TDE, KMIP 기기 호환, 보메트릭 암호 키 관리 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.07.14 15:22 / 카테고리 : 보메트릭 암호화 솔루션




보메트릭 키 관리 솔루션 - 보메트릭 데이터 시큐리티 플랫폼

암호 키 관리 (Key Management)를 위한 솔루션인 보메트릭 데이터 시큐리티 플랫폼(Vormetric Data Security)은 엔터프라이즈 암호화 키 관리를 통한 보안, 운영 효율 및 규제 준수 향상을 위한 최적의 솔루션입니다.



보메트릭 데이터 시큐리티 플랫폼은 보메트릭 트랜스페이런트 인크립션(Vormetric Transparent Encryption)과 보메트릭 애플리케이션 인크립션(Vormetric Application Encryption)을 위한 엔터프라이즈 암호화 키 관리 뿐만 아니라, 써드파티 암호화 키 중앙화 및 안전한 인증서 저장을 제공합니다. 



보메트릭 데이터 시큐리티 플랫폼은 TDE(Transparent Database Encrytion), KMIP 호환 기기를 위한 고가용성, 표준 기반 엔터프라이즈 암호화 키 관리를 제공합니다. 그리고 편리한 인증서 관리 및 볼팅(Vaulting) 기능을 제공합니다. 엔터프라이즈의 암호화 키 관리를 통일 함으로써 시스템 간의 정책 일관성을 보장하고, 교육 및 유지보수 비용을 절감 할 수 있습니다.








보메트릭 기업 소개

보메트릭은 2001년에 설립하여 Fortune이 선정한 30대 기업 중 17개 기업을 비롯하여, 전세계 1,600개 이상의 고객을 확보하고 있는 보안 솔루션 전문 기업입니다. 또한, 국내에서는 300여개의 고객사가 보메트릭의 암호화 솔루션을 사용하고 있습니다. 그리고, 2014년에서는 Deloitte Technology Fast 500에 2년 연속 선정된 보안 솔루션 업체이기도 합니다. (참고자료 자세히 보기)





보메트릭 키 매니지먼트(Vormetric Key Management)의 이점

1. 키 관리 단순화 - 엔터프라이즈 암호화 키 관리와 인증서 저장 솔루션을 통합 할 수 있습니다.

2. FIPS 140-2 인증 - 보메트릭 데이터 시큐리티 매니저는 HSM(Hardware Security Module)로써 레벨 2 및 레벨 3 인증과 함께 제공됩니다.

3. 다운타임 감소 - 고가용성 및 인증서 및 암호화 키 만료 미리 알림을 통해 애플리케이션 및 사용자 다운타임을 줄입니다.

4. 리포팅 중앙화 - 규제준수 보고서를 통합 생성하고 암호화 키 및 인증서 사용에 대한 감사를 간소화합니다.

5. 표준 API 지원 - 프로그램 암호화 키 관리 및 대량의 키 볼팅(Vaulting)을 위해 OASIS PKCS#11 및 KMIP API를 활용합니다.

6. 멀티테넌트 운영 - 데이터 보안 정책, 데이터 암호화 키, 감사 로그의 분할 관리를 위한 역할기반 운영을 지원 합니다. 

7. TDE(Transparent Database Encryption) - Oracle 및 Microsoft SQL Server를 위한 암호화 키 관리를 통합합니다.



제품 옵션 #1 Key Agent - TDE의 암호 키 관리

- 보메트릭의 DSM이 TDE의 암호 키를 관리하는 Network HSM의 역할을 수행

- 해당 서버에 Vormetric Key Agent 설치 필요 (라이선싱 : Agent가 설치되는 서버 단위)




제품 옵션 #2 KMPI 클라이언트의 키 관리

- Key Management Interoperability Protocol 지원

- KMIP를 통해 서드파티 암호화 장비의 암호화 키 관리

- KMIP 호환 NAS, Backup Drive 등과 연동

- KMIP 클라이언트를 Vormetric DSM에 등록하여 키 연동 (라이선싱 단위 : DSM에 등록되는 클라이언트 수)



제품 옵션 #3 Vault - 각종 키 및 전자인증서의 관리


- Web GUI, CLI 툴, SOAP API를 통해 업로드 된 각종 키 및 전자인증서 관리

  (라이선싱 단위 : DSM에 키를 등록하거나 조회하는 클라이언트 (일반 PC 또는 App 서버 등) 개수



지원 환경

 구 분 

 세부 내용

 Key Agent

 - Oracle TDE (11g R2): AIX, HPUX, Solaris, RHEL, SLES

 - Oracle 12c TDE (12.1.0.2): RHEL 6, Oracle Enterprise Linux 6

 - MS-SQL (2008/2012/2014) TDE: Windows 2008 이상

   * 상세 사항 Release Note 참조

 KMIP

 - Client 장비가 KMIP 1.1 이상을 지원하는 경우라면 기타 제약 사항 없음

 Vault

 - TLS 프로토콜을 지원하는 Web Browser 지원 환경 (IE 11, Chrome, Firefox 등)

 - CLI 툴의 경우 : AIX, HPUX, Solaris, RHEL, SLES, Windows 운영체제 지원

 - SOAP 표준을 지원하는 개발 언어



FIPS-140-2 인증과 TDE를 지원하는 보메트릭 키 관리 솔루션에 대한 문의는 하단의 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

보메트릭 암호화 제품 소개 (데이터 시큐리티 매니저 / 트랜스 페어런트 인크립션)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.07.08 11:43 / 카테고리 : 보메트릭 암호화 솔루션




보메트릭 암호화 솔루션 소개

아이마켓코리아에서는 정형데이터 뿐만 아니라 비정형데이터까지 낮은 오버헤드로 암호화가 가능한 암호화 솔루션인 보메트릭 제품군을 공급하고 있습니다. 


이번 포스팅에서는 보메트릭 솔루션인 데이터 시큐리티 매니저(DATA SECURITY MANAGER)와 트랜스페어런트 인크립션(TRANSPARENT ENCRYPTION)에 대해서 소개해 드리도록 하겠습니다.



보메트릭 데이터 시큐리티 매니저 (Vormetric Data Security Manager)

보메트릭 데이터 시큐리티 플랫폼에서 제공되는 모든 제품들에 대한 중앙 키 관리 및 정책 관리를 제공합니다. 가상 또는 FIPS 140-2 물리적 어플라이언스 형태로 공급됩니다. 


보메트릭 트랜스페어런트 인크립션 (Vormetric Transparent Encryption)

파일 시스템 내에서 실행되어 파일, 디렉토리, 볼륨들에 대한 고성능 암호화 및 최소 권한 액세스 컨트롤(least-privileged access controls)을 수행하는 에이전트를 제공합니다. 정형(structured) 데이터베이스 및 비정형(unstructured) 파일들을 모두 암호화 할 수 있습니다.





보메트릭 데이터 시큐리티 매니저(DATA SECURITY MANAGER)

보메트릭 데이터 시큐리티 매니저(Vormetric Data Security Manager, DSM)는 보메트릭 시큐리티 매니저 플랫폼의 핵심입니다. DSM은 모든 보메트릭 제품 및 타사 기기들에 대한 암호화 키 프로비저닝을 중앙화, 간소화 할 수 있습니다. 이로 인해, 조직 전반에서 새로운 보안 의무, 규제요건, 리스크에 효율적으로 대응할 수 있도록 해줍니다. 


이러한 광범위한 DAR(Data at Rest) 보안 기능들을 중앙에서 컨트롤 함으로써 TCO를 낮추고, 신규 보안 서비스를 효율적으로 구축하고, 조직 내 데이터 컨트롤 및 가시성을 향상시킬 수 있습니다.


[보메트릭 데이터 시큐리티 매니저(Vormetric Data Security Manager)의 정책 및 키 관리 중앙화]



DSM은 다양한 폼팩터로 유연한 구축 모델을 지원합니다.

- V6000 하드웨어 어플라이언스, FIPS 140-2 Level 2를 준수

- V6100 하드웨어 어플라이언스, 통합 HSM 및 FIPS 140-2 Level 3을 준수

- 보메트릭 데이터 시큐리티 매니저 (Vormetric Data Security Manager) 가상 어플라이언스

- 주요 클라우드 및 호스팅 프로바이더를 통한 서비스

- AWS Marketplace를 통한 서비스


DSM은 보안 운영을 간소화 할 수 있는 시스템을 구축할 수 있습니다.

- 단일 관리 콘솔데이터 보안 정책 및 키 관리를 중앙에서 관리함으로써 교육, 구축, 운영 간소화

- 멀티테넌트 : 각 부서 또는 고객이 각자의 DSM 인스턴스를 관리. 관리자 역할 및 키 엑세스의 완벽한 분리

- 유연한 관리 : 웹 기반 콘솔, CLI(Command Line Interface), 그리고 Rest 및 SOAP를 포함한 API (Application Programming interface)를 통한 효율적인 관리

- 강력한 권한 분리한 관리자가 데이터 보안 정책, 암호화 키, DSM 관리 전반에 대한 컨트롤을 독점하지 않도록 보장



DSM을 통해서 엔터프라이즈 전반의 데이터 보안을 간소화 할 수 있습니다.


1. 검증된 확장성 : 수 만개의 호스트와 수 백만개의 키 지원

2. 지속적인 가용성 : DSM 클러스터로 고도로 안정적인 키 및 정책 엑세스 보장

3. 온프레미스 키 컨트롤 : 암호화 키에 대한 온프레미스 컨트롤을 보장함으로써 데이터가 클라우드, 빅데이터, 아웃소싱 환경으로 이동한 후에도 지속적인 컨트롤 권한을 유지할 수 있습니다. 이렇게 함으로써 조직의 데이터를 정부기관이 수집하거나, 승인되지 않은 사용자가 몰래 데이터에 접근하는 것을 차단합니다.

4. 타사 키 관리 중앙화 DSM은 보메트릭 제품의 암호화 키를 관리할 뿐만 아니라 IBM InfoSphere Guardium Data Encryption, Oracle Transparent Data Encryption (TDE), Microsoft SQL Server TDE, KMIP 준수 암호화 제품 등 타사 플랫폼들의 키 관리까지 모두 통합합니다. DSM 플랫폼은 또한 X.509 인증서, 대칭 키(symmetric key), 비대칭 키(asymmetric key)들을 안전하게 저장하고 인벤토리화하여 관리할 수 있습니다.


DSM이 구축되면 종합적인 보메트릭 데이터 시큐리티(Vormetric Data Security) 플랫폼이 구비됩니다. 고객은 이를 기반으로 데이터센터, 프라이빗/퍼블릭/하이브리드 클라우드, 클라우드 스토리지, 빅데이터, 리모트 서버 환경 전반의 파일과 데이터베이스에 존재하는 모든 민감한 데이터를 암호화하고 컨트롤 할 수 있습니다.








보메트릭 트랜스페어런트 인크립션(TRANSPARENT ENCRYPTION)

보메트릭 트랜스페어런트 인크립션(Vormetric Transparent Encryption)은 기존 애플리케이션, 데이터베이스, 인프라스트럭처의 리엔지니어링 없이 DAR(data-at-rest) 암호화, 권한 사용자 접근제어(privileged user access control), 시큐리티 인텔리전스 로그 수집을 제공합니다. 


보메트릭 DAR(data-at-rest) 암호화 소프트웨어의 구축은 단순하고 신속하며 확장이 가능합니다. 보메트릭 트랜스페어런트 인크립션 에이전트(Vormetric Transparent Encryption Agent)는 서버 또는 가상장치(VM) 상의 파일 시스템 위에 인스톨되어 데이터 보안 및 규제준수 정책들을 실행합니다. 


모든 보메트릭 제품들과 마찬가지로 보메트릭 데이터 시큐리티 매니저(Vormetric Data Security Manager) 를 통해 지속적인 정책 및 암호화 키 관리 운영을 중앙화하고 효율화합니다.






보메트릭 트랜스페어런트 인크립션의 주요 이점은 아래와 같습니다.


1. 트랜스페어런트 구축사용자 경험, 애플리케이션, 인프라스트럭처 변경 또는 개발이 필요 없습니다.

2. 규제준수 및 계약요건 지원보메트릭 엔터프라이즈 인크립션 소프트웨어는 DAR(data-at rest) 암호화, 파일 암호화, 최소 권한 액세스, 모니터링, 암호화 키 관리 관련 의무들을 만족시킵니다. 

3. 권한 사용자 리스크 제한 - 보메트릭 데이터 인크립션 소프트웨어 솔루션은 루트(root), 시스템, 클라우드, 스토리지, 기타 관리자들이 일상적인 운영 업무를 수행할 수 있도록 보장하는 동시에, 업무 이외의 불필요한 데이터 액세스를 차단합니다. 

4. 가장 광범위한 이종 운영체제 및 애플리케이션 지원 - 보메트릭 인크립션 에이전트는 Windows, Linux, Unix 플랫폼과 대부분의이터베이스 및 모든 비정형 파일 타입을 지원합니다. 

5. SLA(Service Level Agreements) 유지 - 특정 파일 시스템과 인크립션 가속화 하드웨어에 최적화된 에이전트들을 서버들 상에 배포함으로써 지연과 부하를 최소화합니다. 

6. 고객 요구에 따른 확장 및 업그레이드 - 이미 10,000여 개 이상의 서버에 구축되어 안정성과 기능이 검증된 보메트릭 엔터프라이즈 인크립션 소프트웨어 솔루션을 기반으로 기업은 신규 비즈니스 요구에 따라 물리적, 가상, 클라우드, 또는 빅데이터 환경 전반에서 데이터 보호를 손쉽게 확장할 수 있습니다.



정형, 비정형데이터를 고성능 암호화 처리하고 중앙 집중화 하여 관리할 수 있는 보메트릭 보안 솔루션에 대한 문의는 하단의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

개인정보보호법 개정안 (2016년도) 자세히 알아보기

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.06.15 19:04 / 카테고리 : nCipher HSM (Thales-HSM )


개인정보보호법 개정안 자세히 알아보기

개인정보보호법은 올해 1번이 이미 개정되었고 이후에도 여러번 개정이 됩니다. 그 중에서 DB보안 부분만 추려서 자세히 알아보도록 하겠습니다.




민감정보의 안전성 확보조치 의무화 (2016.09.30, 시행)

『개인정보 보호법』제23조(민감정보의 처리 제한)

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


기존에는 민감정보는 바이오(생체)정보만 암호화 하는 것으로 되어 있었지만 2016년도 9월에는 민감한 정보는 예외 없이 모두 암호화 해야합니다.


2016년 7월 개정으로 인해서 먼저 징벌적 손해배상제도가 도입됩니다. 자세한 내용은 아래를 참고해주시기 바랍니다.



법정 징벌적 손해배상제도 도입 (2016.07.25, 시행)

『개인정보 보호법』제39조(손해배상책임)

③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. 

5. 위반행위의 기간·횟수 등

6. 개인정보처리자의 재산상태

7. 개인정보처리자가 정보주체의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도

8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도


『개인정보 보호법』제39조의2(법정손해배상의 청구) 

① 제 39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심 (事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.



2016년도 1월에는 주민등록번호에 대한 보호와 이에 대한 사고시에 징벌에 관련된 내용이 포함됩니다.



주민등록번호 암호화 의무 적용 (2016.01.01, 시행)

1. 개인정보보호법 제24조의2(주민등록번호 처리의 제한)
② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.

『개인정보 보호법 시행령』제21조의2(주민등록번호 암호화 적용 대상 등)
② 제1항의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호와 같다.
1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일
2. 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일


특히 주민등록번호에 대한 암호화 조치는 가장 중요한 사항입니다. 앞으로는 주민등록번호의 수집은 금지되고 이미 수집한 주민등록번호는 안전한 암호화 등의 기술적인 조치가 필요합니다. 


기술적인 암호화 조치를 위해서는 첫번째로 안전한 정형, 비정형데이터 암호화 솔루션을 통해서 데이터베이스와 이미지파일 영상 파일등에 기록되어 있는 주민등록번호 및 바이오정보, 개인민감정보를 완전히 암호화 하는 것과 해킹공격에도 대비해야 합니다. 


특히, 암호화의 경우에는 강력한 알고리즘을 사용하고 있지만 암호 키가 유출되면 전부 복호화 할 수 있기 때문에 접근제어는 물론이고 데이터베이스 서버와 물리적으로 완전하게 다른 곳에 암호키를 안전하게 보관할 수 있어야 합니다.


먼저, 정형데이터와 비정형데이터는 금감원이 권고하는 컬럼단위 암호화를 수행하면서 성능저하가 없는 보메트릭 트랜스 페어런트 인크립션 제품이 있습니다. 특히 암호화 후에도 오버로드가 2~3% 내외 밖에 되지 않아 실질적으로 암호화 후에도 성능저하가 전혀 체감 되지 않는 고성능 비정형데이터 암호화 솔루션입니다.



※ Vormetric 암호화 솔루션 소개 : http://itblog.imarketkorea.com/230


그리고 강력한 암호화 알고리즘의 암호 키를 안전하게 보호해주는 장비로는 Thales e-Security의 nShield HSM이 있습니다. 접속형과 내장형이 존재하며, 내장형 장비의 경우에는 PCIe 슬롯에 장착이 가능하기 때문에 접속형 대비 처리속도가 고성능이고 공간도 적게 차지하기 때문에 공간활용도도 매우 효율적인 장비입니다.



Thales HSM은 모든 벤더사의 서버를 지원하고 있으며 아이마켓코리아에서는 강력한 소싱능력을 바탕으로 서버에 Thales HSM 제품을 내장한 제품을 패키지 특가로 판매하고 있습니다.




또한, DB 암호키 보관 전용으로 HSM 장비를 1개월 무료 대여하는 행사를 진행하고 있습니다. 자세한 정보는 하단의 링크를 참조해주시기 바랍니다.


※ Thales nShield HSM (PCIe Type) 1개월 무료 프로모션 안내 : http://itblog.imarketkorea.com/220



보메트릭 트랜스페어런트 인크립션 제품과 Thales nShield F3 HSM 모두 FIPS 140-2 인증을 받은 제품으로 안정성이 뛰어난 제품입니다. 두 장비 간의 호환성 또한 우수합니다.


암호화 제품에 대한 자세한 문의는 하단 아이마켓코리아 IT 사업부 담당자에게 문의 하시면 견적과 제품에 대한 자세한 내용을 안내 해 드립니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



개인정보보호법 개정안, 개인정보보호법 시행령, 개인정보보호법 내용, 개인정보보호법 알아보기, 개인정보보호법, 정보통신망법 개정 내용, 보안 컴플라이언스, FIPS 140-2, 보메트릭, Thales HSM, nShield HSM, 탈레스, DB암호화, 비정형데이터, 정형데이터 암호화,. HSM 장비, 1개월 무료 대여행사, CC EAL 4+, 기업 서버, 기업 보안, 아이마켓코리아, 암호화 장비

Trackbacks 0 / Comments 0

[DB암호화 솔루션] 개인정보보호법 대응, 보메트릭 인크립션 보안 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.06.09 15:52 / 카테고리 : 보메트릭 암호화 솔루션



개인정보보호법 일부 개정으로 비정형데이터까지 암호화해야

최근 국회를 통과한 개인정보보호법 개정안은 데이터 유출에 대한 배상과 처벌이 강화되었습니다. 개정안에 따르면, 개인정보 유출로 인한 피해자들은 법정손해배상제를 통해 300만원까지 손해배상을 받게 되었습니다.


또한, 개인정보를 고의적으로 유출시킨 경우 해당 기관과 사업자는 실제 손해액의 최대 3배까지 배상하도록 하는 징벌적 손해배상제도도 함께 도입되었으며, 이와 함께 개인정보 침해 관련 사범에 대한 처벌도 대폭 강화되어 10년 이하 징역 또는 1억원 이하의 벌금이 부과되고, 범죄 수익은 전액 몰수 및 추징되게 되었습니다.



그리고, 개인정보보호법 일부 개정으로 비정형데이터안에 있는 주민등록번호 및 각종 민감정보, 생체데이터 등도 암호화하도록 권고하고 있습니다. 기존에 있던 정형데이터 암호화 뿐만 아니라 비정형데이터(이미지, 문서, 동영상 등)을 암호화해야하며 비정형데이터의 데이터량이 많은 만큼 고성능의 암호화 솔루션이 필요하게 되었습니다.


암호화 적용 대상: 데이터베이스 뿐만 아니라 저장되는 모든 개인정보암호화 필요

  - 제 21조의 2(주민등록번호 암호화 적용 대상 등) 

    ① 개인정보처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는

        법 제24조의2제2항에 따라 암호화 조치를 하여야 한다. 

       * 즉, DBMS 뿐만 아니라 로그, 이미지, 녹취 등 비정형으로 저장되는 주민등록번호도 암호화 필수




성능저하 없는 강력한 비정형데이터 암호화 솔루션, 보메트릭 인크립션

보메트릭 트랜스페어런트 인크립션 (Vormetric Transparent Encryption) 은 대다수의 DB암호화 제품과 달리 어플리케이션 및 데이터베이스의 변화 없이 투명한 암호화를 제공하는 큰 특징을 가지고 있습니다.



[보메트릭 암호화 솔루션 - 보메트릭 트랜스페어런트 인크립션)



암호화 뿐만 아니라 키 관리, 접근 통제, 권한 및 역할 관리, 감사 등 데이터 보안에 필요한 모든 기술을 포괄적으로 제공합니다. 국내 경쟁사 제품과 달리 파일 단위로 암호화를 수행하며 데이터베이스에 존재하는 정형 데이터뿐만 아니라 로그 파일, 이미지 파일, 영상파일 등의 비정형 데이터에도 동일한 암호화와 접근 제어 기술을 제공합니다. 




이를 통해 고객은 오라클, MS-SQL, DB2와 같은 여러 종류의 데이터베이스는 물론 로그파일, 이미지데이터, 영상데이터, 음향데이터 등의 비정형 데이터까지도 암호화 할 수 있습니다.



이렇게 암호화된 정보는 별도의 키 관리 솔루션을 통해 더욱 안전하게 보호됩니다. 보메트릭은 암호 키를 별도의 장소에서 관리하도록 지원하는 키 관리 어플라이언스를 통해 해커가 암호화 데이터와 암호 키를 동시에 탈취하지 못하도록 막아줍니다.





본 제품은 FIPS 140-2 Level 3 인증을 받은 하드웨어 어플라이언스인 ‘보메트릭 데이터 시큐리티 매니저(이하 DSM)’을 기반으로 중앙 집중 관리되며, 데이터 보호가 필요한 서버에 설치되는 암호화 에이전트 (Vormetric Encryption Expert Agent)가 실제 암호화와 접근 통제 등의 기능을 수행합니다.





보메트릭 트랜스페어런트 인크립션 제품의 특장점

보메트릭 인크립션 제품은 빠른 쉽고 빠른 구축이 가능하게 고객 만족도가 높은 제품입니다. 또한, 기존 시스템이나 애플리케이션을 변경하지 않고도 투명하게 암호화 기술을 적용할 수 있어 고객은 보안 구축에 필요한 노력과 시간, 비용을 획기적으로 줄일 수 있습니다.


성능

암호화에 따른 성능 오버헤드는 암호화 솔루션의 설계 방식과 기존 시스템과의 상호 작용, 하드웨어 암호 가속화의 수에 따라 결정됩니다. 예를 들어, 기존 타사의 컬럼 단위 암호화는 직선적인 성능 영향을 추가로 발생시켜 암호화된 컬럼의 길이는 통상 두 배 가까이 늘어나게 되고, 이는 필연적인 성능 저하를 유발합니다. 


보메트릭은 파일 시스템 또는 볼륨 매니저의 가장 이상적인 위치에서 암호화와 정책 적용 작업을 수행합니다. 이러한 접근 방식은 하이-엔드 애플리케이션 및 데이터베이스의 I/O 프로필을 활용하는데, 특정 작업이 요구하는 스토리지 블록에 대해서만 암호화 및 복호화를 수행하기 때문에 아주 작은 오버헤드만으로 동작하는 것이 가능합니다.


대부분의 벤더들이 암호화에 “투명하게” 접근해 성능 영향을 한자리 숫자로 유지한다고 주장하지만, 보메트릭은 타사의 성능치를 뛰어넘는 능력을 입증해 왔습니다. 디스크 I/O 동작이 보호된 데이터에서 실행될 때에만 암호화 및 해독 작업을 수행하므로, 암호화를 작동시켜도 트랜잭션적인 영향을 피할 수 있습니다. 


그 결과, 보메트릭 인크립션을 활용하는 고객들이 암호화 후 실제업무 환경에서 감지할 수 있는 수준의 영향을 받았다는 보고는 거의 발생하지 않고 있습니다.



최소의 성능 부하

보메트릭 인크립션 제품은 암호화 후에도 성능 부하를 최소로 유지합니다. 그 동안 성능 부하 문제는 암호화 기술의 최대 단점으로 여겨졌지만 보메트릭 트랜스페어런트 인크립션 제품은 대량의 데이터 암호화 구축 후에도 시스템 성능 오버헤드를 낮게 유지합니다. 


실제로 울산대학교병원은 보메트릭 인크립션으로 구축 후 성능 오버헤드를 1~2% 미만으로 유지했는데, 이는 시스템을 사용하는 사용자가 체감할 수 없을 정도의 아주 낮은 성능 부하입니다.


그 결과, OLTP 업무가 90% 이상을 차지하는 울산대학교병원 자체 시스템에 무리를 주지 않고 고객은 병원 업무를 원활히 수행할 수 있었습니다.



투명한 구축

기존의 IT 인프라에 암호화를 통합시키는 것은 복잡하며, 시스템 변경이 많은 경우 구축 기간이 수개월 혹은 수년이 소요되기도 합니다. 


반면, 파일 시스템 논리 볼륨 계층 위에 추가되는 형태의 보메트릭 암호화 솔루션은 데이터베이스, 애플리케이션, 파일 및 스토리지 네트워크를 재구성할 필요가 없이 현재 상태에서 투명한 보안을 제공합니다. 또한, 애플리케이션 및 데이터베이스에 대한 수정이 필요하지 않아 몇 일 또는 몇 주라는 짧은 기간 내에 구축이 가능하여 암호화 완료 후에도 기존 시스템의 성능 저하 없이 운영성 및 유지 보수성을 유지할 수 있습니다.


또한, 파일 단위 암호화는 가상, 클라우드 및 빅데이터 환경에 걸쳐 존재하는 로그파일, SNS, 이미지 등 비정형 데이터를 대용량의 정보를 보호할 수 있도록 지원합니다.



중앙집중화된 키 및 정책 관리

보메트릭은 폭넓은 IT 환경에 걸쳐 쉽게 확장할 수 있는 안전하고 중앙집중화된 키 관리 시스템을 제공합니다. 암호화를 위해 여러 개의 포인트 솔루션을 사용하면 암호 키를 관리하고 보호하는 일이 복잡해지며, 특히 업계 및 정부의 규제를 준수하기가 어렵습니다. 


보메트릭은 암호화 데이터가 운영되는 장비와 별도로 운영되는 키 관리 어플라이언스인 데이터 파이어월을 통해 모든 엔터프라이즈 시스템에 단일 방식의 대폭 간소화되고 정밀한 제어와 감사 기능을 가진 별도의 키 관리 시스템을 제공합니다.


또한, 암호 키의 생성 및 관리, 배포, 삭제 등의 모든 라이프 사이클을 효율적으로 관리함으로써 보다 강화된 보안 환경을 구축할 수 있도록 지원합니다.



국내 대표 고객 사례   

보메트릭 인크립션은 KB금융그룹과 아시아나항공, LG U+, 대교 등 180여개의 고객을 보유하고 있으며, 이 중 130여개 이상의 고객을 2013년도에 새로 확보하며 고객 기반을 확장하고 있습니다. 



또한, 국내 대학과 병원, 금융 기관에서 다양한 레퍼런스를 확보하고 있습니다. 병원은 처방전달시스템(Order Communication System; OCS), 의료영상저장전송시스템(Picture Archiving Communication System; PACS), 전자의무기록(Electronic Medical Record; EMR) 등 환자의 개인정보를 대량으로 다루는 시스템을 많이 보유하고 있는데, 이 모든 시스템이 서로 다른 환경에서 운영되기도 합니다.


실제로 울산대학교병원은 로 디바이스(Raw Device)로 구성된 사이베이스 ASE(Sybase ASE Database), 오라클 애플리케이션 및 이미지 파일 등을 포함한 베리타스 파일시스템(Veritas File System), MySQL과 마이크로소프트 SQL을 사용하는 x86 서버 기반 NT 파일시스템 등 다양한 시스템이 혼재된 IT 환경을 갖추고 있는데, 단일 솔루션으로 모든 시스템 환경을 보호하는 보메트릭 트랜스페어런트 인크립션을 도입해 쉽고 간편하게 정보를 암호화하는 데 성공했습니다.


한국해양대학교는 보메트릭 트랜스페어런트 인크립션 제품을 도입해 2012년 기준 9,156명인 학부 재적생과 257명의 직원 정보는 물론, 축적된 신입생, 졸업생 데이터와 대표 홈페이지를 이용하는 일반 사용자 정보까지 20만명 이상의 개인 정보를 안전하게 보호한 바가 있습니다.


고성능 비정형데이터 암호화 솔루션인 보메트릭 인크립션에 대한 구매 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



개인정보보호법 개정안, 대학교 개인정보, 병원 개안정보, 은행 개인정보, 개인정보보호, 이미지암호화, 비정형데이터 암호화, SNS 암호화, 기업 보안, 기업보안 데이터, 암호화 기법, FIPS 140-2, 개인정보암호화, 보메트릭, 보메트릭 인크립션, 보메트릭트랜스페이런트 인크립션, 서버 암호화, DB 서버 암호화, 데이터베이스, DB암호화

Trackbacks 0 / Comments 0

[DB보안, 서버] 암호화 키 관리 HSM이 내장된 기업용 서버 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.06.01 09:50 / 카테고리 : nCipher HSM (Thales-HSM )



DB 유출사고 발생 시, 최대 5억원의 과징금 부과

2014년 8월 부터 시행된 개인정보보호법 개정안에 의해, 앞으로 개인정보 유출사고가 발생하면 최대 5억원의 과징금이 부과됩니다. 이 뿐만 아니라, 개인정보처리자의 대표자 및 책임 있는 임원에 처벌을 받게 되기 때문에, 개인정보보호 관련 법의 규제가 더욱 더 강화되었습니다. 



주민등록번호를 보관하는 개인정보처리 업체는 의무적으로 중요 정보를 암호화해야 합니다. 올해 말까지 국내 금융권 회사 들도 의무적으로 주민등록번호를 암호화해야 하기 때문에 개인정보암호화를 위한 보안 솔루션의 도입은 이제 반드시 해야하는 필수적인 조치가 되었습니다.




안전한 DB서버를 구축하기 위한 보안조치

DB 암호화를 위해서 많이 고려하는 부분이 도입비용, 성능, 그리고 안전성입니다. 특히, 안전한 암호화를 구축하기 위해서는 암호화데이터와 암호화 키를 물리적으로 별도로 다른 곳에 저장해야 합니다. 암호 키는 데이터베이스의 정보를 복호화하는 중요 열쇠이기 때문입니다. 


공격자가 서버를 해킹하게 되었을 시에 암호화 데이터와 암호화 키가 물리적으로 같은 서버에 있게 되면 데이터와 복호화 하기 위한 암호화 키가 전부 탈취 당하게 됩니다. 암호 키를 획득하지 못하면 중요데이터를 해독 할 수 없지만, 탈취 당하면 쉽게 해독이 가능합니다. 그래서, 암호화 키 관리가 매우 중요합니다. 이렇기 때문에 데이터와 암호화 키는 물리적으로 별도의 장소에 보관되어야 합니다.

 

위의 사례처럼 물리적인 완전한 분리 작업을 위해서는 데이터베이스 서버와 암호화 키 관리 서버를 별도로 구축해야 하기 때문에 2배로 많은 비용이 들게 됩니다. 



이러한 비용 문제와 보안 요건을 충족하기 위해서 필요한 보안 솔루션이 HSM (Hardware Security Module) 입니다. HSM은 암/복호화시 발생하는 리소스를 분산하여 서버의 가용성을 증가시켜 성능저하 문제를 방지합니다. 


크기도 외장형과 내장형으로 2가지가 있어서 크기가 서버에 비해서 작기 때문에 많은 공간을 확보할 수 있습니다. 비용 또한 별도의 키 관리 서버를 구매하는 것보다 훨씬 저렴하고 관리도 용이합니다. 


데이터저장용과 암호화 키 저장용으로 2대의 서버 비용을 지출하는 것보다 데이터저장용 서버와 PCIe 카드 방식의 암호화모듈을 사용하는 것이 훨씬 경제적입니다.


또한, HSM은 키 관리에 특화되어 있어, 데이터 서버와 물리적으로 다른 저장소를 가지는 HSM 장비에 키를 저장하고, 생성하고, 관리할 수 있습니다. 외부에서 침입시에도 암호화 키는 HSM 장비에 안전하게 보관되어 탈취 당하지 않게 됩니다.





DB암호화 키 관리 HSM + 서버 상품 소개

아이마켓코리아에서는 HSM 장비가 내장된 DB암호화 키 관리 전용 HSM 서버를 추천해드립니다. 많은 기업에서는 DB암호화 솔루션을 통해서 데이터베이스 암호화를 진행하고 있습니다. 하지만, S/W 방식의 암호화로는 한계가 있습니다. S/W 방식의 한계는 HSM을 통한 물리적인 암호 키 관리를 통해서 해결 할 수 있습니다.

아이마켓코리아에서는 전세계 모든 제조사의 서버와 전세계 점유율 1위 Thales e-security의 PCIe 내장형 HSM인 nShield F3 제품을 내장한 DB보안 서버 패키지 제품을 판매하고 있습니다. HSM은 PCIe 슬롯을 사용하기 때문에 서버 안에 내장할 수 있으며, 외장형 제품 보다 더 빠른 처리속도와 안정성을 자랑합니다.


해당 서버를 구매하면 물리적으로 별도의 저장소를 가지는 전용 키 관리 장비가 포함되어 있어 암호화 키 관리 이슈를 해결할 수 있으며, 별도의 키 관리 서버를 구축하는 비용보다 더 저렴하고 장소도 적게 차지하며 관리에도 용이합니다. 



Thales e-Security HSM은 HP, IBM, Dell, Oracle, 후지쯔 등 다양한 벤더사의 서버를 지원합니다. 






또한, Thales e-Security F3 HSM은 CC EAL 4+ 인증과 FIPS 140-2 Level 3 인증을 받은 제품으로 보안성이 뛰어납니다. HSM 제품을 구매할 때는 반드시 FIPS 140-2 인증을 받은 제품을 구매하는 것이 좋습니다.




저렴한 가격으로 기업 DB서버와 물리적 암호 키 보안 솔루션을 통합 구매하시기 바랍니다.




Thlaes nShield F3 PCIe Type (Solo) 제품 스펙





고성능 서버와 암호화 키 관리 솔루션인 Thales HSM의 통합 구매 관련 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 서버는 모든 벤더사에 대해서 맞춤 주문이 가능합니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



개안정보보호법, 정보통신망법, 개인정보보호법 개정안, 암호화 키 관리, HSM, 암호 키 관리, 기업 서버, 암호화 알고리즘, FIPS 140-2, CC EAL 4+, FIPS 140-2 Level3, PCI DSS, 기업서버, 서버 구매, 저렴한 서버, 서버 통합, 암호화 모듈, Thales HSM, HSM, 하드웨어 암호화 모듈

Trackbacks 0 / Comments 0

SSL보안 (Secure Sockets Layer), 안전하게 구축하는 방법

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.12 14:51 / 카테고리 : nCipher HSM (Thales-HSM )



2014년도에 미국 시장조사업체인 가트너에서는 2017년에 사이버 공격의 50% 이상은 접속보안층인 SSL(Secure Sockets Layer)로 암호화된 네트워크 트래픽을 통해서 해킹 공격이 이루어질 것으로 전망하고 있습니다.


글로벌 인터넷 사업자 들은 개인정보보호와 웹서비스 속도 향상, 트랜잭션 안정성 등 여러가지 목적을 위해서 SSL 프로토콜을 의무화 하는 등 암호화 트래픽 확산을 주도하고 있습니다. SSL 암호화 방식은 주요 검색서비스, 포털서비스, 소셜네트워크, 은행, 증권, 게임 사이트 등 개인정보와 자산이 관리되는 웹서비스에 사용되고 있습니다.

국내에서도 SSL 프로토콜의 도입이 사이버 공격으로부터 든든한 방어막 역할을 할 것이라고 생각하여 정보통신망법 개정 등 법안에 SSL 보안서버 도입을 의무화, 확대하였습니다. 하지만, 정작 SSL에 통신에 사용되는 인증 키 관리에 대한 보안을 취약한 곳이 많습니다. 


SSL 프로토콜이 안전하다고 하여도 결국에는 SSL 인증서의 마스터 키가 탈취 당하거나 위변조 된다면, SSL 프로토콜의 무결성과 안정성을 신뢰할 수 없게 됩니다.




SSL 공격 원리와 방어 방법

SSL을 사용하여 보안 마스터 키와 거기에 결부 통신을 위협하는 조직의 신원을 증명하는 SSL 인증서에 의존하고 개별 세션에 대해 고유한 암호화 키를 얻을 수 있습니다. 


다른 암호화 키뿐만 아니라 SSL 마스터 키를 보호해야 합니다. SSL 키를 훔친 공격자는 실제 사이트 행세를하고 트래픽을 읽을 수 있습니다. SSL 솔루션의 보안 키의 보안에 직접 관계하기 때문에 높은 보증을 필요로하는 기업과 정부기관은 SSL 키와 SSL 연결 프로세스를 보호하기 위해 추가적인 조치를 필요로 하는 경우가 있습니다. 




높은 수준의 보안성을 취득하기 위한 효과적인 방법은 하드웨어 보안 모듈 (HSM)에서 SSL 암호화 키를 보호하는 것입니다. HSM과 같은 전용 암호화 하드웨어는 물리적인 방식(하드웨어 방식)으로 안전한 저장소에 SSL 인증키를 분리시켜서 저장하고 관리할 뿐만 아니라, 웹 서버와 호스트의 암호화 처리 부하를 줄이고 성능을 크게 향상시키는 동시에 CPU 오버 헤드를 줄일 수 있습니다.





SSL 인증 키 보호, Thales nShield HSM 

Thales e-Security 제품 및 서비스 보증이 높은 고성능 SSL 암호화를 도입하여 기업과 고객의 정보를 보호하면서 중요한 웹 응용 프로그램이 필요로하는 성능을 실현하는데 도움이 됩니다. nShield HSM은 다음과 같은 여러 가지 방법으로 SSL 구현 가치를 높입니다.



FIPS 140-2 레벨 3 및 공통 평가 기준 EAL4 + 인증을 받은 HSM 장비로써, SSL 암호화 / 복호화 프로세스의 무결성을 보장합니다. 

• 업무 분리를 실현하는 변조 방지 키 생성 기능과 키 관리 기능의 사용을 통해 준수보고를 용이하게 합니다.

암호화 오프로드를 통한 고 가용성 및 서버 성능의 향상을 실현합니다.

• 소량 또는 대량 통신 두 응용 프로그램에 대해서도 비용 효율적인 솔루션을 배포합니다. 속도와 제품 형상을 선택할 수있는 장점을 살려 요구에 맞는 정말 필요한 솔루션 만을 도입하는 경우에도 쉽게 업그레이드 할 수 있습니다.




SSL 마스터키 보호를 위한 솔루션, Thales HSM 

Thales e-Security는 Thales의 보안을 담당하는 사업부로써 Thales 그룹은 전세계 68,000여명의 직원과 50여 나라에 자회사를 보유한 글로벌 회사입니다. 신뢰를 최우선으로 하는 오랜 국방 관련 사업 경험을 바탕으로 군, 정부, 일반기업에 이르기까지 정보 시스템 보안 시장을 위한 최고의 기술을 자랑합니다.


Thales HSM은 글로벌 PHSM 시장의 70%, GPHSM은 40%의 점유율을 차지하고 있습니다. 

소프트웨어 기반의 운영 시스템은 많은 보안 문제점을 내포하고 있습니다. 안전하게 시스템을 운영하기 위한 철저한 보안을 위해서는 하드웨어 기반으로 시스템을 구축하는 것이 중요합니다.


 논리적 공격 

 물리적 공격

 - 악성코드 (트로이 목마 등)

 - 해커는 네트워크 상에서 정보 접근이 가능

 - 복호화 된 데이터는 메모리 상에서 탈취

 - 직원의 중요 정보 복사

 - 직원이 시스템에 백도어 프로그램 설치

 - 시스템 메모리는 절대 안전하지 않음

 - Cold Boot 공격으로 전문적인 소프트웨어

   (파일 디스크 암호화 등) 조차도 안전하지 않음.




절대로 중요하기 관리되어야 하는 암호화 키, 중요한 실행코드, 매우 민감한 데이터는 운영 시스템에서 처리하지 않아야 합니다.


Thales nShield HSM으로 개선

- 암호화 및 복호화는 HSM 내부에서 실행하게 합니다.

- SSL 세션은 HSM 내부에서 처리하도록 합니다.

- 인증 로직과 같은 중요 로직을 HSM 내부에서 처리합니다.


Thales HSM 의 종류 (내장형, 외장형)


 


 


 Model

 nShield Solo

 (500, 6000)

 nShield Connect 

 (500, 1500, 6000)

 인터페이스

 PCI, PCI Express

 2x 1 Gbit Ethernet

 Default Client 라이센스

 1

 3 

 최대 클라이언트 지원

 1

 500 Model : 10

 1500 Model : 20

 6000 Model : 100 

 PSU 및 Fan 이중화

 N/A

 2 (Hot-Swappable) 

 성능 TPS (RSA 1,024/2,048 서명 기준)

PCIe: 500/82, 6000/3000

 500/82, 1500/500, 6000/3000

 인증

 FIPS140-2 Level 2 or 3, Common Criteria EAL 4+

 FIPS140-2 Level 3, Common Criteria EAL 4+

SEE 지원 (Secure Execution Engine)

 FIPS Level 3 장비에만 적용 가능하며 중요한 알고리즘, 소스 코드 및 비즈니스 로직 등의 보호

 Load-balancing 및 Fail-over O – 모델에 상관없이 상호 지원



[nShield 제품군의 FIPS 140-2 인증서]


Thales nShield HSM Series는 FIPS-140-2 인증을 받은 제품입니다.


SSL 인증 키를 안전하게 보호하기 위한 하드웨어 보안 솔루션, Thales nShield HSM에 대한 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 


(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



SSL보안, Secure Sockets Layer, FIPS 140-2, PCIe, nShield, nCipher, SSL 암호화, DB보안, 서버보안, 오라클 TDE, HSM, 하드웨어암호화모듈, Hardware Security Module, GPHSM, 보안솔루션, 보안어플라이언스, SSL 마스터키, 암호화 키 관리, 암호화 키

Trackbacks 0 / Comments 0

SSL/TLS의 안정성과 보안성을 확보하는 방법, HSM(Hardware Security Module)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.04 18:34 / 카테고리 : nCipher HSM (Thales-HSM )



SSL 프로토콜을 사용하는 이유과 위험성

SSL (Secure Sockets Layer)은 정확하게는 TLS (Transport Layer Security)라고하지만, 이것은 신중하게 처리 할 데이터를 인터넷상에서 통신 할 경우에 보호하는 기본 방법입니다. Secure Socket Layer 프로토콜은 공용 키와 강력한 암호화를 통해서 클라이언트와 서버간의 통신시 세션을 안전하게 보호할 수 있습니다. 



SSL은 암호화 키와 관련된 협상을 할 수 있을 뿐만 아니라 상위 응용프로그램이 정보를 서버와 교환하기 전에 서버의 진위를 확인해 줄 수 있기 때문에 기존에 온라인 결제서비스에서만 한정적으로 사용하던 SSL은 현재 많은 개인정보를 다루는 곳에서 필수적으로 해야합니다.


반면에 단점도 존재합니다. 일반 통신 방법보다 안전한 만큼 SSL 세션처리를 위해서 암호화화 복호화를 하게 되면 웹 서버의 성능저하가 일어나고 리소스가 많이 필요하게 될 수 있으며, 웹서버 인증서가 탈취되거나 복제가 될 수 있는 보안적인 문제점도 있습니다.




그렇게 때문에, SSL 세션에 참여하려면 자격을 증명하는 디지털 인증서가 반드시 필요하게 됩니다. SSL에서는 CA(Certificate Authority)에서 발행을 하고 사용자의 신원을 확인하는 역할을 합니다. 


[SSL / TLS 핸드쉐이크 프로토콜]


클라이언트와 서버 통신 간에는 메시지 인증 코드(Hash based Message Authentication Code)를 사용하여 메시지를 교환하며, 메시지의 무결성과 신뢰성을 확인하는 방법으로 사용하게 됩니다. 만약에 이 HMAC 값이 일치하지 않는 경우에는 처음부터 다시 검증을 시작하게 됩니다. 이 일련의 과정을 SSL 핸드쉐이크라고 합니다. 


하지만, SSL에서 사설 키를 탈취당하거나 SSL 사설 키 복사본을 사용하면, SSL 사설 키 복사본을 이용하여 신뢰할 수 있는 서버로 위장하여 SSL 핸드쉐이크를 처리할 수 있게 됩니다. 그렇게 되면, 클라이언트가 원래 접속하려는 사이트가 아니라 가짜사이트로 접속경로를 변경시킬 수 있습니다.


일반적인 대부분의 SSL 인증 키는 암호화된 형태로 클라이언트 컴퓨터 하드디스크에 저장됩니다. 그렇기 때문에 이를 탈취하거나 무단 복제가 가능합니다. 


 

SSL : (Secure Socket Layer) 도입시 위험성

1. SSL 키에 액세스 한 공격자는 비밀 정보를 도용하거나 진짜 사이트로 위장하는 것으로, 피해를 줍니다.

2. 소프트웨어에 저장된 SSL 키는 내부 공격에 취약 할 수 있습니다.

3. SSL 암호화 / 복호화 과정은 많은 자원을 소모하기 때문에 서버 및 대량 데이터를 처리하는 응용 프로그램의 성능을 저하시킬 수 있습니다.

4. SSL 기반 작업은 웹 서버 및 비즈니스 응용 프로그램에만 한정되는 것은 아닙니다. SSL 연결은 네트워크 어플라이언스 트래픽 검사 용 게이트웨이나 방화벽 및 기타 성능 모니터링 장치에서 종료되는 경우가 많아지고 있습니다. 이러한 모든 경우에도 키는 일관된 형태로 보호해야 합니다.




SSL 인증 키를 안전하게 관리하는 방법 : HSM의 도입

HSM은 하드웨어보안모듈(Hardware Security Module)로 불리우는 하드웨어 장비로, SSL 인증 키를 안전하게 보호할 수 있는 기능을 가지고 있는 전용 하드웨어 장비입니다. 가장 큰 특징은 HSM 장비 안에서 SSL 인증 키를 생성하고 사용하고, 저장 및 관리 까지 가능하게 할 수 있다는 점으로 보안 안정성이 크게 향상됩니다. 


키 관련 정보가 애플리케이션에서 물리적, 논리적으로 완전히 분리시키기 때문에 네트워크를 통한 공격이 불가능합니다. 


안정성이 높은 HSM을 고르기 위해서는 공인된 검증이 필요합니다. HSM 제품의 안정성을 평가하는 표준 인증으로는 미국국립표준기술연구소에서 인증하는 FIPS 140-2 (Federal Information Processing Standard) 와 CC(Common Criteria) 인증이 있습니다.



        



FIPS 140-2와 CC인증은 HSM 제품을 고를때 반드시 고려해야 할 부분입니다.




Thales e-Security nShield HSM 솔루션

Thales e-Security HSM 솔루션과 고성능 SSL 암호화를 도입하면, 기업과 고객의 정보를 보호하면서 중요한 웹 응용 프로그램이 필요로 하는 성능을 실현하는데 도움이 됩니다. nShield HSM은 다음과 같은 여러 가지 방법으로 SSL 구현의 가치를 높입니다.


SSL : Thales nShield HSM

마스터 SSL 암호화 키를 보호하여 SSL 프로세스의 무결성을 보장합니다. 표준 API 및 일반 웹 플랫폼 및 SSL 도구와 이미 검증된 통합을 통해 개발자와 IT 보안 담당자는 SSL 개인 키 보호 및 관리를 nShield HSM의 보안 경계 내에서 수행 할 에서 높은 수준의 보증을 제공 할 수 있습니다.

 최적화 된 HSM 장치에서 프로세스를 실행하여 SSL 세션 설정 및 연결에 걸리는 시간을 단축합니다. 상대적 통신 데이터 량이 많아 성능이 중시되는 응용 프로그램은 HSM이 제공하는 암호화 가속 기능을 사용하여 SSL 세션 핸드 쉐이킹을 실행하여 응용 프로그램의 효율성을 크게 향상시킬 수 있습니다.

 nShield HSM에서 제공되는 SSL 처리를 사용하면 웹 서버나 호스트가 더 인터넷 연결을 더 빨리 처리 할 수 있게 되고, 그에 따라 전반적인 능력을 향상시키고, 하드웨어 비용을 최소화 할 수 있습니다.

 SSL 연결의 보안을 확보합니다. 최대한의 보호를 필요로하는 애플리케이션의 경우 설계자는 nShield HSM의 CodeSafe SSL 기능의 장점을 살리고, SSL 소프트웨어 스택 전체에 해당하는 응용 프로그램 논리를 HSM의 보안 경계 내에 넣을 수 있습니다 .

 SSL 기능을 통합 상용 장치 및 장비의 안전의 수준을 올립니다. SSL 종단은 게이트웨이, 방화벽, 네트워크 스위치,로드 밸런서 등 다양한 유형의 장치에서 발생하기 때문에 제품 공급 업체는 이 장치와 HSM을 통합하여 높은 보증을 제공하는 고성능 FIPS 인증을 받은 SSL에 대한 대응 기능을 생성 할 수 있습니다.






Thales nShield HSM은 FIPS 140-2 Level 3 및 공통평가 기준인 CC EAL4+를 사용하여 SSL의 암호화 및 복호화 프로세스의 무결성을 보장하며, 암호화 오프로드를 통해 고 가용성 및 서버 성능의 향상을 실현 가능합니다. 



안전한 SSL 구현을 위한 HSM인 Thales e-Security nShield HSM에 대한 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8365
Mobile : +82-10-2016-8185
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



SSL, TLS, HSM, FIPS 140-2, CC인증, CC EAL4+, SSL 암호키, PKI, 공개키 암호화, CA, 디지털 인증서, 웹인증서, https, 웹서버 인증서, 아이마켓코리아, Thales hsm, hsm, Thales, Thlaes HSM, nshield, ncipher, Secure Socket Layer, SSL 핸드쉐이크


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 361,297
  • 오늘 : 56
  • 어제 : 53
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.