Vormetric : Data Encryption Solution (1/2)
안녕하세요.
이번에는 DB 암호화 Solution 중 하나인 Vormetric에 대하여 알아보겠습니다.
Vormetric은 개인정보보호법이 시행되면서 큰 각광을 받고 있는 암호화 Solution입니다.
개인정보보호법이 시행되면서 모든 기업은 개인 정보를 보호해야될 의무를 갖게 되었습니다.
개인정보보호법은 기술적 / 정책적 관리 수칙을 준수하도록 권고하는, 2011년 9월 30일에 시행된 법률입니다.
개인정보보호법 기술적 보호조치에서 필수적으로 수행해야 될 항목 중의 하나로, 개인정보를 포함하고 있는 DB를 암호화해야한다고 이야기하고 있습니다.
자, 그럼 Vormetric의 기본적인 개요를 살펴보겠습니다.
Vormetric에서 Data를 암호화하기 위해서는 암호화 대상 Server에 Agent를 설치해야합니다.
각 OS별 Agent가 별개로 존재하며, IBM AIX, HP-UX, Solaris, Linux, Windows를 지원합니다.
Vormetric에서는 이 모든 암호화 대상 System들을 'Host'라고 부르고있습니다.
Agent가 설치된 Host들은 Vormetric Server와 통신하며 암.복호화 Key를 갱신하고, 정책등을 Update하게 됩니다.
Data를 보호하기 위해 암호화할 대상 단위는 User Access, Directory, Volume Manager 등을 다양하게 지정할 수 있다는 장점이 있습니다.
Vormetric Capability를 소개하는 Image를 보시지요.
※ 출처 : 01-Vormetric Data Security v5 - Architectural Overview - Q3 2012.pdf
DB를 암호화 할 경우, 암호화 Directory 생성 후 DB File을 넣게 되면 통째로 암호화 되기 때문에 Simple한 설정이 가장 큰 강점 중 하나라고 볼 수 있습니다.
DB File을 옮기는 방법 이외에도, Data가 들어있는 Directory 암호화 할 수 있는 DataXform 기능을 지원합니다.
해당 기능은 진행 중 취소하게 될 경우 Data 복호화가 불가능한 상황에 처할 수 있기 때문에 안정성을 위해 잘 사용되어지지는 않는다고 합니다.
암호화를 위해 사용되는 Algorithm으로는 AES128, AES256, ARIA128, ARIA258, 3DES 등이 있습니다.
보안 증대를 위해 더 복잡한 Algorithm을 사용하면 Performance 측면의 문제가 발생한다는 것은 기본적으로 예상할 수 있는 Risk겠지요...
암.복호화는 위 Algorithm에 의해 생성된 Key를 통해 진행됩니다.
다른 암호화 Solution과 마찬가지로, Key가 없을 경우 암.복호화 과정이 불가능해집니다.
때문에 Key 보관 정책을 어떻게 할 것인가를 고민해 보아야합니다.
Vormetric은 Key의 위치를 지정할 수 있는 세 가지 Option을 제공합니다.
1) Stored on Server
Vormetric Server에서만 Key를 관리도록 설정하는 Option입니다.
※ Stored on Server
암호화 대상 Host의 RAM에 Key를 저장한 후 암.복호화를 수행하지만, 대상 Host가 재부팅 될 경우 RAM에 저장되어 있던 Key는 소멸됩니다.
재부팅이 완료된 후 Host와 Vormetric Server의 통신을 통해 Key를 다시 부여받지만, 이 때 서로 간에 통신을 하지 못할 경우 Key를 적재하지 못하는 상태가 되며, 암.복호화를 진행할 수 없습니다.
통신 단절시 암.복호화를 할 수 없다는 단점때문에 많이 사용되지는 않습니다.
2) Cached on Host
Vormetric을 통한 Data I/O가 일어날 때 I/O에 Key를 추가하여 저장을 합니다.
Stored on Server와 다른 점은 Agent DB Host에서 Key를 관리하게 됩니다.
때문에 Agent DB Server 재부팅 이후 Key가 소멸된 상태에서 Vormetric 서버와 Agent DB Host의 통신이 단절되더라도 자체적으로 Key를 복구할 수 있는 vmsecpasswd 기능이 있습니다.
※ Cached on Host
이 설정은 모든 Host가 동일한 키를 갖고 있기 때문에, 서로간의 I/O가 발생할 때 암.복호화를 할 수 있다는 특징이 있습니다.
※ 각 Host 간의 암.복호화 가능
때에 따라서 장점이 될수도, 혹 단점이 될 수도 있는 부분입니다.
3) Cached on Host + Unique to Host
2) Cached on Host 설정과 동일한 역할을 하고있지만, 각 Agent Host가 갖고 있는 Key 값이 다르기 때문에 서로간의 암.복호화를 할 수 없다는 특징을 갖습니다.
※ 각 Host 간의 암.복호화 불가능
위 세 가지 설정에서 볼 수 있는 것 처럼, Stored on Server는 장애 상황에 대한 대응을 원활히 할 수 없다는 단점 때문에 잘 쓰여지지 않습니다.
Cached on Host 기능을 활용할 시 Server의 상태와 관련없이 암.복호화를 할 수 있다는 점은 상당한 장점으로 보여지네요.
지금까지 Vormetric의 간단한 설명 및 Key 관리 방식에 대해 알아보았습니다.
다음 Posting에서는 정책에 대해 조금 더 자세하게 언급하도록 하겠습니다.
이번에는 DB 암호화 Solution 중 하나인 Vormetric에 대하여 알아보겠습니다.
Vormetric은 개인정보보호법이 시행되면서 큰 각광을 받고 있는 암호화 Solution입니다.
개인정보보호법이 시행되면서 모든 기업은 개인 정보를 보호해야될 의무를 갖게 되었습니다.
개인정보보호법은 기술적 / 정책적 관리 수칙을 준수하도록 권고하는, 2011년 9월 30일에 시행된 법률입니다.
개인정보보호법 기술적 보호조치에서 필수적으로 수행해야 될 항목 중의 하나로, 개인정보를 포함하고 있는 DB를 암호화해야한다고 이야기하고 있습니다.
자, 그럼 Vormetric의 기본적인 개요를 살펴보겠습니다.
Vormetric에서 Data를 암호화하기 위해서는 암호화 대상 Server에 Agent를 설치해야합니다.
각 OS별 Agent가 별개로 존재하며, IBM AIX, HP-UX, Solaris, Linux, Windows를 지원합니다.
Vormetric에서는 이 모든 암호화 대상 System들을 'Host'라고 부르고있습니다.
Agent가 설치된 Host들은 Vormetric Server와 통신하며 암.복호화 Key를 갱신하고, 정책등을 Update하게 됩니다.
Data를 보호하기 위해 암호화할 대상 단위는 User Access, Directory, Volume Manager 등을 다양하게 지정할 수 있다는 장점이 있습니다.
Vormetric Capability를 소개하는 Image를 보시지요.
※ 출처 : 01-Vormetric Data Security v5 - Architectural Overview - Q3 2012.pdf
DB를 암호화 할 경우, 암호화 Directory 생성 후 DB File을 넣게 되면 통째로 암호화 되기 때문에 Simple한 설정이 가장 큰 강점 중 하나라고 볼 수 있습니다.
DB File을 옮기는 방법 이외에도, Data가 들어있는 Directory 암호화 할 수 있는 DataXform 기능을 지원합니다.
해당 기능은 진행 중 취소하게 될 경우 Data 복호화가 불가능한 상황에 처할 수 있기 때문에 안정성을 위해 잘 사용되어지지는 않는다고 합니다.
암호화를 위해 사용되는 Algorithm으로는 AES128, AES256, ARIA128, ARIA258, 3DES 등이 있습니다.
보안 증대를 위해 더 복잡한 Algorithm을 사용하면 Performance 측면의 문제가 발생한다는 것은 기본적으로 예상할 수 있는 Risk겠지요...
암.복호화는 위 Algorithm에 의해 생성된 Key를 통해 진행됩니다.
다른 암호화 Solution과 마찬가지로, Key가 없을 경우 암.복호화 과정이 불가능해집니다.
때문에 Key 보관 정책을 어떻게 할 것인가를 고민해 보아야합니다.
Vormetric은 Key의 위치를 지정할 수 있는 세 가지 Option을 제공합니다.
1) Stored on Server
Vormetric Server에서만 Key를 관리도록 설정하는 Option입니다.
※ Stored on Server
암호화 대상 Host의 RAM에 Key를 저장한 후 암.복호화를 수행하지만, 대상 Host가 재부팅 될 경우 RAM에 저장되어 있던 Key는 소멸됩니다.
재부팅이 완료된 후 Host와 Vormetric Server의 통신을 통해 Key를 다시 부여받지만, 이 때 서로 간에 통신을 하지 못할 경우 Key를 적재하지 못하는 상태가 되며, 암.복호화를 진행할 수 없습니다.
통신 단절시 암.복호화를 할 수 없다는 단점때문에 많이 사용되지는 않습니다.
2) Cached on Host
Vormetric을 통한 Data I/O가 일어날 때 I/O에 Key를 추가하여 저장을 합니다.
Stored on Server와 다른 점은 Agent DB Host에서 Key를 관리하게 됩니다.
때문에 Agent DB Server 재부팅 이후 Key가 소멸된 상태에서 Vormetric 서버와 Agent DB Host의 통신이 단절되더라도 자체적으로 Key를 복구할 수 있는 vmsecpasswd 기능이 있습니다.
※ Cached on Host
이 설정은 모든 Host가 동일한 키를 갖고 있기 때문에, 서로간의 I/O가 발생할 때 암.복호화를 할 수 있다는 특징이 있습니다.
※ 각 Host 간의 암.복호화 가능
3) Cached on Host + Unique to Host
2) Cached on Host 설정과 동일한 역할을 하고있지만, 각 Agent Host가 갖고 있는 Key 값이 다르기 때문에 서로간의 암.복호화를 할 수 없다는 특징을 갖습니다.
※ 각 Host 간의 암.복호화 불가능
위 세 가지 설정에서 볼 수 있는 것 처럼, Stored on Server는 장애 상황에 대한 대응을 원활히 할 수 없다는 단점 때문에 잘 쓰여지지 않습니다.
Cached on Host 기능을 활용할 시 Server의 상태와 관련없이 암.복호화를 할 수 있다는 점은 상당한 장점으로 보여지네요.
지금까지 Vormetric의 간단한 설명 및 Key 관리 방식에 대해 알아보았습니다.
다음 Posting에서는 정책에 대해 조금 더 자세하게 언급하도록 하겠습니다.
0 comments:
Post a Comment