PowerPoint 프레젠테이션

Similar documents
[Brochure] KOR_TunA

Backup Exec

Cloud Friendly System Architecture

목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항

PCServerMgmt7

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Microsoft PowerPoint - DPM File 암호화 솔루션 제안서_ pptx

Microsoft PowerPoint - 6.pptx

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현


PowerPoint Presentation

vm-웨어-01장

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

MS-SQL SERVER 대비 기능

08SW

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

<49534F C0CEC1F520BBE7C8C4BDC9BBE720C4C1BCB3C6C320B9D D20BDC3BDBAC5DB20B0EDB5B5C8AD20C1A6BEC8BFE4C3BBBCAD2E687770>

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

1217 WebTrafMon II

Agenda 오픈소스 트렌드 전망 Red Hat Enterprise Virtualization Red Hat Enterprise Linux OpenStack Platform Open Hybrid Cloud

Special Theme _ 모바일웹과 스마트폰 본 고에서는 모바일웹에서의 단말 API인 W3C DAP (Device API and Policy) 의 표준 개발 현황에 대해서 살펴보고 관 련하여 개발 중인 사례를 통하여 이해를 돕고자 한다. 2. 웹 애플리케이션과 네이

¨ìÃÊÁ¡2

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

Analyst Briefing

PowerPoint 프레젠테이션


Level 학습 성과 내용 1수준 (이해) 1. 기본적인 Unix 이용법(명령어 또는 tool 활용)을 습득한다. 2. Unix 운영체계 설치을 익힌다. 모듈 학습성과 2수준 (응용) 1. Unix 가상화 및 이중화 개념을 이해한다. 2. 하드디스크의 논리적 구성 능력

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

비식별화 기술 활용 안내서-최종수정.indd

당사의 명칭은 "주식회사 다우기술"로 표기하며 영문으로는 "Daou Tech Inc." 로 표기합니다. 또한, 약식으로는 "(주)다우기술"로 표기합니다. 나. 설립일자 및 존속기간 당사는 1986년 1월 9일 설립되었으며, 1997년 8월 27일 유가증권시장에 상장되

スライド タイトルなし

PowerPoint 프레젠테이션

TTA Journal No.157_서체변경.indd

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

OUR INSIGHT. YOUR FUTURE. Disclaimer Presentation ( ),. Presentation,..,,,,, (E).,,., Presentation,., Representative.( ). ( ).

Virtualization Days 2013

본 CERT) "Security Consumer Report - DLP" 는 한국침해사고대응팀협의회(CNCERT:CNsortium of 회원으로 활동하는 보안 담당자가 자발적으로 보고서 위원회를 구성한 후 국내에서 유 통되는 DLP 제품을 조사( 기획 수행 제작) 한

Microsoft PowerPoint - 가상환경에최적화된_NetBackup_Appliance

Intra_DW_Ch4.PDF

슬라이드 1

PowerPoint Presentation

UDP Flooding Attack 공격과 방어

The Self-Managing Database : Automatic Health Monitoring and Alerting

서현수

Open Cloud Engine Open Source Big Data Platform Flamingo Project Open Cloud Engine Flamingo Project Leader 김병곤

untitled

vm-웨어-앞부속

<목 차 > 제 1장 일반사항 4 I.사업의 개요 4 1.사업명 4 2.사업의 목적 4 3.입찰 방식 4 4.입찰 참가 자격 4 5.사업 및 계약 기간 5 6.추진 일정 6 7.사업 범위 및 내용 6 II.사업시행 주요 요건 8 1.사업시행 조건 8 2.계약보증 9 3

클라우드컴퓨팅확산에따른국내경제시사점 클라우드컴퓨팅확산에따른국내경제시사점 * 1) IT,,,, Salesforce.com SaaS (, ), PaaS ( ), IaaS (, IT ), IT, SW ICT, ICT IT ICT,, ICT, *, (TEL)

Simplify your Job Automatic Storage Management DB TSC

Microsoft PowerPoint - CoolMessenger_제안서_라이트_200508

침입방지솔루션도입검토보고서

Windows Storage Services Adoption And Futures

Network seminar.key

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

PowerPoint 프레젠테이션

ZConverter Standard Proposal

PowerPoint 프레젠테이션

Oracle Database 10g: Self-Managing Database DB TSC

암호내지

Microsoft Word - s.doc

SANsymphony-V

J2EE & Web Services iSeminar

Microsoft PowerPoint - 발표_090513_IBM세미나_IPTV_디디오넷_완료.ppt

thesis

Windows Server 2012

Microsoft PowerPoint - 10Àå.ppt

[Brochure] KOR_LENA WAS_

Dropbox Forensics

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

Portal_9iAS.ppt [읽기 전용]

1. 제품 개요 GuardCom V1.0(이하 TOE)은 사내에서 이용하는 업무용 PC에 저장되어 있는 민감한 콘텐츠(주민등록번호, 운전면허번호, 여권번호 등의 개인정보 또는 TOE 관리자가 정의한 데이터)를 주기적 혹은 사용자 요청 시 검색 및 관리하여 유출 가능성이

Sun Java System Messaging Server 63 64

Session XX-XX: Name

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

DB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2)

IPAK 윤리강령 나는 _ 한국IT전문가협회 회원으로서 긍지와 보람을 느끼며 정보시스템 활용하 자. 나는 _동료, 단체 및 국가 나아가 인류사회에 대하여 철저한 책임 의식을 가진 다. 나는 _ 활용자에 대하여 그 편익을 증진시키는데 최선을 다한다. 나는 _ 동료에 대해

목 차

슬라이드 1

Microsoft PowerPoint - chap01-C언어개요.pptx

PowerPoint Presentation

Microsoft PowerPoint - Smart CRM v4.0_TM 소개_ pptx

표지1

PowerPoint 프레젠테이션


PowerPoint 프레젠테이션

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

소만사 소개

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

공개 SW 기술지원센터

solution map_....

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

Sena Device Server Serial/IP TM Version


1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

SMB_ICMP_UDP(huichang).PDF

Transcription:

Vormetric Data Security 비즈토브

Contents 1. 개인정보보호의필요성 2. 제품의소개및특장점 3. DB 암호화방식비교 4. DB 보안적용방안 5. 레퍼런스및총평

1. 개인정보보호의필요성 개인정보유출사고사례개인정보보호법요약기술적보호조치종류 DB암호화방식암호화 Trends의변화개인정보암호화인증부문 KCMVP 취득목록

개인정보유출사고사례 H 사는고객정보가담긴 DB 는암호화했지만, 제휴사고객이서버에접속해정보를열람하면자동 으로생성되는로그파일은암호화하지않아개인정보가유출됨. - 한국일보 (2011/04/12)

개인정보보호법요약 개인정보보호법법시행요약 2011년 3월 30일개인정보보호법제정 : 기술적 / 관리조치의무화 2011년 9월 30일시행 : 전면시행과동시에 6개월의계도기간 2012년 4월 1일전면시행 ( 벌금및과태료 ) 2012년 12월 31일 ( 기술적보호조치의무 ) 법률적용대상및범위확대법시행이후 적용대상 : 공공 민간부문의모든개인정보처리자 - 포털, 금융기관, 병원, 학원, 제조업, 서비스업등 72개업종 350만전체사업자 적용범위 : 전자파일형태외에동창회명부, 민원서류, 이벤트응모권등수기문서포함 개인정보보호법기술적보호조치의무주요내용 접근권한의제한및관리조치 접근권한확인 ( 식별 & 인증등 ) 권한없는접근을차단하기위한시스템설치등조치 안전하게저장 전송을위한암호화등조치 접속기록의보관및위변조방지를위한조치 4

개인정보의안전성확보조치기준고시 ( 암호 ) 조항목내용대응 & 기술적보호조치 1 ( 시행령 21 조, 30 조제 1 항제 3 호에따라 ) 고유식별정보 ( 주민번호, 여권번호, 운전면허번호, 외국인등록번호 ), 비밀번호, 바이오정보암호화 개인정보에대한원천적인데이터암호화저장 DB 암호화 File 암호화 엔드포인트 DLP, DRM 2 ( 고유식별정보, 비밀번호, 바이오정보를 ) 정보통신망으로송수신, 보조저장매체로전달시암호화 보조저장매체암호화저장 File 암호화 PC 경우엔드포인트 DLP 기능 7 조 개인정보의암호화 3 비밀번호및바이오정보는암호화저장해야하며비밀번호는복호화되지않도록일방향암호화한다. DB 자체제공단방향함수적용 & Web application 에서패스워드는단방향함수를적용 (eg, 홈페이지패스워드입력값에대한함수처리 ) 관리적인체계 4 인터넷구간및인터넷과내부망의중간지점 (DMZ : Demilitarized Zone) 에고유식별정보저장시암호화 홈페이지 & 미들웨어서버에서로그데이터암호화 File 암호화 5 내부망에고유식별정보저장시암호화적용여부및범위는다음기준에따른다. 1. ( 법 33 조에따라 ) 영향평가결과 ( 영향평가대상공공기관경우 ) 2. 위험도분석결과 법적고유식별정보이의암호화는조건부에한하여실시 DB 암호화 File 암호화 5

기술적보호조치종류 보안의최종핵심대상인내부데이터의유출로인해개인정보보호에중요성이확산되고관련법규들도강화되고있습니다. 개인정보보호를위한기술적보호조치는선택이아닌필수입니다 네트워크보안 DB 보안 DB 에보관하고있는개입정보에대한암호화및 DB 접근통제. 사용자 캠퍼스인터넷망 웹서버 DB 서버 접근불가 DB 사용자 UTM( 방화벽, VPN) 기업내부에서외부로또는기업외부에서내부로통과하는트래픽에대한접근통제및 VPN 을활용하여암호화설계필요 내부정보유출방지 DLP(Data loss Prevention) 개인정보등민감정보검색 / 모니터링, 유출경로차단 / 통제가가능한내부정보유출방지솔루션 WAS 서버 인터넷구간데이터암호화 DB 보안 DB 사용자 PC암호화 PC암호화 Server Agent 기반으로중앙에서개인정보파일, 감시 PC대상보안파일관리 ( 확장자 ) 외부저장장치스캔 / 검사등내부임직원의 PC기반의파일암호화. 6

DB 서버개인정보의기술적보호조치 암호화되어저장된 DB 에대한접근시보안환경 DB 접속자 DB 접근제어 (Masking) DBMS Server DBA Programmer ( 개발자 ) JDBC, ODBC, etc 접근통제및감사 NAME RESIDENT_NUM Hong Gil Dong 7*****-******* Oracle DBMS Table Space 는실제 Data 를가지고있는공간이아닌 Data 를정리하고쉽게찾기위한논리적인구조를가지는공간임. Application Tools Han David 7*****-******* Kim Yong Sun 8*****-******* 모든접속 User, 어플리케이션서버, 접속툴 (Orange,Toad, SQL plus) 을통한접근및모든행위에대한통제및감사 ENCRYPTED_TABLESPACE 허가된사용자에대해서는마스킹을통해내부유출을차단 Attacker Hacker 비허가된사용자에대해서는접근불가 VDS (HSM) OS Vormetric Data Security PEM Security Policy Key Manager Audit File System DBMS 를포함한모든어플리케이션의데이터는 File 형태로저장되어실시간으로사용되거나데이터를보관합니다. ENCRYPTED.DBF Log File SAM File Control File SSL dfjdnk%(amg8ngmwlnskd 9f Amg8nGmwlNskd File System9f 의 DB Data File을안전한 Nd&9Dm*NddxIu2Ks0BKsj Amg8nGmwlNskd 알고리즘 9f 을 d 통해암호화저장 Nac0&6mKcoSqCio9M*sdopF&9Dm* Amg8nGmwl

암호화고민 운영환경의변화없이데이터를안전하게보호할수있는가 서비스성능을그대로유지하면서민감한데이터의접속관리및보호가가능한가 민감한데이터의접속이력을관리하고중앙통제할수있을까 보안감사및각종법률규제를만족하는보안환경을구축하고있는가 8

DB 암호화방식 DB 암호화는크게컬럼암호화방식과 IO 암호화방식으로구분되며컬럼암호화방식은암호화 수행위치에따라서 API 방식, Plug-In 방식으로구분됨 API 방식 : App 서버에 API 설치, 정책에의한암호화전송저장 Plug-In 방식 : DBMS 내에 Plug in 방식으로설치, DBMS 에서컬럼단위로암호화저장 System IO 방식 : DB 서버의 OS 상에서 I/O 시데이터암복호화수행 API 방식 Application 서버상에서암복호화발생 Plug-In 방식 DB 서버상에서 암복호화발생됨 DBMS DBMS 에서는우선 1 차적으로해당 Data 를 DB Cache 에서검색을하고 Cache 에없을경우 File 에서 Data 를불러와서 Return Data 를보내줌 Table Space DB Cache DB System App Server File System Data File System IO 암호화 DBA or Dev User DB 서버 Kernel 상 I/O 시암복호화발생

DB 암호화방식에대한장단점분석 SYSTEM IO 방식 Column 암호화 Oracle TDE 암호화방식 OS Kernel Layer 에서암호화수행 API 방식 : Application 서버 Plug-in 방식 : DBMS 서버 DBMS 서버의 Oracle IO Layer 에서암호화 암호화 Key 관리 DSM 에서안전하게관리및보호 HSM 모듈자체내장 (FIPS 140-2 level 3 인증 ) 별도 Manage Server 를통한 Key 관리 HSM 모듈별도도입 (Appliance 모델은일부 HSM 내장 ) DBMS 서버에서 Local 관리 (Key 관리기능이미약함 ) 설치시 DBMS, Application 환경변화 DBMS 혹은 Application 의환경변화가발생하지않음 DBMS 의환경변화, 성능이슈로 Application Source Code 수정필요 Application 의환경변화가발생하지않음 암. 복호화성능 암호화전과후의성능차이는약 5% 이내로미미함. 동일한성능보장 모든 Column 방식의암호화솔루션은 Batch 모드사용시성능저하심각함. 암복화에따른약 20 ~30% 서버자원사용량증가됨 암호화전과후의성능차이는약 5%~10% 이내로미미하지만오라클또한하나의 Application 이므로자체부하발생 지원환경 모든 DBMS 지원. 단 Server 의 OS 및 CPU 에영향을받음.(HP, IBM, Windows, Solaris 등대부분의 Machine 을지원 ) DBMS 종류및 Version 에영향을받음 Oracle DBMS 에만국한됨 비정형데이터암호화지원여부 모든서버의비정형데이터암호화지원암호화키및정책중앙관리 미지원 미지원 구축기간 설치에서암호화완료까지대부분 1 주일이내임 ( 데이터사이즈, downtime 허용여부에따라서실제구축기간변동가능 ) 변경이필요한 Application 본수에따라상이하나보통수개월소요됨 암호화대상데이터사이즈에따라상이함 도입가격고려요소 초기 DSM 도입후일정규모까지는 Agent 만추가함. 라이선스및 Application 수정에따른인건비발생됨 Oracle ENT 버전이상지원 Advanced Security 옵션별도구매매년라이선스 Renewal 필요

개인정보암호화 Trends 의변화 Application Layer 에서암 / 복호화를수행할때발생하는다양한문제들은 System Layer 의암호화 통해해결가능하며, 이러한방식은세계암호화시장의트렌드입니다. Database Trend and Application http://www.dbta.com/ Application Layer 암호화시 발생하는문제점 개인정보가들어있는 DBMS 어플리케이션안의컬럼에대한암호화시발생하는소스수정및속도에대한문제발생 다양한데이터타입으로저장되는개인정보암호화시기준운영환경및어플리케이션수정 & 개발문제발생 System Layer 암호화 개인정보가들어있는 Table Space File 또는해당어플리케이션사용하는데이터타입에맞는 File 에개인정보를저장할때암호화적용 APP. & 소스수정및속도문제해결

개인정보암호화인증부문 Vormetric사의 VDS 제품은국가정보원산하국가사이버안전센터의관련웹사이트 (http://service1.nis.go.kr/certify/modulesummary1.jsp) 을보면 DB암호화제품은 CC등급: 해당사항없음 이며 검증필암호모듈탑재 : 필수 입니다.

KCMVP 취득목록 국내외 KCMVP 취득현황자료는아래와같으며 2014.07 년현재 122 개제품이취득하였으나대다수의제품이구인증체계를통해획득한제품입니다. 암호모듈명 검증기준 검증번호 개발사 보안등급 모듈형태 검증일 1 KMUSCL V1.0 신기준 CM-93-2019.7 국민대학교 VSL1 S/W( 라이브러리 ) 20140708 2 TMCLM V1.0 신기준 CM-92-2019.7 ( 주 ) 유넷시스템 VSL1 S/W( 라이브러리 ) 20140708 3 XecureWeb V7.0 신기준 CM-91-2019.4 ( 주 ) 소프트포럼 VSL1 S/W( 구간암호 ) 20140708 4 XecureCrypto v2.0.1.1 신기준 CM-90-2019.4 ( 주 ) 소프트포럼 VSL1 S/W( 라이브러리 ) 20140425 5 INISAFE Crypto for C v5.2.0 신기준 CM-89-2019.4 ( 주 ) 이니텍 VSL1 S/W( 라이브러리 ) 20140425 6 KSignCrypto for Java V1.0.0.0 신기준 CM-88-2019.3 ( 주 ) 케이사인 VSL1 S/W( 라이브러리 ) 20140324 7 MACRYPTO V1.00 신기준 CM-87-2019.3 ( 주 ) 마크애니 VSL1 S/W( 라이브러리 ) 20140324 8 KLIB_lite V2.0 신기준 CM-86-2019.1 고려대학교 VSL1 S/W( 라이브러리 ) 20140123 9 KLIB V2.0 신기준 CM-85-2019.1 고려대학교 VSL1 S/W( 라이브러리 ) 20140123 10 TCLM v1.0 신기준 CM-84-2018.12 ( 주 ) 유넷시스템 VSL1 S/W( 라이브러리 ) 20131218 11 MagicDBPlus v1.2.1.0 신기준 CM-83-2016.1 ( 주 ) 드림시큐리티 VSL1 S/W(DB암호 ) 20131218 12 USCryptoLib V1.1 신기준 CM-82-2018.11 ( 주 ) 한국전자인증 VSL1 S/W( 라이브러리 ) 20131101 13 CIS-CC V3.2 신기준 CM-81-2018.11 ( 주 ) 펜타시큐리티 VSL1 S/W( 라이브러리 ) 20131101 14 SNIPER Crypto V1.4 신기준 CM-80-2018.9 ( 주 ) 윈스테크넷 VSL1 S/W( 라이브러리 ) 20130926 15 nprotect Crypto V1.1 신기준 CM-79-2018.9 ( 주 ) 잉카인터넷 VSL1 S/W( 라이브러리 ) 20130909 16 MagicCrypto V2.0.0 신기준 CM-78-2018.7 ( 주 ) 드림시큐리티 VSL1 S/W( 라이브러리 ) 20130730 17 ezpdf DRM v3.0 신기준 CM-77-2016.1 ( 주 ) 유니닥스 VSL1 S/W(DRM제품 ) 20130604 18 KMULiB V1.0 신기준 CM-76-2018.6 국민대학교정보보안연구소 VSL1 S/W( 라이브러리 ) 20130604 19 XecureCrypto v2.0.1.0 신기준 CM-75-2018.4 ( 주 ) 소프트포럼 VSL1 S/W( 라이브러리 ) 20130403 20 Future Crypto V1.2 신기준 CM-74-2018.4 ( 주 ) 퓨쳐시스템 VSL1 S/W( 라이브러리 ) 20130403 21 MobileCryptoX V2.0 신기준 CM-73-2018.4 ( 주 )LG CNS VSL1 S/W( 라이브러리 ) 20130403 22 EDGE V1.0 신기준 CM-72-2018.2 ( 주 ) 케이엘매트릭스 VSL1 S/W(DB암호제품 ) 20130222 23 EDGECrypto V1.0 신기준 CM-71-2018.2 ( 주 ) 케이엘매트릭스 VSL1 S/W( 라이브러리 ) 20130222 24 EGCrypt V1.0 신기준 CM-70-2018.2 ( 주 ) 샤코시스템 VSL1 S/W( 라이브러리 ) 20130222 25 USCrypto V1.0 신기준 CM-69-2018.2 ( 주 ) 한국전자인증 VSL1 S/W( 라이브러리 ) 20130222

2. Vormetric 제품소개 Vormetric 소개 Vormetric Data Security 제품소개 Vormetric 주요암호화기술 Vormetric 레퍼런스

Vormetric Data Security 소개 Vormetric Data Security 제품은미국 Vormetric 사의암호화전문솔루션으로, 암호화시우려되 는여러변화와문제점을쉽고간단하게해결한다는슬로건을기반으로한제품입니다. 중요한데이터의암호화 다양한환경에의적용 (DBMS/App/File) DB 구조나 Source Code 수정없음 암호화전 / 후성능차이거의없음 OS User & Process 접근제어 File system & Volume 에대한접근제어 제조사 : Vormetric ( 미국, 2001) 제품명 : Vormetric Data Security 업무용도 : Data암호화 Key Management 슬로건 : Simply & Easily 클라우드환경에서의암호화제공모든 DBMS를중앙에서관리 Vormetric 자체 HSM 기능을내장 Fips 140-2 Level 3 키관리인증

Vormetric 파트너쉽현황 Vormetric 은메이저 DB 및스토리지벤더업체들과기술파트너쉽관계로, 업계를선도하는최고의 기술력을보유하고있습니다. IBM 의 DB2 와 Informix DBMS 의암호화를위한 OEM 암호화모듈 전담공급 ORACLE database vault 제품의암호화키관리시스템전담공급 Symantec 의 Veritas Netbackup 솔루션의암호화, 압축, 키관리 OEM 모듈공급 HP ILM(Information Management Software) 골드파트너로보안 스토리지시스템을공급

Vormetric Data Security 제품구성요소 Vormetric Data Security 는암호화대상서버에설치되는 Agent 와 DSM(Data Security Manager) Appliance 로구성됩니다. Database Encryption Agent (PEM) Vormetric Data Security Server Software Type (OS 소스기반 ) OS 소스기반의암호화모듈 File & Raw File에대한암호화 암호화대상에대한 Access 제어 암호화대상서버 ( 호스트 ) 보호 Hardware Type (HSM) PEM( 암호화모듈 ) 중앙관리 정책설정 암호화키관리 & FIPS 암호화대상에대한감사

Vormetric Data Security 기본 Architecture 관리자는 Web 기반으로 Vormetric 서버에접속하여암호화 Key, 정책및로그를관리하며, 암호화 대상서버에설치된 Agent 는 Vormetric 서버에서생성된암호화정책을수행합니다. Vormetric Data Security Server 중앙집중관리 암호화키와정책생성및관리와로깅 고가용성 강력한권한분리 HTTPS HTTPS Vormetric Encryption Expert Agent S/W 베이스의암호화 투명한적용 Windows, Linux, UNIX 등의 OS 지원 OS user 의권한부여 Vormetric Data Security 관리자 (Web Browser, Java Based)

Vormetric Data Security 기본 Architecture Vormetric Data Security제품은 Agent와 DSM간 TCP 통신만가능하면네트워크적인위치에관계없이구성이가능하므로복잡한 Cloud 환경에서도쉽고견고한통합관리환경을제공합니다. ( 클라우드환경의호스팅기능제공 ) Data Center Business Partners Branch Offices LAN/WAN CRM TCP DBMS DRC Agent 통합관리 ( 모든 DBMS 에대한암호화지원 )

Vormetric Data Security 상세 Architecture 암호화 Agent 는암호화대상서버의시스템커널에설치되어 O/S 에서발생되는 I/O 시에암 / 복호 화를수행하며, 암호화키는암호화대상서버의커널메모리에존재하여유출되지않습니다. 개인정보암호화관리서버 (DSM) CLI console 대상서버 Operating System AIX HP-UX Solaris Windows Linux 계정 OS User Access Control SSH 계정 설정 / 관리 Security Server H/W 암호화대상서버 Network Application/DBMS WAS AP DB2 Batch Apache Sybase Legacy etc Physical I/O 발생 Oracle MS-SQL 프로세스 Process Access Control 보안관리자 Web Console System Kernel 로그전송 HTTPS 계정 설정 / 관리 보안관리자계정 Agent 가설치된서버 암호화키 정책 로그전송 정책전송 Kernel Memory 키 정책 암호화에이전트 암호화복호화 User 제어 Proces s 제어 로그 버전 / 패치 키전송 Disk & Storage SAN NAS DAS Local VM

Vormetric 암호화모듈 Architecture Vormetric Data Security 는 File System 및 Raw Device 에대해각각 Layer 를추가하여암호화를 지원하며, 암호화대상서버의 OS 유저및 Process 들에대한접근권한을관리합니다. Authentication/Authorization Applications 고가용성 정책설정엔진 상세감사 권한이없는사용자는제어 루트및관리파일에액세스방지 중앙집중식키및정책관리 Authentication/Authorization Applications Databases DSM Databases SECFS File System SECVM Volume Manager #secfsd -status guard GuardPoint Policy Type ConfigState Status Reason ---------- File System ------ Encryption ---- ----------- ------ ------ /oradata1 Vormetric_policy manual guarded guarded N/A /oradata2 Vormetric_policy manual guarded guarded N/A SECFS(Secure File System) SECFS process를통한지원 # bdf grep enc /dev/vg26b/lvol1 107544576 97384376 10080888 91% /oradata1 /dev/vg26b/lvol2 File System 107544576 에 99949464 저장된 7535840 Data 93% 암호화 /oradata2 /oradata1 107544576 97384376 10080888 91% /oradata1/.secfs /oradata2 ex.) tablespace 107544576 99949464 file 7535840 (*.dbf) 93% 등 /oradata2/.secfs #secfsd -status guard GuardPoint Raw Device Policy Encryption Type ConfigState Status Reason ---------- ------ ---- ----------- ------ ------ /dev/vg09/lvol22 Vormetric_policy rawdevice guarded guarded N/A /dev/vg09/lvol21 Vormetric_policy rawdevice guarded guarded N/A SECVM(Secure Volume Manager) SECVM Device map 생성 Raw Device에저장된 Data 암호화 ex.) /dev/vg09/lvol22 등 #secfsd -status devmap Secvm Device Native Device ------------ ------------- /dev/secvm/dev/vg09/lvol22 /dev/vg09/lvol22 /dev/secvm/dev/vg09/lvol21 /dev/vg09/lvol21

Vormetric 암호화적용대상 Log Files Password files Configuration files IIS Apache WebLogic Raw partitions Data files Transaction logs Exports Backup ERP DB2 CRM Oracle Payments SQL CMS Sybase Legacy Legacy File shares Archive Content repositories Multi-media File Servers FTP Servers Email Servers Other DAS SAN SAN NAS VM Vormetric 의암호화대상은미들웨어부터각종양한어플리케이션과 file server, ftp server 등의데이터와백업및설정정보까지저장되는모든데이터에암호화를적용 합니다. ( 스토리지암호화및가상화환경지원 ) 22

Vormetric 주요암호화기술 - MetaClear MetaClear 기술을통해데이터관리포인트에영향을주지않고암호화를수행합니다. Metadata 평문 블럭단위암호화 MetaClear 기술 File System Metadata Name: internetserver.out Created: 6/4/2010 Modified: 8/15/2010 mwlnskd 9f Nd&9Dm*Ndd Name: internetserver.out Created: 6/4/2010 Modified: 8/15/2010 데이터 File File Data Name: J Smith Credit Card #: 6011579389213 Exp Date: 04/04 Bal: $5,145,789 Social Sec No: 514-73-8970 dfjdnk%(amg 8nGmwlNskd 9f Nd&9Dm*Ndd wlnskd xiu2 xiu2ks0bksjd Nac0&6mKcoS qcio9m*sdopf dfjdnk%(amg 8nGmwlNskd 9f Nd&9Dm*Ndd wlnskd xiu2 xiu2ks0bksjd Nac0&6mKcoS qcio9m*sdopf

Vormetric 주요암호화기술 CBC-CUSP CBC(Chiper Block Chaning)-CUSP(Cryptographic Unit Support Program) 블록암호화운영모드 사용으로암호화전 / 후데이터사이즈변화가없습니다. Data + IV + Key = Encryption Data

Vormetric 주요암호화기술 - Server Hardening 개인정보가들어있는데이터암호화뿐만아니라 Root 를포함한모든 OS User & Process 에대 한접근통제및감사를제공합니다. 1. OS user 가정상적으로 ID/PW 를이용해로그인하는지사용자인증을모니터링 2. 별도의 Appliance 에서암호화대상에대한사용자및프로세스의엑세스를제어 3. 해당디렉토리안의파일들을암호화하여저장

Vormetric 주요암호화기술 HSM (Hardware Security Module) Vormetric Data Security는 HSM을내장하고있기때문에, 별도의 KEY 관리솔루션도입이필요하지않습니다. AES128/256, 3DES, ARIA 128/256 알고리즘을지원하며, Vormetric Data Security에서안전하게생성되고관리됩니다. Appliance와 PEM(Agent) 간에 Secure Channel(SSL) 을이용한 key 배포를합니다. Key를 File로 Backup시암호화해서 Backup하게되며, 복호화를위한 Master key는 Appliance에서만보관하고, 어떠한 user도 Master key에는접근이불가능합니다. 강제로 Vormetric Appliance를 open 했을경우, 모든 key는자동으로소멸됩니다. 암호화키및정책은정기적으로백업하여파일로보관함으로, Appliance Fault 발생시대체장비를통해 restore 합니다. Security ( 보안성 ) FIPS 140-2, Level 2 validated - NIST( 미국표준기술연구소 ) 가후원하는암호화모듈인증 - Common Criteria, EAL 2 compliant 키관리부분은 FIPS 140-2 level 3 인증 ( 현존하게최고의레벨의키관리인증 ) encryption Keys policies security rules

Vormetric Data Security 의독립적인사용자관리기능 Vormetric Data Security 는보안관리자들을 Role 에따라사용권한을각각부여함으로써내부사 용자에의한데이터유출및보안위험요소를제거합니다. Vormetric Administrator 계정유형은 System, Domain, Security 관리자로분리됩니다. System Administrator Domain Administrator Security Administrator 키및정책등의백업, 관리자계정생성, 장비패치등의업무수행 암호화대상서버들의도메인그룹을관리하는업무수행 키, 정책, 로그, 암호화대상서버등의생성및관리업무수행

Vormetric Data Security DSM 의 HA 지원 Vormetric Data Security는 Appliance 장비인 DSM의이중화를지원하여 Single Point Failure에대응하고있으며 Appliance 장비당 500대, 클러스터를통해최대 16,000 Hosts에대한중앙집중관리가가능합니다. Vormetric Appliance는자체클러스터링기능으로최대 32대까지멀티클러스터링을제공합니다. Active-Passive 기반자체 HA 지원합니다. DNS기반의통신으로별도의 L4, Tab 등의이중화장비가불필요합니다.

레퍼런스 Vormetric Data Security 제품은해외및국내기업의암호화도입시우려하는성능, Application 및 DBMS 수정, OS 및 DBMS 호환성등의이슈를해결하여전세계적으로 900+ 이상의레퍼런스를보유하고있습니다. 고객사업종암호화목적 / 대상고객사업종암호화목적 / 대상 통신사 고객정보암호화및규제대응 대학교 학사 / 행정정보암호화 건축자제장식 고객정보암호화및규제대응 교육 고객정보암호화및규제대응 공공기관주요정보암호화항공고객정보암호화및규제대응 교육 고객정보암호화및규제대응 금융 고객정보암호화및규제대응 음반 & 문구 고객정보암호화및규제대응 항공 고객정보암호화및규제대응 교육 고객정보암호화및규제대응 건설 고객정보암호화및규제대응 관광 고객정보암호화및규제대응 숙박 고객정보암호화및규제대응 건설 고객정보암호화및규제대응 은행 중앙 CRM 시스템 차량대여 고객정보암호화및규제대응 랜탈 고객정보암호화및규제대응

30 Case Study 국내구축사례 : 속도이슈고객 LG U+ - 고객과금부과에대한암호화기술조치가필요, 하지만암호화시스템을도입하는데있어서고객 과금을부과시암 / 복호화로발생하는 서비스에부하 의문제해결 국내구축사례 : OS/Application 수정문제고객 교보문고 - 고객정보를암호화하기위한암호화시스템도입에있어운영중인 Sybase 등의다양한 DBMS 및 OS 등의호환성과 /App 의수정 의문제해결 국내구축사례 : 중앙집중관리문제고객 ASIANA IDT - 급호그룹전계열사에존재하는개인정보에대한암호화및계열사들에대한중앙집중관리 의문제해결 국내구축사례 : 클라우드호스팅 KT 비용및운영인력의문제로암호화시스템구축에부담을느끼는 SMB 고객에게 ASP 서비스제공

DB 보안추가활용방안 DB 접근제어솔루션과의연동 비정형데이터에대한보안적용 계열사암호화 암호화시스템구축시필수고려사항

DB 접근제어솔루션과연동을통한 DB 보안강화 Vormetric Data Security 솔루션은 DB 접근제어솔루션과연동하여 DBMS 및 OS 를통해접근하 는모든비인가접속을차단하며불법적인데이터유출을차단할수있습니다. DB 서버접속 Client 또는 APP Server DB 접근제어솔루션 DB 암호화솔루션 DB 보안솔루션 DB 접근제어및감사 DB 암호화 보안기능 DB 사용자접속제어 DB 오브젝트및칼럼제어 SQL 명령어제어 DB 접속시간제어 권한별접근제어 접근권한별접속제어 접근내역에대한사후감시 DB Data 자체암호화 인증된암 / 복호화알고리즘 암 / 복호화키관리메커니즘 데이터유출시암호화로해독불가 DB 암호화로데이터유출원천차단 DB 보안환경 0% 100%

비정형데이터에대한보안적용 다가오는 Big Data 시대에서는 DB 의데이터를암호화하는것만으로는주요데이터유출을막을 수는없습니다. ( 음성, 영상파일, 백업데이터, 트랜잭션로그파일, 문서파일, 압축파일형태등 ) Internet user : 20 억, Mobile phone : 46 억 (2011) Twitter : 12+TB/day FaceBook : 25+TB/day 제타바이트시대, 전세계데이터는매년 40% 증가.. 80% of data are unstructured.

계열사암호화 모든계열사에저장되어있는개인정보암호화이슈가있는데이터및기밀자료에 대한암호화시추가 H/W 장비도입없이 PEM 설치만으로중앙관리및암호화영역을확대 적용할수있습니다. ( 이중화시자체 HA 기능으로최대 32 대의 Multi Clustering 기능을이용하여고가용성을보장하고, 최대 16,000 Hosts 의중앙정책관리제공합니다.) 공동백본 Internet / VPN HA 구성 계열사 본사 NW Vormetric Data Security 지주사 TCP 연결 (7024 port) 공동망암호화지원 내부본사망암호화지원 지사 주요계열사및지사연구소암호화지원 해외지사암호화지원 IPSEC & SSL VPN 망암호화지원 범례 암호화대상 DB 암호화암호화대상 DB (PEM) 34

암호화시스템구축시필수고려사항 1. 구축시 DBMS의환경, DBMS와연동되어있는 Application의환경에변경이없어야한다. 2. 암호화시스템도입이후성능저하가최소화되어야한다. (Data 암호화이후 Query에대한응답속도가암호화전과차이가없어야한다.) 3. 암호화 Key 유출을막기위한강력한 Key보호 / 관리기능이제공되어야한다. 4. 다양한이기종의 DBMS를지원해야하며, 모든 DB System을단일 UI에서중앙관리가가능 하여야한다. 5. DB Table의 Data를전체또는컬럼단위로암호화해야한다. 6. DBMS의자체또는별도의 DB 접근제어솔루션과독립적인사용자권한관리가이루어져야 한다. ( 복호화권한, 접근제어권한 ) 7. 암호화된컬럼의색인 (Index) 검색이가능해야한다. ( 일치검색, 전방일치, 범위검색등 ) 8. DBMS쿼리또는 Data에접근한상세한 history Log를남겨야한다. 9. Server내에어떠한형태로도복호화된 Table 또는 Column Data가없어야한다. 35

결론 빠른성능 1 기존운영환경과 5% 이내, 또는동일한속도보장 투명한연동 2 O/S, DB, App, Storage 등의변경이필요하지않음, 암호화모듈은 O/S 에설치됨 데이터관리에영향을미치지않는기밀 Data 암호화 높은호환성 3 File 단위암호화아키텍처를지원하며, 다양한 DBMS 의버전과패치에상관없이적용가능 중앙관리 4 다양한이기종의 DBMS 시스템및 O/S 와연동및단일 UI 에서중앙관리 자체 HA 구성가능 강력한키관리 5 AES 128/256, 3DES, ARIA 128/256 알고리즘지원

감사합니다

2024 © docsplayer.org 개인정보보호 | 약관 | 지원