 위한 최소한의 기능만 제공합니다. SQL Server의 각 인스턴스마다 별도의 암호화 키가 필요하기 때문에 별개의 별도 키 관리자를 사용하면 복잡성이 높아져 키를 분실하거나 도난 당할 위험이 높아집니다.



MS SQL DBMS 문제 해결 방안


Vormetric Transparent Encryption

Vormetric Transparent Encryption은 최소한의 노력과 성능 측면에서 강력한 데이터베이스 암호화를 사용하는 데 필요한 기능을 제공합니다. Vormetric Transparent Encryption을 사용하면 Microsoft SQL Server 데이터베이스 및 기업 전체에서 실행되는 다른 모든 데이터베이스에서 중요한 자산을 보호 할 수 있습니다.


Vormetric Application Encryption

Thales eSecurity는 Vormetric Application Encryption을 제공합니다. 이는, 데이터베이스의 컬럼이나 필드 레벨을 포함하여 더 세부적인 암호화를 적용해야하는 조직에게 적합합니다. Vormetric Application Encryption은 기존의 기업 애플리케이션과의 암호화 통합을 단순화합니다. 이 제품에는 암호화 및 키 관리 작업을 수행하는 데 사용되는 표준 기반 APIs가 있습니다.


Vormetric Key Management

SQL Server 환경에서 SQL Server TDE를 사용하기로 선택한 기업의 경우 Thales는 안전하고 효율적인 암호화 키 관리를 제공합니다. 

Vormetric Key Management는 SQL Server TDE, 모든 Thales eSecurity 제품, Oracle TDE 및 기타 KMIP (Key Management Interoperability Protocol) 호환 암호화 플랫폼의 키를 중앙에서 관리 할 수 ​​있습니다. 결과적으로, 조직은 모든 ​​암호화 키를 중앙에서 안전하게 관리 할 수 ​​있으며, 업무를 간소화 시킬 수 있습니다. 




MS-SQL 서버, Vormetric Data Security Platform 도입 효과


모든 엔터프라이즈 데이터베이스 암호화

SQL Server TDE는 데이터베이스 내의 데이터를 보호 할 수 있지만, Vormetric의 SQL Server 데이터베이스 암호화 솔루션은 데이터베이스의 내부와 외부 모두에서 데이터를 보호합니다. 또한, IBM DB2, Oracle, MySQL, NoSQL 및 Sybase 데이터베이스 암호화를 제공합니다. Thales eSecurity 솔루션은 Windows, Linux 및 UNIX 운영 체제에서 데이터를 보호하며 가상 및 클라우드 기반 서버의 데이터까지 안전하게 보호합니다.


운영 효율성 향상

탈레스의 Vormetric 암호화 솔루션은 여러 환경 및 기술에서 암호화 정책 및 암호화 키를 관리하기위한 단일 콘솔을 제공함으로써 관리 오버 헤드를 최소화합니다. Thales는 보안 팀이 데이터베이스 암호화 저장소를 피하고 비용을 줄이며 보안 정책을 보다 광범위하고 일관되게 적용 할 수 있도록 지원합니다.


견고하고 확장 가능한 뛰어난 암호화 성능 제공

SQL Server TDE와 비교하여 Vormetric 암호화는 훨씬 뛰어난 성능을 제공합니다. Vormetric의 Oracle 암호화 솔루션을 사용하면 파일 시스템 또는 볼륨 관리자의 최적의 위치에서 암호화 및 복호화가 수행됩니다. 또한, Vormetric SQL 암호화 솔루션은 Intel AES-NI와 같은 마이크로 프로세서 암호화 기술을 활용하여 암호화의 성능 오버헤드를 최소화 할 수 있습니다.




TDE 키 관리

Microsoft SQL Server 및 Oracle Database 솔루션은 고객의 데이터베이스에 저장된 데이터를 보호하는 전용 TDE(Transparent Database Encryption)를 지원합니다. TDE 키를 관리하는 일은 TDE 키를 암호화 데이터와 격리하고 안전하게 보관해야 하기 때문에 결코 쉽지 않습니다. Thales의 키 관리 솔루션은 Microsoft SQL Server 및 Oracle Database의 키 관리 체계를 중앙 집중화하여 데이터 보안을 개선하고 키에 대한 보다 강력한 통제기능을 제공합니다.




Vormetric Transparent Encryption 특장점

Vormetric Transparent Encryption은 정형 데이터베이스와 비정형 파일에 적용되는 보고 규정을 능동적으로 준수할 수 있도록 데이터 기반 암호화, 사용자 액세스 권한 통제, 보안 인텔리전스 로그 수집 기능을 지원합니다. Vormetric Transparent Encryption을 사용하면 민감한 데이터를 빅 데이터 플랫폼, 가상화 시스템 등으로 이전하는 추세 속에서 IT 및 보안 전문가가 더 많은 데이터와 환경을 효율적으로 보호하고 날로 증가하는 위협 요소를 차단할 수 있습니다.






Vormetric Data Security Platform을 통한 데이터 보안 구축 절차 (솔루션 도입시)

보메트릭 데이터 보호 솔루션 도입은 총 4단계로 구성되게 됩니다.


1. 구축 준비 및 사전 분석

 ▣ 프로젝트 수행 TFT 구성

  - 고객사와 제안사 인력


 ▣ 업무/어플리케이션 분석

  - 대상 시스템 환경 분석

  - 업무 특성 및 프로세스 분석

  - 어플리케이션 아키텍처 분석


 ▣ 영향도 분석

  - 대상 시스템의 성능 분석

  - 스토리지 증가량 분석

  - 암호/토큰 성능 예측


 ▣ 데이터 보호 정책 수립

  - 암호/토큰 대상 필드 확정

  - 암호 알고리즘 확정

  - 암복호화 권한 정책 확정

  - 실시간마스킹 권한정책 확정


2. 구현 및 검증

 ▣ 테스트 환경 구축

  - 제품 설치 및 구성


 ▣ 암호화 적용

  - 개발자 교육

  - 개발자에 의한 소스 수정

  - 테스트 데이터 마이그레이션


 ▣ 테스트를 통한 검증

  - 테스트 시나리오 작성

  - 테스트 수행

  - 결과 분석


 ▣ 개선 사항 도출 및 대응

  - 어플리케이션 추가 수정

  - 암호/토큰 정책 재 설정


3. 운영 이행

▣ 이행 계획 수립

  - 이행을 위한 세부 계획 작성

  - 원복 계획 작성

  - 이행 리허설


▣ 운영 서버 적용

  - 수정된 소스코드 배포

  - 운영 데이터 마이그레이션


▣ 이행 작업 수행

  - 계획에 따라 이행 작업 수행


4. 안정화

▣ 모니터링

  - 적용 후 운영 전반에 대한 모니터링

  - 어플리케이션 재 수정 등 이슈에 따른 대응


▣ 인수인계

  - 운영자 교육

  - 긴급 대응 계획 수립


※ Vormetric 솔루션 도입시 간편한 적용을 위해 공통 모듈을 작성합니다. 

간편한 데이터 보안 적용을 위해 공통 모듈 제작 후 소스 코드 변경 수행

  • 암호모듈/토큰서버의 초기화 및 인증 등의 처리를 수행하는 공통 모듈 (Wrapping Class, 공용 라이브러리) 작성

  • 기존 어플리케이션에서는 단 하나의 함수 호출만으로 암복호화/토큰화 처리

  • 소스 수정 작업의 최소화 및 가독성 유지로 인해 구축 및 유지보수 편리





※ Vormetric 솔루션 도입시 데이터마이그레이션은 아래와 같은 방법으로 진행합니다.

  • 요구되는 컬럼 데이터를 읽어 암호화/토큰화 후 저장하는 단순한 응용프로그램 작성
  • DB서버에서 해당 응용프로그램을 실행함으로써 데이터 마이그레이션 수행
  • DBMS 종류에 따라 초기마이그레이션 응용프로그램을 DB내부의 UDF로 생성하여 적용 가능
    * UDF (User Defined Function) : 사용자 정의 함수


MS SQL DBMS 환경에서 컬럼 암호화, TDE 까지 안정적으로 지원하고, 시스템 오버로드를 줄이는 우수한 성능의 보메트릭 데이터 보안 솔루션을 통해, 안정적인 MS SQL 서버를 운용하시기 바랍니다. 보메트릭 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 견적 및 도입 상담을 해드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[탈레스 보메트릭] 빅데이터, 비정형데이터에 가장 적합한 암호화 방법은?

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 12. 31. 17:15 / 카테고리 : 보메트릭 암호화 솔루션



많은 기업들이 빅데이터를 활용하고 있으며, 서버 및 내부 저장소에도 많은 빅데이터를 저장하고 활용하고 있습니다. 이미 이 중요성을 파악하고 있는 기업들은 안전한 빅데이터 활용을 위해서 어플라이언스를 마련하고 있습니다. 


빅데이터의 80% 이상은 비정형데이터로 이루어져있습니다. 기존의 정형데이터를 암호화 하고 보호하는 방법으로는 빅데이터와 같은 비정형데이터를 효율적이고 안전하게 암호화하기도 쉽지 않을 뿐더러 다양한 포맷으로 이루어진 빅데이터를 보호할 수 없습니다. 




복잡하고 다양한 비정형데이터 암호화는 빅데이터(비정형데이터) 전용 암호화 솔루션을 사용해야 합니다. 그리고, 비정형데이터 암호화 솔루션이 어떤 방식으로 암호화 하는 지도 잘 살펴보아야 합니다. 


지난, 2018년 5월에 유럽에서 시행된 개인정보보호규정(GDPR: General Data Protection Regulation)에 따르면 심각한 위반을 저질렀을 경우에는 약 2천만 유로화(한화로 약 250억원 이상) 또는 전세계 매출에서 4%가 벌금으로 부과되기에 절대적으로 지켜야 됩니다. 



이미, 국외에서는 시행 중인 강력한 정보보호 법안으로 유럽에 진출한 국내 기업 또는 글로벌 기업들은 이를 준수하기 위해 다양한 보안 솔루션을 도입하고 있습니다. 


 

ISO WD 20889 

ENISA Guideline 

 NISTTR

 UKAN Guideline

 NIST 800-188 

 비식별 용어

 De-identification 

Anonyumization 

 De-identification

 Anonyumization 

  De-identification

 데이터 모델

Data Flow

scenario 

Data Value

chain 

Data Flow

Model 

Data LifeCycle

Models 

 데이터 공유 모델

 X

 비식별 처리 

수준의 개념

 X

O 

 비식별 처리 

기술 분류

 O

 비식별 처리 

절차 및 방법

 X

 비식별 처리 

결과 평가 방법

 X

 비식별 처리 

SW 기능요구사항

 X

 X

O

[국가별 빅데이터 활용을 위한 규정 비교 (출처 : 금융보안원)]



GDPR은 개인정보보호에 대한 권리를 보호하고, 유럽 내에서의 개인정보의 자유로운 이동을 보장하는 목적으로 제정되었습니다. 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 개인정보 이동 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 하여 95년 지침보다 정보주체의 권리를 더 강화하고 확대한 것이 특징입니다. 이를 통해서 기업의 정보보호 책임이 더 명확해졌습니다. 


[개인정보보호법 관련 현황 (출처 : 아시아경제신문)]


일본 또한, 빅데이터의 활용을 위해서 개인정보 보호법을 마련하고 있습니다. 일본 개인정보보호법의 특징은 가명정보와 익명정보를 따로 구분하지 않고 [익명가명정보]라는 하나의 개념을 정의하고 있습니다. 


GDPR에서는 익명정보의 경우에는 개인정보보호법의 적용을 받지 않지만, 일본 개인정보보호법에서는 익명의 가공정보를 작성하는 경우에는 재식별 또는 개인정보 복원을 할 수 없도록 개인정보보호위원회가 정한 기준에 따라서 개인정보를 가공하고 정보 유출 방지를 위한 보안조치를 하여야 합니다. 


또한, 미국에서도 미국국립표준기술연구소(NIST: National Institute of Standards and Technology) 기관을 통하여 [개인 식별 정보의 비식별 처리 가이드]가 마련되어 있습니다. 여기에서는, 모든 데이터 비식별화 기술에는 재식별 위험성이 존재하고 이를 방지해야 한다는 기본 전제가 정의되어 있습니다. 


국내에서도 빅데이터 활용을 위한 개인정보보호 법안들이 제정되거나 개정되고 있습니다. 2015년도에 개정된 개인정보보호법에서는 기존의 데이터베이스에 저장되어 있는 정형데이터 뿐만 아니라 이미지, 음성, 영상, 로그 데이터, 빅데이터, 문서 등의 다양한 데이터로 구성되어 있는 개인정보를 모두 안전하게 암호화하고 보호해야 한다고 지침이 변경되었습니다.



대한민국 개인정보보호법 개정안 (2015년 개정)


◈ 제 21조의 2 : 암호화 적용 대상

데이터베이스 뿐만 아니라 저장되는 모든 개인정보 암호화 필요

- 개인정보 처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는 법 제24조의제2제2항에 따라 암호화 조치를 하여야 한다.

- DBMS 뿐만 아니라 로그, 이미지, 녹취 등 비정형으로 저장되는 주민등록번호도 암호화 필수


◈ 제24조의2제2항 : 암호화 적용 시기

보유 주민등록번호 수에 따라 적용 시기 적용

- 100만명 미만의 주민등록번호 보관 : 2017년 1월 1일 (3금융권 및 캐피탈 등)

- 100만명 이상의 주민등록번호 보관 : 2018년 1월 1일 (대부분의 금융사)


개인정보보호법 전체 보기 (클릭)


빅데이터의 활용 및 보호에 대한 관심이 높아지면서 규정도 변화하고 있고 관련 암호화 솔루션에 대한 수요도 늘어나고 있습니다. 개인정보 등 데이터를 보관할 때는 암호화 및 암호키 관리, 접근 제어들의 강력한 보호 조치를 취해야 합니다. 정보유출 방지 및 컴플라이언스 준수를 위해 암호화 장비를 많이 도입하고 있는 추세 입니다. 


특히, 비정형데이터 암호화 솔루션들이 많이 출시되고 있습니다. 다양한 암호화 방법이 있지만 가장 우수한 암호화 방법은 OS 커널 방식입니다. 암호화 솔루션은 크게 3가지로 분류되고 있습니다. API 방식 및 OS 커널 방식 그리고 에이전트 방식이 있습니다. 


1. 에이전트는 소스코드 수정이 불필요하지만 서버내에 설치되기에 시스템 리소스 저하가 있습니다. 

2. API 방식은 애플리케이션 내에서 암호화를 진행하기 때문에 도입시에 구축기간과 작업소요가 많습니다. 하지만 비정형데이터를 보호하기 위해서는 형식별로 소스코드 수정이 필요하기에 복잡합니다.

3. OS 커널 방식OS 커널 레벨에서 암호화를 수행하기에 데이터 종류 모두를 지원하면서, 애플리케이션의 소스코드를 변경할 필요가 없어 효율적인 방식입니다. 


이러한, 이유로 OS 커널 방식의 암호화를 비정형데이터에서 많이 선호되고 있습니다. 비정형데이터의 특징은 음성파일, 이미지파일, 문서 파일 등 파일크기가 정형보다 크다는 점입니다. 큰 파일에 암호화를 적용할 경우에는 더 크기가 커지게 되므로 시스템에 부담을 주게 됩니다. OS 커널 레벨의 암호화는 데이터 크기도 유지하면서 암호화 시간 및 구축 시간도 많이 단축되어 비용과 시간을 절감할 수 있습니다.



 

커널레벨 OS 암호화를 지원하는 비정형데이터 암호화 솔루션 - 탈레스 이시큐리티 보메트릭 

Thales e-Security의 Vormetric Transparent Encrytion (탈레스이시큐리티, 보메트릭 트랜스페어런트 인크립션) 보안 솔루션은 비정형데이터에 최적화된 암호화 솔루션입니다. OS 커널 레벨의 암호화를 지원하기에 기업에 도입하면, 비용과 시간을 절감할 수 있습니다. 오버로드 성능저하나 키 관리의 복잡성을 최대한 줄이고 모든 유형의 파일과 데이터베이스(DB) 및 애플리케이션 레벨을 보호합니다. 




뿐만 아니라 구축 및 관리가 용이한 단일솔루션으로 도입이 용이합니다. 기업에서 요구하는 다양한 운영체제를 지원합니다. (윈도우, 리눅스, 유닉스, 솔라리스, IBM AIX, HP-UX 등) 그리고 다양한 DBMS(DB2, 오라클, MySQL, MSSQL, NoSQL, MongoDB, Sybase 등)를 지원하면서 비정형데이터 뿐만 아니라 기존의 정형데이터도 완벽한 암호화가 가능합니다. 


[DBMS 암호화 사례]

- 탈레스 보메트릭을 이용한 DBMS, Oracle TDE 암호화 안내 (링크)

- 탈레스 보메트릭을 이용한 DBMS, MongoDB 암호화 안내 (링크)


비정형파일들을 온사이트, 클라우드 등 파일 위치에 상관없이 암호화 할 수 있다는 점도 장점으로 뽑히고 있습니다. 기업에서 사용하는 각종 문서 파일을 암호화 하여 저장할 수 있을 뿐만 아니라, 애플리케이션, 인프라 또는 비즈니스 절차도 변경하지 않아도 되기에 리소스가 절감 됩니다. 


[탈레스 보메트릭의 암호화 솔루션 개념도]


또한, 강력한 접근제어 정책을 적용하기 때문에 무단으로 접근하는 사고를 예방할 수 있으며, 액세스 하는 사용자를 지속적으로 감시하고 로깅합니다. 


[Vormetric Tokenization with Dynamic Data Masking -  권한에 따른 정책 기반 실시간 마스킹]


관리자와 데이터 소유자 간의 책임을 분리하는 설정도 가능하도록 설계되어 있으며, 이러한 방식으로 서버관리자 등 직원들은 시스템에 상주하는 민감한 데이터에 접근하지 않고 시스템 관리 및 유지보수 작업을 진행할 수 있기에 관리에 용이성이 좋아집니다. 



OS 커널 암호화 방식으로 비용 절감 뿐만 아니라 안정적으로 다양한 파일포맷을 지원하는 비정형데이터 전용 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

기업용 DBMS, Oracle TDE 암호화 지원 솔루션, 탈레스 보메트릭 (Thales Vormetric)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 12. 23. 21:00 / 카테고리 : 보메트릭 암호화 솔루션



Oracle은 세계에서 가장 많이 사용되고 있는 기업용 DBMS(DataBase Management System) 입니다. 기업용 DB 시장의 절반 이상을 항상 점유하고 있는 사실상의 독점 기업입니다. 그 정도로 전 세계의 많은 기업에서 Oracle을 가장 많이 사용하고 있습니다. 


오라클의 데이터베이스는 CPU의 수와 성능 제한에 따른 라이선스가 구분되는 독특한 라이선스 구분을 가지고 있습니다. 


  • Express Edition : 무료, 유닉스, 64bit OS는 지원되지 않고 윈도우와 리눅스만 사용 가능

  • Standard Edition One : 개발, 테스트 목적 무료. 상용 서비스 이용시 유료. CPU 2개까지 지원

  • Standard Edition : 개발, 테스트 목적 무료. 상용 서비스 이용시 유료. CPU 4개까지 지원

  • Enterprise Edition : 개발, 테스트 목적 무료. 상용 서비스 이용시 유료. 개발, 테스트의 경우 7일 이내 삭제해야 함. 그 이후로도 계속 사용하면 개발, 테스트 목적이라도 유료




가장 많은 기업이 사용하는 DBMS인 만큼 암호화 성능이 뛰어나고 유지보수 및 연동이 용이한 고성능의 암호화 솔루션이 필요합니다. 특히 오라클 TDE 및 컬럼 암호화 방식을 전부 지원해야 합니다. 


Thales Vormetric의 Vormetric Transparenct Encrytion은 Oracle Transparent Data Encryption (TDE) 방식을 지원하는 암호화 솔루션입니다.








Oracle Database Encryption : 중요한 데이터 보호

Vormetric Data Security Platform을 사용하면 오라클 데이터베이스의 민감한 자산을 암호화 및 보호 할 수 있으며 오라클 TDE 또는 Oracle 열 암호화와 관련된 문제점을 피할 수 있습니다.


오라클 DBMS 운영시 문제점


성능 저하 이슈

오라클은 Oracle 데이터베이스 자체 내에서 모든 암호화 작업을 수행하는 Oracle Transparent Data Encryption (TDE)을 제공합니다. 따라서 데이터베이스 서버 리소스에 큰 영향을줍니다.


오라클 TDE 사용의 관리 복잡성

대부분의 조직에서 오라클은 암호화가 필요한 여러 영역 중 하나 일뿐입니다. Oracle TDE (Transparent Data Encryption)는 오라클 환경에서만 암호화를 지원하기 때문에 여러 암호화 구현을 위한 별도의 제품, 교육 및 워크 플로우를 의미하므로 암호화와 관련된 비용 및 관리 노력이 늘어납니다.


비효율적이고 복잡한 키 관리

Oracle TDE는 암호화 키 관리를위한 최소한의 기능만 제공합니다. 오라클의 각 인스턴스마다 별도의 암호화 키가 필요하다는 점을 감안할 때 별도로 지원되는 키 관리자를 사용하면 복잡성이 높아져 키를 분실하거나 도난 당할 위험이 높아집니다.



오라클 DBMS 운영 문제점 해결 방안


Vormetric Transparent Encryption 도입 및 운영

Vormetric Transparent Encryption은 최소한의 노력과 성능 측면에서 강력한 Oracle 데이터베이스 암호화를 사용하는 데 필요한 기능을 제공합니다. Vormetric Transparent Encryption을 사용하면 Oracle 데이터베이스 및 기업 전체에서 실행되는 다른 모든 데이터베이스에서 중요한 자산을 보호 할 수 있습니다.


대량 응용 프로그램 암호화

Thales eSecurity는 Vormetric Application Encryption을 제공하여 데이터베이스의 컬럼이나 필드 레벨을 포함하여 더 세부적인 암호화를 적용해야 하는 조직에게 적합합니다. Vormetric Application Encryption은 기존 기업 응용 프로그램과의 암호화 통합을 단순화합니다. 이 제품에는 암호화 및 키 관리 작업을 수행하는 데 사용되는 표준 기반 API가 있습니다.


Oracle 데이터베이스의 키 관리

Oracle Database에서 Oracle TDE를 사용하기로 선택한 기업의 경우 Thales Vormetric은 안전하고 효율적인 암호화 키 관리를 제공합니다. Vormetric Key Management는 Oracle TDE, 모든 Thales eSecurity 제품, Microsoft SQL Server TDE 및 기타 KMIP (Key Management Interoperability Protocol) 호환 암호화 플랫폼의 키를 중앙에서 관리 할 수 ​​있습니다. 결과적으로 조직은 모든 ​​암호화 키를 중앙에서 안전하게 관리 할 수 ​​있으며 주요 관리 작업을 간소화 할 수 있습니다.


Oracle X Transparent Encryption 도입효과


모든 엔터프라이즈 데이터베이스 암호화

Oracle TDE는 데이터베이스 내의 데이터를 보호 할 수 있지만 Thales eSecurity Oracle 암호화 솔루션은 데이터베이스의 내부와 외부 모두에서 데이터를 보호합니다. 또한 IBM DB2, Microsoft SQL Server, MySQL, NoSQL 및 Sybase 데이터베이스 암호화를 제공합니다. Thales eSecurity 솔루션은 Windows, Linux 및 UNIX 운영 체제에서 데이터를 보호하며 실제, 가상 및 클라우드 기반 서버를 포괄합니다.


운영 효율성 

탈레스의 Vormetric 암호화 솔루션은 여러 환경 및 기술에서 암호화 정책 및 암호화 키를 관리하기위한 단일 콘솔을 제공함으로써 관리 오버 헤드를 최소화합니다. 이 통일 된 범위를 통해 Thales는 보안 팀이 데이터베이스 암호화 저장소를 피하고 비용을 줄이며 보안 정책을보다 광범위하고 일관되게 적용 할 수 있도록 지원합니다.


요구 사항을 충족하는 견고하고 확장 가능한 성능 보장

Oracle TDE와 비교하여 Vormetric 암호화는 훨씬 우수한 성능을 제공합니다. Thales eSecurity Oracle 암호화 솔루션을 사용하면 암호화 및 암호 해독이 파일 시스템 또는 볼륨 관리자의 최적 위치에서 수행됩니다. 또한, 이 솔루션은 암호화의 성능 오버 헤드를 최소화하기 위해 인텔 AES-NI와 같은 마이크로 프로세서 암호화 기술을 활용할 수 있습니다.



Vormetric Transparent Encryption

Vormetric Transparent Encryption 은 애플리케이션, 데이터베이스 또는 인프라에 영향을 주지 않고 데이터를 암호화하고, 액세스를 통제하며, 데이터 액세스에 대한 감사 로그를 제공합니다


Vormetric Transparent Encryption 솔루션은 애플리케이션, 데이터베이스 또는 인프라를 재설계하지 않고 파일 및 볼륨 레벨에서의 저장 데이터 암호화, 액세스 통제 및 데이터 액세스 감사 로깅을 통해 데이터를 보호합니다. 


서버나 가상 머신의 파일 시스템 상에 에이전트가 설치되며 간단하고 신속하게 구현 및 확장이 가능한 투명한 파일레벨 암호화 소프트웨어는 데이터를 보호하고 규제준수 정책을 지원합니다. 


Vormetric Data Security Manager에 의해 정책 및 암호키가 관리되며 로컬 데이터센터, 퍼블릭 클라우드 및 하이브리드 클라우드에도 구현 가능합니다.




투명성

애플리케이션이나 비즈니스 프로세스의 변경 없이 저장 데이터를 암호화하고 액세스를 통제할 수 있습니다. 또한, 암호화 구현 및 운영비용을 대폭 절감할 수 있습니다. 


확장성 

수만 개의 서버로 확장 가능한 Vormetric Transparent Encryption 솔루션은 Windows, Linux 및 Unix 플랫폼을 지원하며, 물리적, 클라우드, 컨테이너 및 빅데이터 환경에서 사용될 수 있습니다. 


규제 및 모범사례의 요구 사항 충족

암호화, 액세스 제어 및 데이터 액세스 로깅은 PCI DSS, HIPAA/Hitech, GDPR를 포함한 여러 규제들이 요구하는 가장 기본적인 사항이자 모든 개인정보보호 및 규제 준수를 위한 모범사례 구현의 권장사항입니다.




예시 사례 #1 : 고유식별번호 (주민등록증 등) 토큰화




세부적인 접근 제어

역할 기반의 액세스 정책으로 누가, 무엇을, 어디서, 언제, 어떻게 액세스할 수 있는지 제어할 수 있습니다. 시스템 레벨의 계정은 물론 엔터프라이즈 역할 및 그룹에 대한 통제 기능을 제공합니다. LDAP(Lightweight Directory Access Protocol), 액티브 디렉토리 및 기타 디렉토리 서비스 환경을 지원합니다. 접근 통제를 통해 루트 및 기타 권한을 가진 사용자가 평문 데이터에 액세스하지 않고도 작업을 수행할 수 있도록 지원합니다. 


고성능 암호화

Vormetric Transparent Encryption은 시스템 CPU에 내장된 AES 하드웨어 암호화 알고리즘을 사용해 보다 강력한 암호화 성능을 제공합니다. 뿐만 아니라, 멀티 스레딩, 예측 캐싱, 파이프라이닝 등의 파일-시스템 최적화 기법이 성능을 한층 강화시킵니다. 결과적으로 서비스수준협약(SLA)에 영향을 주거나 추가적인 컴퓨트 리소스 요구사항이 필요하지 않은 암호화가 가능해집니다. 분산된 에이전트 기반의 구현 모델은 프록시 기반의 레거시 암호화 솔루션들에서 만연한 병목 현상과 서비스 지연을 제거해줍니다. 


광범위한 운영 체제 및 환경 지원

단일 인터페이스의 관리 환경을 통해 Linux, Windows, Unix를 구동하는 데이터센터, 클라우드 및 빅데이터 환경 전반에서 정형 데이터베이스와 비정형 파일을 보호합니다. 인프라, 애플리케이션 또는 워크플로우를 변경하지 않고도 암호화, 액세스 제어 및 데이터 액세스 감사 로깅이 가능하여 최소한의 비용과 리소스로 최대한의 통제 효과를 얻을 수 있습니다.



제품 스펙


플랫폼 지원

Microsoft-Windows Server 2008, 2012, 2016 및 Windows 2016 Server Core; Linux-Red Hat Enterprise Linux (RHEL), SuSE Linux Enterprise Server, AWS Linux 및 Ubuntu; UNIX - IBM AIX


데이터베이스 지원

IBM DB2, MySQL, NoSQL, Oracle, SQL Server, Sybase 등


애플리케이션 지원

Microsoft, Documentum, SAP, SharePoint, 맞춤형 애플리케이션 등 모든 애플리케이션에 투명하게 적용 


빅데이터 지원

Hadoop—Cloudera, Hortonworks, IBM; NoSQL—Couchbase, DataStax, MongoDB; SAP HANA; Teradata 


암호화 하드웨어 가속화

AMD 및 Intel AES-NI, IBM P8 암호화 코프로세서, SPARC 암호화


기관 인증

FIPS 140-2 레벨 1


컨테이너 지원

Docker 


클라우드 스토리지 지원

AWS : EBS, EFS, S3, S3I, S3 Glacier

AZURE : 디스크 스토리지, Azure 파일





가장 많은 기업이 사용하는 DBMS인 오라클 TDE 및 컬럼 암호화를 안정적으로 성능저하 이슈 없이 운영 가능한 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



오라클, Oracle, Oracle TDE, DBMS, RDBMS 탈레스, 보메트릭, Thales Vormetric, 암호화, 데이터암호화, DB암호, 보안솔루션, 기업보안, 빅데이터, 빅데이터 암호화, 비정형데이터, 정형데이터, 로그데이터, DBMS, Thales esecurity, 암호키 저장, 암호키 관리, Vormetric Data Security Platform, 데이터 인텔리전스


Trackbacks 0 / Comments 0

MongoDB (몽고DB) 데이터 암호화 보안 솔루션, 보메트릭 (Vormetric Data Security Product)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 12. 17. 08:00 / 카테고리 : 보메트릭 암호화 솔루션



MongoDB (몽고DB)는 NoSQL DBMS(Database Management System)의 한 종류입니다. 최근 많이 사용되어 지고 있는 데이터베이스의 일종으로 크로스 플랫폼 도큐먼트 지향 데이터베이스 시스템입니다. 주로 빅데이터에 많이 사용되어 지고 있는 데이터베이스 시스템입니다. 



MongoDB의 특징

MongoDB는 MySQL의 테이블과 같은 스키마가 고정된 구조 대신 JSON 형태의 동적 스키마형 문서를 사용하는데, 이를 MongoDB 에서는 BSON이라고 부릅니다.


MongoDB는 가장 기본적인 데이터를 Document 라고 부릅니다. 이는 MySQL같은 RDBMS에서는 row에 해당된다. 이 Document의 집합을 Collection이라고 하는데, RDBMS에서는 Table에 해당된다. Collection의 집합은 DB이고, 이는 RDBMS에서도 동일합니다.


똑같은 조건으로 설계되었을 시 기존 RDBMS 속도보다 굉장히 빠르다는 장점이 있습니다. 이런 속도는 ACID를 포기한 댓가로 얻은 것입니다. 따라서 데이터 consistency가 거의 필요 없고 조인 연산을 embed로 대체할 수 있는 경우에는 Mongodb가 확실한 대안이 될 수 있습니다. 반대로 저장하는 데이터가 은행 데이터 같이 consistency가 매우 중요한 작업에는 MongoDB를 쓰기 매우 힘든 단점이 있습니다.




※ MongoDB의 아키텍쳐 설명 (출처 : https://www.mongodb.com/mongodb-architecture)



보메트릭 암호화 솔루션에서는 최근 많이 사용하고 있는 MongoDB에 대한 비정형데이터 암호화 솔루션을 제공하며, 높은 호환성을 구현하였습니다. MongoDB로 데이터베이스를 구축시 안전하고 효율적인 암호화 방법으로 탈레스 보메트릭(Vormetric Data Security Product)이 좋은 대안이 될 수 있습니다. 




MongoDB 암호화 : Thales Vormetric (탈레스 보메트릭) 활용

MongoDB는 데이터를 보호하도록 설계되어 강력한 인증, 역할 기반 액세스 제어, 통신 암호화, 강력한 감사 기능을 비롯한 다양한 데이터 보안기술을 제공합니다. Vormetric Data Security Product는 MongoDB의 암호화 방식을 강화하여 진정한 보안을 실현시킴으로써 보안 사고를 근절할 수 있도록 지원합니다.


▣ Mongo DB 사용시 보안 문제점


1. 특정 권한 계정의 접근

root/administrator 등의 특정 권한 계정을 통해 회사 네트워크 리소스에 접근하여 일상 업무를 수행할 수 있습니다. 그러나 이 계정 사용자가 악의를 품거나 자격 증명을 도난 당한 경우 심각한 데이터 유출 사고로 이어질 수 있습니다.


2. 데이터 기반 우회 공격

또 다른 위험한 데이터 보안 공격으로는 데이터베이스 엔진을 우회하여 해당 서버나 스토리지에 저장된 데이터를 노리는 수법이 있습니다. 기업의 비정형 파일과 정형 데이터베이스, 쿼리 보고서, 로그 파일, 그리고 민감한 정보나 규제를 받는 정보가 포함된 기타 데이터 세트가 공격의 표적이 되기 쉽습니다.



▣ 보안 문제 솔루션


1. 고성능 암호화

  • 탈레스의 고성능 암호화 기능은 MongoDB 보안을 강화시킵니다. Vormetric Transparent Encryption은 APT같은 악의적인 내부자 및 고급 멀웨어의 공격을 저지하고 규정을 준수하는 데 유용한 암호화, 액세스 제어, 보안 인텔리전스 기능을 통해 운영체제 및 파일 시스템 계층의 환경을 보호합니다. 

  • Vormetric Application Encryption을 사용하면 분석에 반드시 필요한 것은 아니지만 보고서의 필수 요소이며 MongoDB 환경에 노출되는 개별 필드(예: 주민등록번호 및 신용 카드)를 암호화하는 기능을 손쉽게 개발할 수 있습니다.


2. 통합 키 관리
Vormetric Enterprise Key Management는 MongoDB 환경의 암호키를 보호하고 관리하는 데 유용합니다.

3. 사용자 액세스 권한 통제
Vormetric Data Security Manager(DSM)는 키 관리 권한과 정책 관리 권한을 따로 배정할 것을 요구합니다. 즉, 한 명이 보안 작업, 암호키 또는 관리에 대한 전권을 행사할 수 없습니다. 또한 DSM은 관리자의 접근을 위해 2팩터 인증 방식을 지원합니다.



▣ 보메트릭 솔루션 도입시 장점 (MongDB)

  • MongoDB 환경에 저장되는 데이터(수신 데이터, 전송 보고서, 구성 파일, 감사 로그)에 대한 암호화, 중앙 집중식 키 관리, 사용자 액세스 권한 제어, 보안 인텔리전스 로그 기능을 제공합니다.

  • Vormetric Transparent Encryption은 애플리케이션 수정 등의 엔지니어링 프로세스를 거치지 않고도 복잡한 정형 및 비정형 데이터를 투명하게 보호할 수 있도록 지원합니다. 

  • Vormetric Application Encryption과 MongoDB 애플리케이션을 통합시킬 수 있는 API (Java 및 C / C ++)지원 도구 및 샘플코드를 포함한 툴을 제공하여 문서레벨 암호화 기능을 간단하게 추가할 수 있습니다. 

  • MongoDB 인프라에 저장된 데이터에 액세스하는 사용자, 프로세스 및 애플리케이션에 대한 보안 인텔리전스를 생성합니다. 

  • SLA를 유지하기 적합한 고성능 암호화 및 고가용성 데이터 보안 아키텍처를 제공합니다.


▣ 확장성 및 유연성
확장 가능한 본 플랫폼은 다른 솔루션들과는 달리, MongoDB에 저장된 데이터의 필드 단위나 관계형 데이터베이스의 특정 칼럼 단위로 데이터를 보호할 수 있도록 지원합니다. 뿐만 아니라 특정 디렉토리 또는 볼륨 내 모든 데이터를 보호할 수도 있습니다.

▣ 대다수 운영 체제와 호환 및 우수한 효율성
이 플랫폼은 업계에서 가장 다양한 운영 체제와 환경을 지원하며 Vormetric Data Security Manager(DSM)가 지원하는 고성능 중앙 집중식 관리 기능을 통해 운영 효율성을 보장합니다.





MongoDB Advanced Partner인 Thales eSecurity, Vormetric는 고성능 암호화 기능, 사용하기 쉬운 통합 키 관리 기능, 사용자 액세스 권한 제어 기능으로 MongoDB 보안을 강화하고 Vormetric Data Security Platform으로 데이터 액세스 보안 인텔리전스를 구성합니다.

 

Vormetric은 MongoDB 외에도 SAP Hana 등의 파트너쉽을 체결하였습니다.



MongoDB의 암호화 키 관리

Thales eSecurity의 온프레미스 키 관리 솔루션은 암호키 관리를 통합하고 중앙집중화시켜 데이터 저장 솔루션을 위한 안전한 암호키 저장소를 제공합니다. 


[Vormetric Key Management Work Flow]


Cloud Key Management 제품에는 FIPS 140-2 보안 키 스토리지를 사용한 중앙 집중식 멀티 클라우드 키 수명주기 가시성제공 및 키 관리를 위한 CipherTrust Cloud Key Manager와 nShield HSM기반의 Cloud Bring Your Own Key가 있습니다.


Thales eSecurity의 Vormetric Key Management시스코, 뉴타닉스, 몽고DB 등 KMIP(키 관리 상호운용성 프로토콜) 준수 암호화 솔루션의 키를 관리할 수 있는 네이티브 암호화 키 관리 기능을 탑재하고 있습니다. 


탈레스 보메트릭의 우수한 보안 솔루션으로 고성능의 비정형데이터 암호화, 안전한 암호화 키 관리까지 한번에 해결하실 수 있습니다.  


빅데이터에 많이 사용되는 도큐멘트 데이터베이스인 MongoDB(몽고 DB)의 암호화와 키 관리에 적합한 보메트릭 보안 솔루션에 대한 자세한 사항은 아래 아이마켓코리아 담당자에게 문의 주시면 친절하게 안내해드리겠습니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



몽고db, Mongodb, 탈레스, 보메트릭, Thales Vormetric, 암호화, 데이터암호화, DB암호, 보안솔루션, 기업보안, 빅데이터, 빅데이터 암호화, 비정형데이터, 정형데이터, 로그데이터, DBMS, Thales esecurity, 암호키 저장, 암호키 관리, Vormetric Data Security Platform, 데이터 인텔리전스

Trackbacks 0 / Comments 0

미국 HSBC 은행 해킹사고 발생, 개인정보 보안 솔루션 탈레스HSM. Thales HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 11. 29. 15:46 / 카테고리 : nCipher HSM (Thales-HSM )



미국 HSBC 은행 해킹사고 발생, 개인정보 보안 솔루션 탈레스HSM. Thales HSM






미국 HSBC 은행이 신원을 알 수 없는 자들로부터 공격 받았습니다. 이들은 은행 고객들의 온라인 계정에 불법적으로 접근 하였으며, 그로 인해 일부 정보가 유출되는 사고가 발생했습니다. 유출된 정보는 고객들의 이름, 우편 주소, 전화번호, 이메일 주소, 생년월일, 계좌 번호, 계좌 유형, 계좌 잔고, 거래 내역, 수취인 계좌 정보, 명세서 내역 등으로 적지 않은 정보가 유출된 것으로 파악됩니다. 은행은 수 많은 이들의 개인정보와 금융 거래가 이루어져 있어 보다 더 강력한 보안 솔루션이 필요합니다.


아이마켓코리아에서 제공하는 탈레스 HSM은 정부 및 산업 규제 및 표준들을 충족하는 보안 솔루션으로 은행, 보험 등 금융회사들의 데이터와 고객 개인정보를 보호하는 것은 물론 시스템을 내외부의 위협으로부터 안전하게 보호할 수 있습니다.




강력한 하드웨어 암호화 모듈인 탈레스 HSM (Thales HSM )은 상용 알고리즘으로 암호화 시키고 암호화 키를 안전하게 보관, 저장, 관리가 가능하며, 시스템 구축 단계에서부터 망 분리, 백업 등 2중 3중으로 보안사항을 적용합니다.


탈레스HSM은 외부는 물론 내부에서도 강력한 보안이 적용됩니다. 내부에서 생성된 키는 관리자 조차 유출할 수 없습니다. 애플리케이션이 암호화 키에 직접 접근하지 않으며, 복호화 된 키는 HSM 외부로 노출되지 않습니다.







HSM은 암호화 및 디지털 서명, 키 생성과 보호 등의 기능을 수행하기 위한 보안 플랫폼을 제공합니다. 코드서명과 디지털 키를 사용하는 다른 애플리케이션들을 포함하는 광범위한 애플리케이션을 온프레미스, 가상화 클라우드 환경에서 지원하고 있습니다.



HSM 특징


▣ H/W 기반의 암호연산 (키 생성, 전자서명, 키 저장 및 백업 기능)을 제공

· 호스트 서버의 암호연산 부하를 경감하고, 서버 가용성을 증가 


▣ 키의 사용에 대한 정책 시행 

· 관리자 권한의 강력한 분리 기능 제공

· 관리자를 위한 강력한 인증 기능 제공 

· 상호 감독을 위한 강력한 이중 통제  

· 성능 증대를 위한 프로세싱 분리 기능 

· 물리적 보호를 위한 변조 방지 기술 


▣ 비대칭형 암호 연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리

 






암호화 키를 운영체제와 물리적으로 별도의 보관소에서 저장하고 관리(접근제어)하고, HSM 암호화 키관리 및 XecureDB Service Server 이중화 지원을 통해 보다 안전하게 보호 할 수 있습니다


탈레스 HSM은 높은 수준의 데이터 보안 솔루션들을 제공하고 있습니다. 고객의 서버 환경에 따라 네트워크 접속형인 nShield Connect 제품과 서버 내장형 방식의 nShield Solo 제품군으로 나뉩니다. 






탈레스HSM의 운용상 장점


· 고유의 Security World 구조는 기존의 데이터 센터 및 가상화 환경과 클라우드 환경에서 암호연산 가속능력과 뛰어난 유연성 및 가용성, 확장성을 경제적으로 제공

· 규제 준수 비용과 매일같이 이루어지는 백업 및 원격관리를 포함하는 키 관리 업무의 비용 감소

· 간소화된 HSM 구축과 효율적인 키 공급을 통해 높은 비즈니스 연속성 실현을 보장

· OEM 기기를 위한 보안강화 및 암호연산 가속기능 제공

 






탈레스HSM의 보안상 장점


· 중요 애플리케이션의 보안 강화를 위해 위변조 방지 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘 제공

· 역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하여 견고한 관리자 정책을 통해 엄격한 직무 분리 및 이중통제를 확립 

· 하드웨어 보안 범주에서 보안에 민감한 사용자 정의 애플리케이션 코드를 안전하게 실행

 




탈레스 HSM은 세계 GPHSM 시장의 70% 이상을 점유하는 우수한 보안 장비로써 프랑스에 본사를 둔 탈레스 그룹 산하의 사이버보안 전문업체입니다. 





탈레스 HSM (Thales HSM)의 암호화 모듈은 FIPS 140-2 Level 2/3인증과 마이크로소프트 골드파트너, 오라클 인증 파트너, CC 인증까지 마친 우수한 보안 제품입니다. 





Thales HSM은 FIPS 140-2 Level 2 & 3 인증을 받았습니다.



FIPS 140-2 인증 이란? 


FIPS(Federal Information Processing Standards)는 미국연방정부기관에서 사용하는 정보 처리 기계와 방식을 표준화하기 위해 미국국립표준·기술연구소(NIST)가 제정하는 표준 규격으로 FIPS-PUB(Publica-tion)라는 명칭으로 발행됩니다


FIPS-140-2은 NIST (National Institute of Standards and Technology)가 후원하는 암호화 모듈 인증입니다. FIPS-140-2는 가장 낮은 수준에서 가장 높은 수준까지 4 단계까지 규정되어 있습니다


· 레벨 1 - 데이터 암호화 표준인 DES와 3중 암호화인 3DES, AES(Advanced Encryption Standard)를 포함하는 NIST 표준 암호화 알고리즘이 적절하게 구축되어 있음을 의미

· 레벨 2 - 장비에 어떠한 이상 징후라도 포착되면 이를 교정할 수 있도록 해준다는 것을 의미한다. 레벨 3는 암호화 모듈로서, 물리적인 공격에 노출될 경우 저장된 키를 삭제

· 레벨 3 - 제품은 인증된 액세스를 요구 

· 레벨 4 - 수퍼쿨링(supercooling)과 같은 물리적인 액세스 제어를 통과하려는 시도에 대한 공격으로부터의 보호 기능을 제공

 



데이터 암호화, 접근통제, 네트워크 보안, 내부 사용자 유출 방지 모두 가능한 암호화 모듈 탈레스 HSM 제품에 대한 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 답변드립니다. 




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 11. 19. 10:28 / 카테고리 : nCipher HSM (Thales-HSM )


블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM





블록체인을 무력화하는 '51% 공격'으로 올해만 2000만달러(227억원)가량 피해가 발생했습니다. 그 동안 블록체인은 보안이 완벽하다고 알려져 있던 기술이었기 때문에 이번 소식은 큰 충격을 주고 있습니다.





해커의 블록체인 무력화 '51% 공격'으로 인해 1950만달러가 탈취되었을 정도로 현재 암호화폐 보안은 매우 불안한 상황입니다. 공격을 받은 일부 거래소는 해당 코인 거래를 정지하였고 고객들의 불안함은 점점 커져갑니다.


아이마켓코리아에서 제공하는 탈레스HSM은 암호연산을 제공하는 강력한 하드웨어 암호화 모듈로써 암호화 키를 안전하게 보관할 수 있습니다. 뿐만 아니라 저장, 관리가 가능하고 다중으로 보안사항을 적용할 수 있습니다.





탈레스HSM은 미국방성기술표준(NIST)의 FIPS의 암호화 모듈에 대한 보안 요구사항 140-2에서 Level 2 & 3을 인증 받아 보안의 우수성을 입증했습니다.





탈레스HSM은 암호화 키를 물리적으로 별도의 보관소에 저장 및 생성부터 폐기까지 관리하기 때문에 더욱 안전합니다.





또한 외부뿐만 아니라 내부에서도 강력한 보안이 적용됩니다. 내부에서 생성된 키는 관리자 조차 유출할 수 없습니다. 애플리케이션이 암호화 키에 직접 접근하지 않으며, 복호화 된 키는 HSM 외부로 노출되지 않습니다.

시스템 구축 단계에서부터 망 분리, 백업 등 2중 3중보안이 적용되어 더욱 안전하게 보호할 수 있습니다. 탈레스HSM은 호스트 서버의 암호연산 부하를 경감시킬 수 있다는 장점이 있으며, 이에 따라 서버가용성을 높일 수 있습니다.





탈레스HSM를 사용해야 하는 이유는 아래와 같습니다.



· 비대칭 형 암호연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리합니다.

· HSM에서 생성되는 키는 HSM 밖으로 복호화 된 상태로 노출되지 않습니다.

· 키 관리 매커니즘을 통해 키 생성, 사용, 백업, 파기까지 생명주기 전반에 걸쳐서 안전하고 편리하게 관리합니다.

· 디지털 키에 대한 무결성이 보장 됩니다.

· 키 관리의 어려움에 대비하여 중앙집중적인 관리를 합니다

· 내부자에 의한 키 탈취 취약점을 해결할 수 있는 관리 장치가 마련되어 있습니다.

 




탈레스HSM은 고객의 서버 환경에 따라 네트워크 접속형인 nShield Connect 제품과 서버 내장형 방식의 nShield Solo 제품군으로 나뉩니다. 




Thales nShield Connect Model (접속형)


구분

nShield Connect 500+

nShield Connect 1500+

nShield Connect 6000+

초당 RSA 

서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 1500TPS

 RSA 2048bit 최대 500TPS

 RSA 4096bit 최대 165TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 물리적: Windows, Linux, Solaris, IBM AIX, HP-UX

 가상환경: VMware, Hyper-V, AIX LPARs를 포함하는 다양한 VM 소프트웨어 벤더 지원

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 

및 업그레이드

가능성

 최대 100개의 클라이언트

 Thales nShield Solo(PCI/PCle), nShield Edge, netHSM과 호환

 소프트웨어 업그레이드 기능

통신방식

 TCP/IP 통신 기반의 Gigabit Ethernet Interface







구분

 nShield Solo 500+

 nShield Solo 6000+

초당 RSA 서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 Windows, Linux, Solaris, IBM AIX, HP-UX

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 및

업그레이드 가능성

 Thales nShield Connect, nShield Edge, netHSM 500및 2000과 호환

 소프트웨어 업그레이드 기능

통신방식

 PCI Express





탈레스HSM의 기대효과

· 개인정보 관련 법규 만족 및 개인정보보호 쳬계 강화

· 암호화를 통한 기밀성, 무결성, 가용성 확보를 통한 안전성 증대

· 내부 및 외부 공격에 대한 중요 데이터 유출 위험 방지

· DB 암호화를 통한 개인정보보호법 및 관련 법률의 Compliance 대응력 향상

· 고객 정보보호로 인한 고객사 이미지 제고 신뢰도 향상

· 내부직원을 통한 보안사고에 대한 대비

 



국내 최초로 하드웨어를 통한 키 관리로 완벽하게 데이터 보호할 수 있는 탈레스HSM 제품은 아래의 아이마켓코리아 담당자에게 문의 주시면 더욱 상세하게 안내 받으실 수 있습니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

방문자 통계

  • 전체 : 385,080
  • 오늘 : 16
  • 어제 : 274
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.