1 / 33

안정적인 DB 보안 환경구축을 위한 ..

안정적인 DB 보안 환경구축을 위한. 고성능의 DB 암복호화 솔루션. 작성일 : 2010/10/09 담당 : 신 상 윤 TEL :010-4842-9153 Mail: dhoon@adminmate.co.kr. 구축사례. 주요 구축 사례. PCI DSS & Audit. Data Privacy Protection. Secure Hosting. Intellectual Property Protection. 개인정보보호. 개인정보보호 ( DB 암호화 ).

odette-black
Download Presentation

안정적인 DB 보안 환경구축을 위한 ..

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 안정적인 DB보안 환경구축을 위한.. 고성능의 DB암복호화 솔루션 • 작성일 : 2010/10/09 • 담당 : 신 상 윤 • TEL :010-4842-9153 • Mail: dhoon@adminmate.co.kr

  2. 구축사례 • 주요 구축 사례 PCI DSS & Audit Data Privacy Protection Secure Hosting Intellectual Property Protection

  3. 개인정보보호 • 개인정보보호 ( DB 암호화 ) DataBase 중요 개인정보 항목에 대한 암호화를 의무화 하고 있습니다 • 주민번호 • 계좌번호 • 군번 • 휴대폰번호, 전화번호, 이름, 주소 • 기타 2가지 이상의 정보를 통해 유추해 낼 수 있는 개인식별정보를 포함 합니다 DataBase 중요 개인정보 항목에 대한 암호화를 의무화 하고 있고, 개인정보를 다루는 곳, 개인정보 DATA의 관리가 많은 곳은 의무적으로 개인정보의 관리범위, 관리체계, 시스템적 보완체계를 갖추어야 합니다 • 공공기관 (국가기관 및 지자체, 투자처(공사,공단등) • 대학교 • 은행, 쇼핑몰, 포털 개인정보 관리체계에 대한 인증제가 실시될 예정이며, 개인정보관리지침, 인적관리 체계 외, 전산 인프라 관련 중요 평가 항목은 DB암호화, 개인정보 필터링, 통신구간 암호화 등 입니다. 책임 소재를 떠나, 대량유출의 가능성이 있는 정보에 대한 암호화등 IT인프라 부문은 필수적으로 고려 되어야 할 사항입니다

  4. DB 암호화 솔루션 비교

  5. DB 암호화 솔루션 비교

  6. 목 차 Ⅰ. DB보안 개요 • 현재의 보안 체계 • DB에 대한 다양한 보안위협 • DB보안의 필요성 • DB보안의 구현방식 • DB 암호화 솔루션의 종류 • DB 암호화 구축 시 고려사항 Ⅱ. Vormetric Data Security를이용한 DB 암 복호화 • Vormetric Data Security 개요 • 제품인지도 • DB 암호화 솔루션 비교 • 제품 구성 • 특장점 • 구축사례

  7. Ⅰ. DB보안 개요

  8. 현재의 보안 체계 • 현재 대부분의 기업은 내/외부 침입 위협으로부터 자신들의 정보자산을 보호하기 위한 경계선 방어에 몰두하고 있는 반면, 정보보호의 궁극적인 대상인 데이터 및 데이터베이스의 적극적인 방어 방법을 찾지 못하고 있습니다. DB VPN/암호화 방화벽 인증 IDS/IPS OS/서버보안 DB 보안 ? 현재의 보안체계

  9. DB에 대한 다양한 보안 위협들 온라인 접근위협 DBA/Developer 테이블 스페이스 파일 유출 온라인 무단 유출 select * from customer; 백 도어 설치 보호 데이타베이스 • 온라인 데이터베이스 무단 추출 • 사용자가 SELECT한 데이터를 파일로 저장하여 유출 • DB설정파일 변경을 통한 무단 DB사용자 정보 추출 시도 • 네트워크 리스너 설정 파일을 변경하여 네트워크 SQL 트래픽 내용을 추적 파일에 남겨 허가 받은사용자의 계정 정보를 취득 • 데이터베이스 환경에 백도어 설치를통한 침입 시도 • 데이터베이스 라이브러리 파일들을 변경하여기밀 데이터에 대한 백도어를 설치하여 특정 사용자에게 기밀 데이터의 접근을 제공 • 데이터베이스 환경에 저장되어 있는 테이블 스페이스 파일 유출 시도 • 서버의 테이블스페이스 데이터 파일을 무단으로 제3의 외부 서버에 복사하여 DBMS에 마운트한후 부팅 시도하는 경우 오프라인 접근 위협 DB설정 파일 변조

  10. DB 보안의 필요성 주요법령 대응 정보통신망법의 개인정보보호관련 벌칙규정

  11. DB 보안의 필요성

  12. 방통위 개인정보 암호화 및 관련 법령

  13. DB 보안의 구현방식 DB 서버 접속 Client 또는 APP Server DB암호화 DB접근제어 0% 100% ※ 완벽한 DB보안(데이터 유출 차단)을 위해서는 DB접근제어 솔루션과 DB암호화 솔루션을 동시에 구축해야 함.

  14. DB 암호화 솔루션 종류 데이터베이스 캐시 • Column 암호화 VSFull table 암호화 RDBMS 칼럼 단위 암호화솔루션 에이전트 파일 시스템 <Vormetric 구현 Architecture> < 칼럼암호화 구현 Architecture> 데이터베이스 캐시 RDBMS VDS 에이전트 파일 시스템

  15. DB 암호화 구축 시 고려사항 • 일반적인 DB암호화 구축 시 고려사항 • DB Table의 Data를 전체 또는 Column단위로 암호화 해야 한다. • 다양한 이기종의 DBMS를 지원해야 하며, 모든 DB System을 단일 UI에서 중앙관리가 가능하여야 한다. • DBMS의 자체 또는 별도의 DB 접근제어 솔루션과 독립적인 사용자 권한관리가 이루어져야 한다.(복호화 권한, 접근제어 권한) • 기존의 운영환경의 성능에 영향이 없는 암복호화 성능을 제공해야 한다.(Data 암호화 이후 Query에 대한 응답속도가 암호화 전과 차이가 없어야 한다.) • 암호화된 컬럼의 색인(Index)검색이 가능해야 한다.(일치검색, 전방일치, 범위검색 등) • Data에 접근한 상세한 historyLog를 남겨야 한다. • 암호화 Key 유출을 막기 위한 강력한 Key보호/관리 기능이 제공되어야 한다. • DB Server내에 어떠한 형태로도 복호화된 Table 또는 Column Data를 가지고 있지 않아야 한다. • 구축 시 DBMS의 환경, DBMS와 연동되어 있는 Application의 환경에 변경이 없어야 한다.

  16. Ⅱ. Vormetric Data Security를이용한 DB보안

  17. 누가, 무엇을, 언제, 어디서, 어떻게 라는 상황기반의 Data 접근제어 지원 • 악성코드 실행, 허가받지 않은 어플리케이션의 구동을 막음으로써 System의 무결성을 보호 • 데이터 관리에 영향을 미치지 않는 기밀 Data 암호화 • 필요한 데이터만 복호화 하는 고암호화 성능 • 모든 데이터 접근요청에 필요한 권한만을 부여 • DB구조나 스키마에 아무런 영향을 주지 않음 • 어플리케이션에도 투명한 암호화를 제공 • 3DES, AES128, AES256등 강력한 암호화 알고리즘 제공 • 기존의 column단위 암호화 솔루션 취약점인 조건범위검색 성능이 암호화 전과 큰 차이 없음 • 초기 마이그레이션 시 파일 copy와 같은 수준의 암호화 성능 제공 Vormetic Data Security 개요 Vormetric Data Security는 미국 Vormetric社의 제품으로 Data암호화 및 상황 기반의 접근제어를 통해 중요 DB Data의 유출을 차단하고 System의 무결성을 보호하는 통합 데이터 보안 솔루션입니다. • 제조사 : Vormetric • 제품명 : Vormetric Data Security • 업무 용도 : DB암호화 Meta Clear 암호화 투명한 DB연동 암호화 알고리즘 암호화 성능 상황기반 접근제어와 무결성 유지

  18. Vormetric Data Security제품 인지도 • 제품 공급사는 메이저DB 및 스토리지 솔루션 업체와 전략적 기술파트너쉽 관계로 업계를 선도하는 최고의 기술력을 보유 • IBM의 DB2와 Informix DBMS의 암호화 • 를 위한 OEM 암호화 모듈 전담 공급사 • ORACLEDatabase Vault제품의 암호화 • 키관리 시스템 전담 공급사 • Symantec의 Veritas Netbackup 솔루션 • 에 암호화, 압축, 키관리 기술을 제공하는 • OEM 모듈 공급사 • HP ILM(Information Management • Software) 골드파트너로 최고성능의 • 보안 스토리지 시스템을 고객에 공급

  19. 인증 • Vormetric Data Security는 암호화 관련 미국방성 인증인 FIPS 140-2 Level 2(Level 3 for key management)인증을 가지고 있습니다.

  20. Vormetric Data Security아키텍쳐 Vormetric Data Security 는 Table전체를 암호화 하여 File에 저장하는 방식으로 암복호화 수행 함으로써 고성능/DB투명성의 이점을 제공해 드립니다. DB System DBMS • Table Space는 실제 Data를 가지고 있는 공간이 아닌 Data를 정리하고 쉽게 찾기 위한 논리적인 구조를 가지는 공간임. Table Space DB Cache • App Server 또는 특정 관리 User에 의한 DB Data의 Update 발생 App Server File System Data File • DBMS는 Update된 Data를 실시간으로 File로 저장. • DB 암호화란 File System의 DB Data File을 암호화 하는 것을 말한다. DBA or Dev User

  21. 제품구성 구성 • Vormetric Data Security Device와 System에 설치된 PEM과의 통신으로 모든 시스템에 Vormetric Data Security 적용 • 다양한 이기종의 System 및 OS와 연동이 가능

  22. 특장점 투명한 DB 연동 • IT 환경안에서 손쉽게 적용됨: OS, DB, 어플리케이션, 데이터 저장소에 변경이 필요하지 않음. • DB 구조나 스키마에 아무런 영향을 주지 않음: 유지보수의 용이성 • 어플리케이션에 완전한 투명하게 암호화를 제공 • 다른 OS, DB 플렛폼, 어플리케이션, 데이터 저장소에 확대 적용 가능함 • 데이터베이스 환경에서 데이터 보호를 위한 최고의 보안성을 제공함 • 암호화와 접근 제어의 적용 • 네트워크 리스너 파일 • 라이브러리와 실행 파일 • 오라클 로그와 덤프(Dump) 파일 • 암호문 스니핑과 백도어 설치등의 위협으로부터 보호

  23. 특장점 암호화 알고리즘 • 기본적으로 AES256 암호화 알고리즘을 사용하며, 이외에 AES128, 3DES 암호화 알고리즘을 지원.(ARIA 알고리즘 탑재 개발 중)

  24. 특장점 빠른 데이터 암호화 • AES (128, 256), 3DES 암호화 알고리즘 지원(Aria 개발 진행중) • 초기 마이그레이션 및 온라인 데이터 조회 시 암호화 이전과 동일한 처리 시간이 소요(파일 복사 수준의 속도 제공) 마이그레이션 초기 데이터 CPU TIME CPU TIME 1st 2st 3st 평균 Select (조건 일치 검색) Select (조건 범위 검색) Insert Update 30% 47s 30% 46s 30% 47s 30% 47s 2% 0.02s 2% 0.02s 2% 0.04s 2% 0.03s 16% 0.14s 16% 0.14s 16% 0.14s 16% 0.14s 55% 9s 60% 9s 57% 9s 57% 9s 54% 6s 54% 15s 57% 12s 55% 11s 10% 45s 10% 45s 10% 46s 10% 45s 2% 0.03s 2% 0.02s 2% 0.02s 2% 0.03s 17% 0.14s 16% 0.14s 16% 0.14s 16% 0.14s 50% 9s 50% 10s 50% 9s 50% 9s 50% 6s 50% 12s 50% 12s 50% 10s Oracle DB 1000만건의 Table Size에 대한 암호화 성능 자료 암 호 화

  25. 특장점 프로세스 제어 • 다양한 접근시도를 차단함으로써 호스트와 Application의 무결성을 보호함. • 허가받지 않은 Application, 패치, 소프트웨어 툴의 구동 • 운영 및 파일 시스템 호출의 실행 • 악성 코드의 실행

  26. 특장점 Key 보호 기능 • H/W의 별도의 ROM에 Key를 보관 • Vormetic Data Security H/W와 PEM간에 Secure Channel(SSL)을 이용한 Key 배포 • H/W의 Reset Button 또는 UI상에서의 Configuration Unset 시 모든 Key 삭제 • 강제적으로 Server의 H/W를 열었을 경우 자동적으로 암호화 Key 무효화 • Key를 File로 Backup시 암호화해서 Backup하게 되며 복호화를 위한 Master Key는 H/w에서만 보관하고, • 어떠한 User도 Master Key에는 접근이 불가능

  27. 특장점 Multi Clustering • 최대 32대 까지 Active-Standby 기반의 Multi Clustering 지원 • 최대 16,000 Hosts의 중앙 정책 관리가 가능(Vormetric Data Security 1대당 500 Hosts 관리 가능)

  28. 특장점 DMM(Data Masking Module) • Query에 의한 Return Data를 정책기반으로 Masking하는 모듈

  29. Vormetric Data Security가 제안하는 DB 보안 Architecture DB 보안 Architecture Data Masking 온라인 무단 유출 차단 DBA/Developer select * from customer; DBA/Developer 온라인 접근통제 보호DB DB 암호화(Vormetric Data Security) DB 접근제어 백 도어 실행 방어 테이블 스페이스 파일 유출차단 DB설정 파일 변조방지 비암호화 Backup방지

  30. 구축사례 • 주요 구축 사례 Intellectual Property Protection PCI DSS & Audit Secure Hosting Data Privacy Protection

  31. 구축사례

  32. 국정원 암호화 인증진행 • 인증명 : 국정원(NIS) 암호 모듈 검증 • 암호화 인증에 필수 요소인 ARIA 알고리즘 탑재 완료-2010년 7월 • 올해 4사분기내 암호모듈 검증신청 접수를 목표로 필요한 제반 서류 제출목록 준비 • 제반 서류의 번역작업 등으로 3개월 소요 • 본사에서 미 국방성에서 인증 받은 FIPS 140-2의 인증을 위해 준비했던 제반 서류 인수완료 • FIPS인증과 NIS인증에 필요한 제반 서류가 유사하여(98%동일) 빠른 후속 대응이 가능할 것으로 판단됨 • 내년 1사분기 내 시험기관에서 시험을 수행하고, 검증기관에서 암호모듈 검증서 • (validation Certificate) 획득 예정

  33. 감사합니다 • 작성일 : 2010/10/09 • 담당 : 신 상 윤 • TEL :010-4842-9153 • Mail: dhoon@adminmate.co.kr

More Related