플레이북

다운로드 이벤트

개인정보를 입력하시면

바로 플레이북을 다운로드 받을 수 있습니다.

지금 다운받으세요! 

Search

DB 암호화 ~ 클라우드에서 TDE 적용할 때 암호화 키 관리가 더 쉬워진다!

데이터베이스 암호화는 매우 중요한 규제 대응 활동 중 하나입니다. 개인정보보호법, HIPPA, GDPR 등 다양한 규제에서 강조하는 것 중 하나가 민감한 정보를 암호화하라는 것입니다. 암호화와 함께 가이드라인으로 제시하는 것이 하나 더 있죠. 바로 생명주기 측면에서 암호화 키 관리를 안전하게 하라는 것입니다.

이런 이유로 키의 생성, 배포, 회수, 폐기 등 라이프사이클 차원에서 안전하게 하기 위해 많은 기업이 HSM(Hardware Security Module)을 도입해왔습니다. 그렇다면 클라우드 환경에서는 HSM을 어떻게 적용해야 할까? 특히 써드파티 데이터베이스 암호화 솔루션을 쓰지 않고 데이터베이스가 제공하는 TDE(Transparent Data Encryption) 기능을 이용할 경우 클라우드에서 안전한 키 관리는 어떻게 해야 할까? 이에 대한 답을 마이크로소프트가 제시했습니다.

Azure 환경에서 HSM 기능을 하는 것은 Azure Key Vault입니다. 이 서비스는 FIPS 140-2 레벨 2 인증을 받은 것으로 온프레미스에서 사용하는 HSM과 같은 역할을 한다고 보면 됩니다. 이 서비스를 기반으로 TED 기반 암호화를 할 때 사용자 편의를 제공하고 위해 마이크로소프트는 TDE with BYOK(Bring Your Own Key)를 지원합니다. 이 서비스는 2018년 4월 정식 출시되었고, SQL 데이터베이스를 신규 배포할 때 적용이 가능합니다.

TDE with BYOK 반응이 뜨겁다 보니 마이크로소프트가 최근 매니지드 서비스 기반 SQL 데이터베이스 인스턴스도 지원 대상에 넣었습니다. 현재 프리뷰 단계이긴 한데, 매니지드 데이터베이스 서비스를 이용해도 TDE with BYOK를 사용할 수 있다는 것만 해도 반길 소식인 것 같습니다.


동작 원리는 간단합니다. 데이터베이스 암호화에 사용된 키(DEK, Database Encrytion Key)는 TDE 보호기(TDE Protector)에 의해 보호됩니다. 이 TDE 보호기가 저장되는 위치가 바로 Azure Key Vault입니다. 어떤 규제 준수를 목표로 하는지에 따라 암호화 키 관리 관련 보안 정책을 가져갈 수 있는데요, 일례로 Azure Key Vault에 저장된 TED 보호기에 대한 접근 권한을 특정 관리자에게만 부여하거나, 권한을 취소할 수 있습니다. 참고로 키 관련 각종 관리 작업은 파워쉘 또는 Azure Key Vault CLI를 통해 할 수 있습니다.




#데이터베이스 #암호화 #TDE #SQL데이터베이스 #HSM #암호화키 #GDPR #FIPS인증

0 views