1 / 26

주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안

주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안. 주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안. 제안 솔루션 소개. 케이사인 솔루션 소개 DB 암호화 [ Plug In] 구성방식 일반적인 DB 암호화 구축 방안. 4 . 암호화 구축방식별 비교 5 . 암호 키 관리 기능 6 . 접근제어 및 감사 기능 7 . DB 통합 관리 기능 8 . 감사 및 장애 복구 기능. KSignSecure DB 주요 기능.

chelsa
Download Presentation

주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안 주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안

  2. 제안 솔루션 소개 • 케이사인 솔루션 소개 • DB 암호화 [Plug In] 구성방식 • 일반적인 DB암호화 구축 방안 4. 암호화 구축방식별 비교 5. 암호 키 관리 기능 6. 접근제어 및 감사 기능 7. DB 통합 관리 기능 8. 감사 및 장애 복구 기능

  3. KSignSecure DB 주요 기능 KSign Secure DB 소개 KsignSecureDB 제품 개요 KsignSecureDB 제품 특장점 감사로그 및 모니터링 암호화기능 접근통제 기능 감사 기록 접근 통제 필드 암호화 검증된 보안 기능 1. KSignSecure DB 솔루션 소개 KSignSecure DB 제품명 데이터 타입 • 다양한 데이터 타입의 암호화 지원 ㈜케이사인 제조사 암호알고리즘 • 다양한 암호알고리즘 제공(SEED, TDES, AES, ARIA,Hash 등) • DBMS 정보 선택적 암호화,User 별 인증 및 접근 통제 • DBMS 운영 관리자와 DB 보안 관리자 역할 분리를 통한 DBMS 관리 보안 강화 • 분산 환경의 다 중의 DBMS 시스템 중앙 보안 관리 • GUI 기반의 다양한 통계, 모니터링 기능. • 관리콘솔을 통한 암복호화 수행 암호화 편리성 제품개요 • 선택적인 initialization Vector 적용 가능 안정성 • 보안 관리자에 의해 선택된 특정 필드에 대한 암호화 수행 • 응용 시스템 독립적인 암/복호화 절차 수행(별도의 연동 작업이 필요하지 않음) 접근통제 • 암호화, 비암호화 데이터에 대한 접근제어 • 보안 관리자에 의한 개발자, 사용자, 관리자(DBA 포함)에 대한 역할 부여 및 RBAC 기반의 접근 통제 • DBMS 독립 모듈(Secure DB Agent)을 통한 자원 접근 통제 • RBAC 기반의 편리한 접근제어 정책 설정 사용자 권한관리 APP접근통제 • DB 사용자 이외에 IP/응용프로그램/시간대 별 세부 접근제어 제공 • GUI 기반의 DBMS 접근 및 서비스 관련 Event에 대한 다양한 통계 그래프 출력 등 보안 관리자 중심의 관리 툴 제공 감사추적관리 • 감사로그에 대한 주기적인 자동 백업 기능, 통계기능 • 국가정보원 보안적합성 검증필 및 암호모듈검증 모듈 탑재 • GS(Good Software)마크 획득, 행정정보보호용 인증 제품 • 인덱스 암호화, 암호키관리 및 접근통제 기법 기술 특허 제품 보고서 기능 • 암복호화 모니터링 및 수행내역 리포팅 기능

  4. KSignSecure DB 시스템 구성은 다음과 같습니다. 2. DB암호화 시스템 구성[Plug In 방식] 주요 인증획득 현황 GUI기반 관리콘솔

  5. Ksign Secure DB 설치정보는 다음과 같이 구성되어 있습니다. 2 .1 DB암호화 시스템 구성 상세설명[Plug In 기준] DB 서버 보안관리자 PC Admin Server TCP 9002 TCP 9001 보안정책설정 보안정책관리 Agent USER (뷰) 감사기록통계 암호화 키 관리 TCP 7070 암호화 적용 초기 암호화 USER (테이블) TCP 9003 SDB_USER (테이블) Policy DB 응용프로그램 암호화 테이블 extproc Agent Package 데이터 암/복호화 접근통제 감사기록 view Client Tool

  6. Plug In 방식의 암호화 적용 시 DBMS 스키마 구조 변경 2.2 Plug In방식 암호화 적용 시 DB구조 변경 암호화전 Table : EMP Unique Index 암호화후 View : EMP Unique Index Table : SDB_EMP Advanced Index

  7. Secure DB 암호화 구축 시 Plug In & API방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암·복호화 기능을 구현하겠습니다. Hybrid 구축 적용 Plug-in 방식 API 방식 통합DB시스템 단점 장점 단점 장점 Hybrid 방식 관리자 사용자 암호화 테이블 Hybrid방식 구성방안 Secure API Secure Agent • 대량수정 • 인덱스 성능감소 • 수정최소 • 인덱스 성능향상 • DB부하 • 속도감소 • 부하분산 • DB속도증가 3. 일반적인 DB암호화 구축 방안 2.1 시스템 구성도 장 점 • 성능 최적화 • - DB에 대한 부하를 • WAS로 분산 • - 암호화 컬럼에 대한 • 인덱스적용 API와 Plug-in의 장점만 수용 DBMS WAS Veiw 부하 낮은 쿼리 부하 높은 쿼리

  8. KSignSecureDB는 Secure DB는 Plug In & API방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암·복호화 기능을 구현합니다. Index 체계 Index 체계 DB암호화 성능확보 방안 사용자 Veiw 영향 받는 주요 인덱스 함수기반 인덱스 사용 5~ 10% 이내 달성 Secure Agent ``` 3.1 DB암호화 성능 확보방안 2.1 시스템 구성도 암호화 전 DBMS 일반 Query • 효율적 업무설계 및 인덱스 접근성 높음 • 액세스 범위를 줄여 성능 향상 Secure Index 암호화된 컬럼으로 Query 변경 인덱스 컬럼 암·복호화로 인한 성능 저하 발생가능 암호화 후 성 능 저 하 문 제 해 결 Example DB 암·복호화 성능 목표치 달성 일반적인 DBMS 성능 저하 요인 • 성능에 중요한 인덱스 (주요키, 외부키)를 액세스 하지 못함 • 조건 절에 포함되어도 테이블 전체 스캔 • 쿼리 수정이 없는 데이터 암·복호화에 대해서는 약 15% 정도의 DBMS 부하 발생 • 쿼리 수정이 발생하는 데이터 암·복호화에 대해서는 약 12% 정도의 DBMS 부하 발생 • 인덱스 구간 Searching 기능 지원 • 수정이 필요한 특정 쿼리에 대한 부하는 WAS로 분산

  9. 암호화 데이터 쿼리 튜닝 쿼리 튜닝을 통한 응답지연현상 해소 2 1 사용자 사용자 응답지연 쿼리 성능향상 방안 암호화 대상 업무 분석 DB암·복호화 적용 전ㆍ후 성능치 예시 예시 Secure API Secure Agent 3.2 DB암호화 성능 확보방안 시사점 2.1 시스템 구성도 적용 전 (전체 응답시간 : 5초 가정) 응답지연 쿼리 발생 가능 DBMS WAS 80% 20% Example 1초 4초 응답이 지연 될 경우 전체 업무에 영향 강원랜드 성능관리 및 집중튜닝 대상 적용 후 (전체 응답시간 : 5초 가정) 응답지연 쿼리 DBMS WAS 응답시간 80%+(15~20%) 20% 암호화 후 • 업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20% 지연가능성이 있음 • 컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재 1초 4초±0.8 암호화 전 20% 이내 5~10% 이내 자사 성능 전문가 투입 BATCH Rows 체계적인 성능 관리 OLTP

  10. 최적화된 시스템 분석을 위해서는, 시스템의 서비스 특징 및 시스템의 주요 부하(LOAD) 유형을 면밀히 조사해야 합니다. 시스템 부하(LOAD) 유형에는 On-Line 서비스/Batch/File Batch/원격 I/F /기타로 나뉠 수 있습니다. 시스템 별 업무 유형 분석 방안 암호화 대상 1 3.3 성능보장 핵심방안_사전환경분석_핵심 1 1 On-Line 서비스 비중(%) 실무자 2 통합 전산시스템 Batch 비중(%) 3 File Batch 비중(%) 시스템 별/업무 별/APP 별 업무 처리 유형(On-Line/Batch/ File Batch/원격 I/F /기타)에 대한 서비스 부하 조사 4 홈페이지 원격 I/F 비중(%) 5 기타 비중(%) SQL SQL SQL SQL +

  11. 업무 유형별 SQL 분석과 함께, 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL을 추출하고, 개별 SQL의 수행 비용 및 실행 계획을 기록하여, 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면, 누락 SQL에 대한 보완 작업을 진행 합니다. 업무 SQL 모니터링 분석 방안 암호화 대상 1 3 2 100 80 60 동 서 40 북 20 0 1분 3분 3.3 성능보장 핵심방안_사전환경분석_핵심 2 암호화 대상 칼럼을 참조하는 SQL들을 AP별로 분류하고, 다시 이를 CRUD 별로 세분화 한다. 암호화 대상 운영 DB에 대한 모니터링 시간 대 : 오전/오후/저녁/새벽 업무 프로그램 별 SQL 및 실행 계획/ SQL 비용 조사 조합 [AP 별 SQL 부하 조사] 고객 검사사용자 홈페이지 고객 등록정보 업무 종사자 협력사 종사자 최적화 튜닝 전략 수립 SQL 유형 + + 암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련 [서버 별 자원 사용 현황 조사] [암호화 대상 테이블 SQL] 처리 유형 [튜닝 전략] SQL SQL SQL SQL (성능 이슈)Full Scan 및 Bind 변수 미 처리 SQL은 별도 분류하여고객 사에 조치 요청 서비스 종속성

  12. 사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면, 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및 시험일정을 수립 합니다. 시스템 별 I/F 종속성 분석 방안 암호화 대상 1 7 2 5 1 2 4 3 3 8 4 6 3.3 성능보장 핵심방안_사전환경분석_핵심 3 50% 포탈 + 통합DB 콜센터 20% SMS 10% 20% 기타 실무자 및 DB 모니터링(MACHINE/AP 별 SQL)을 통해서 얻은 정보와 네트워크 모니터링을 통해서, 시스템 별 업무 종속성을 면밀히 파악 합니다. [시스템간 네트워크 접속 IP 확인] 고객 검사사용자 [시스템에 대한 AP별 부하 확인] 홈페이지 고객 등록정보 업무 종사자 협력사 종사자 통합 로그인 실무자 조합 agent [업무 시스템 ERD] 첫 화면 제공 고용보험 직업 훈련 화면 제공 최적화된 시험 환경 구성 시험 일정 수립 + 암호화 인증서 발행 (PKI) SSO agent 연동 대상 시스템 SSO Server 로그인 고용관리 워크 넷 * ER모델 주문 주문 번호 암호화 인증서 확인 주문일자 주문상태 [시스템 간 업무 종속 성 파악] [시스템간 서비스 종속 관련 암호화 대상 테이블 파악] 주문/ ITEM BACKORDERED [최적화 된 DB 암호화 시험 일정] 자동 적용 수량 고객 고객 번호 Oracle SSO Server 고객명 주문/ ITEM SHIPPED 고객 거주지 수량 우편번호 선적일자 고객상태 고객주소 고객전화번호 ITEM 고객FAX번호 ITEM 번호 수량 ITEM명

  13. 사전 환경 조사 내용을 기준으로, 환경 구성 복잡도(Simple -> Complex), 업무 종속성(종속성 없는 것 -> 종속성 깊은 것), 성능 이슈(낮은 것 -> 높은 것)등을 고려하여, 환경 구성 유형을 분류합니다 암호화 적용 후 성능 테스트 환경구성 방안 1 3.3 성능보장 핵심방안_테스트 환경구성 방안 시험 환경 구성 고려사항 • 운영과 동일한 OS Parameter 설정 • 운영과 동일한 DB Parameter 설정 • 운영과 동일한 데이터 환경 구성 • 운영과 유사한 I/F 환경 구성

  14. 성능이슈 요건 및 단 기간내(1.5개월) 암호화 구축을 위해서는, 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고, 이는 On-Line 서비스/Batch/File Batch/원격 I/F /기타로 나뉘어 수행 됩니다. 암호화 적용 후 성능 테스트 환경구성 방안 3.3 성능보장 핵심방안_테스트 환경구성 방안

  15. 시스템 별, 업무 유형 별 AP(SQL 포함) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데, 이에 대한 모니터링 기준으로는, (암호화 전 <->암호화 이후)CPU/수행시간/Logical IO/Physical IO 값을 기준으로 성능 이슈 SQL을 추출하여 분석 합니다. 암호화 적용 후 성능 시험 모니터링 방안 3.3 성능보장 핵심방안_성능 모니터링 방안 105% 근사한 성능 목표치 달성 후 작업 절차서 작성 DB 암호화 작업 수행 후 모니터링을 통해서 이상 비용 AP(SQL 포함)는 최적화 수행해야 합니다. 운영 반영

  16. DB암호화 구축 방식 4가지로 Plug In & API방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다. 4. DB암호화 구축 방식별 비교

  17. DBMS암호화 제품 형태별 장단점 비교 4.1 DB암호화 구축 방식별 비교

  18. DB보안(암호화) 적용 방식별 세부 기능 비교표 4.2 DB암호화 구축 방식별 상세 기능 비교표

  19. DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다. 암호 키 보안 관리 방안 5. 암호 키 관리 기능 암호 키 백업 관리 방안 Policy Server(KMS) DBMS 보안 Agent Load Cert[Agent] Gen Random M_Key 수신 정보 저장 Gen Random C_Key 키 노출 위험 제거 수신 정보 저장 암호화 되어 백업된 암호화 키 C_Key이용 암호 키 파괴, 장애 복구 대응 세션 종료 후 삭제

  20. 자원(Table, Column 등)에 대한 IP, 응용, 시간등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다. RABC기반의 접근제어 6. 접근제어 및 감사기록 관리 기능 다양한 환경의 접근 제어 기능 SCOTT SYSMAN “일반 사원”Role할당 “인사관리”Role 할당 조회 권한 조회/추가 수정/삭제 권한 개인정보 DB(암호정보) • 통합 관리 툴을 이용한 역할에 대해 특정 자원(TABLE 등)에 대해 오퍼레이션 권한(INSERT, UPDATE, DELETE, SELECT)을 정의를 통한 접근 권한 정책 설정 • 각 직무 또는 비즈니스 단위로 ROLE(권한)을 식별 • DB 계정 외 IP 주소별, 접근 프로그램, 접근 시간 등에 대한 자원 접근 통제 기능

  21. 분산 DBMS에 대한 암호 대상 설정, 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다. 7. DB 통합 관리 기능 구성 특징 전용 관리 툴 감사 기록 관리 분산 DB 통합 관리 기능 • 분산 DBMS 시스템에 대한 통합 관리 • DBMS/Table/Column 별 암호 키 관리 등 정책 관리 다양한 조건 별 접근 통제 [DB 보안관리자] • 시간 별, IP 별, Application 별 접근 통제 • DBMS, Table, Column, 역할별 접근 통제, 통합 관리 접근 통제 Plug-In(Filter) 감사기록 생성, 관리 기능 • IP, 역할, 시간등 다양한 조건별 감사기록 조회 관리 • 서비스 내역, 관리자 운영 관리 내역에 대한 감사기록 생성 DBMS DBMS DBMS [DBMS] [Policy Server]

  22. 암호화 적용 및 접근통제 대상이 되는 Object(테이블)을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공 Agent Agent DB 접근에 대한 감사 및 리포팅 기능 8. 감사 관리 및 장애 복구 기능 장애처리서비스 DB 보안 센터 Secure DB Server 서버 or 네트워크 장애 초기 암호화 장애 시 1 2 회계 DB 인사 DB • 오퍼레이션 내역(SELECT, INSERT, UPDATE, DELETE)기록 • 접근 테이블, DB 계정, IP, 접근 프로그램, 접근 OS 계정, 수행쿼리 등의 세션 정보 기록 • 다양한 조건 별 통계 보고서 및 그래프 기능 제공 • DB 서버 장애 시 DB Agent는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행 • 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent에서 자동으로 처리내용 롤백 처리 장애대응 기능 감사 및 보고서

  23. 구축 사례 • 성공 및 참고 구축 사례 • 구축 실적(최근 1년)

  24. 성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시 참고 사례(G-대민 서비스) 1. 성공 및 참고 구축 사례 성공 사례(S-사) 성능적 이슈 안정적 운영 직원(국외) 직원(국내) 대국민 공무원 • 서비스 성능, 자원 점유 확대 등에 따른 원하는 범위 적용 불가 • 사용량이 미미한 필드 일부 암호화 적용(2개 필드) • 50개 테이블, 2천 5백 만건 • 초당 60건 트랜잭션 서비스 • 암호화 성능 테스트 : 300건(초당) 성능 저하 발생 개인정보 DB(암호정보) SPIN DB 보안 DB 보안 Plug-In 암호화 DB Application Application • 대용량 서비스 및 OLTP, Batch, 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움 • Business Logic 업무(Batch, Join, 통계등)에차별화된 성능이 보장되는 DB암호화 기술 필요 • 대용량 서비스 및 OLTP, Batch, 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장 • 개인신상정보, 계좌정보, 카드 정보 등 민간 정보에 대한 논리적, 물리적 Zone 분리 및 접근통제로 보안 수준 향상

  25. 대학 및 일반기업 공공 기관 금융 및 통신 2. 구축 실적(최근 1년) *위의 사이트 포함 약 150여개 사이트 DB암호화 솔루션 납품 및 구축

  26. 알비소프트 주식회사 서울시 광진구 능동 237-1 동성빌딩 403호 TEL : 070-4213-8579, FAX : 02-455-8579 http://www.rbsoft.co.kr 영업대표 : 조용오이사(010-9280-8579, yocho21@paran.com)

More Related