( 주 ) 이글로벌시스템서울특별시강남구역삼동 703-5 일환빌딩 9층 TEL. 02-6447-6988 FAX. 02-6447-6989 E-Mail. sales@cubeone.co.kr www.cubeone.co.kr An Ideal Data-at-rest Column Level Encryption Solution specialized for High Transaction and No Downtime Database
What s 고성능대용량무중단 Premium DBMS 암호화솔루션 암호화된컬럼색인검색 가장빠른암, 복호화성능 수억 ~ 수십억건에대한암호화지원 대량의트랜잭션환경지원 무장애운영구조 암호화작업시무중단서비스가능 (Oracle Only) 은중요정보 ( 개인정보 ) 가저장된대용량 DB 에적용하기에알맞은매우독창적인구조를가지고있습니다. 이러한기술은 NEP( 우수신제품인증 ) 및국내외특허로그독창성과기술력이입증된바있습니다. 또한 DBMS 암호화를적용한대형시스템구축사업에서비교할수없는우수성이입증되고있습니다. 제품군 Plug-In : Oracle, MS-, DB2, Tibero, Informix, My, GreenPlum, TeraData, Sybase IQ, Altibase 등 API : Any DBMS, SAM/TXT File for SAP Why BMT 마다경이적인성능기록 은많은대형 BMT 에서비교할수없는막강한성능을기록하고있습니다. 기존의제품들에서나타났던성능저하문제는 에서는더이상문제가되지않습니다. 중요한것은 OLTP 처리에있어서성능저하가거의느낄수없는정도에그친다는점입니다. 암호화전 CubeOne V2.5 개인정보보호관련법규에서요구하는암호화기술적보호조치충족 16 14 12 10 8 6 4 2 0 Latency 비교제품 TPS Options :, API Handler, BeaCon, Converter 분산처리가가능한 Hybrid 지원 은보안관리자용 에서다수의 DB 서버또는 AP 서버를통합관리하며, 모든작업이 GUI 를통해자동으로처리되어 DB 를잘모르는보안관리자가운영하기에적합합니다. 또한, DB 서버내에 Plug-In 및 AP 서버에서동작하는 API 를동시에사용할수있는 Hybrid 형태의 S/W 로서 Plug-In 과 API 의장점을모두지원하는구성을지원합니다. 은 FIPS-140 기준을만족하며국정원암호모듈검증필암호모듈 (KLIB V.1.x) 이탑재된안전한제품입니다. DB 또는 AP 서버내의디스크에평문으로된키를저장하지않아어떠한경우에도데이터와키가함께유출될가능성이없는매우안전한키관리체계를가지고있습니다. DB Server 기술적보호조치기준 중요개인정보의저장시암호화 컬럼단위암호화 만족방법 Adv. 중요개인정보에대한접근기록은별도저장장치에저장 중요개인정보에대한접근기록은위. 변조및훼손을방지하도록저장 접근통제실시 비밀번호및바이오정보는일방향으로암호화하여저장 에저장 (DB 와분리된별도의서버에저장 ) 암호화하여저장 ( 암호화는위. 변조가불가능함.) 암호화한칼럼에대한접근제어및통제 ( 네트웍보안장치와더불어요건충족 ) SHA-1/256/384/512 알고리즘적용 API Module User/ App. MGR EncAPI DB Engine Plug-In Module Server Demon Process Search 인증사항 국정원인증 : 국가용암호제품인증 (NCPL-2009-030, NCPL-2011-004) 암호모듈검증 : KLIB V1.6 인증번호 (CM-29-2015.01) 행정안전부 : 행안부행정정보보호제품등록 eglobal system Ⅰ Why Ⅰ 2 eglobal system Ⅰ What is Ⅰ 3
Plug-In 진정한 Application 독립성확보 Plug-In 은 Application 과독립적이므로, Application 을개발하고관리하는사람이암호화에대해어떠한관심도기울일필요가없습니다. 즉기존에사용하던 문을그대로사용할수있습니다. 특히 DB 관리자가신경을써야하는 Dependency ( 예, Trigger 등 ) 관련작업들도 에서관리해주므로별도수작업이필요치않습니다. 업계유일의암호화된 를통한색인검색 은테이블과 모두를완벽히암호화하고, 이 를통한색인검색을지원하는유일한제품입니다 ( 특허등록 ). 으로암호화하면 Full Scan 발생으로인한심각한성능저하가없습니다. Key Features Plug-In 암호화컬럼 색인검색 은색인검색이지원됨에도불구하고암호화데이터의일부, 혹은전부에대한복호화된정보를보관하지않습니다. 만의암호화된색인 ( ) 을사용하여암호화적용된컬럼에대하여일치검색은물론 Like 검색과같은범위검색을지원합니다. ( 특허기술 : Searching.) 암복호화키기밀성유지 암 복호화키와 Master 키는분리되어있으며, 암 복호화키는운영서버의 File 이나 DBMS 에저장하지않습니다. DBMS 암호화운영에필요한암복호화키는변조된상태로메모리에상주시키며, 사용후모듈종료시키가제로화됩니다. 최고의운영성및내장애성구조 의 API 및 Plug-In 은모든데몬프로세스의장애시에도정상작동하는구조를제공합니다. 또한기밀성을위해 DB/App. 서버의메모리에로딩된키가, 재부팅시자동로딩될수있도록키분배서버 ( ) 를제공합니다. 이러한구조들로인해 의내장애성은업계최고입니다. 운영서버백업 로그전송 시스템공유메모리 DBA Admin Tool User Application 그밖의한발앞선신기술들 그외에도 에는실제구축경험에서비롯된업계최초로구현한 Dual Sync Mode 기능, 복호화를하지않고추가암호화가가능한기능, 연결된세션에도즉시적용되는 Realtime Sync. 기능, 다중모니터링콘솔, Triple-Depth 패스워드인증기능, 변경된패스워드및 Application 명탐지및통제기능등경쟁제품들이가지지못한다양한기능들이가득합니다. 키저장 키요청 / 키주입 RSA 키주입 암호화적용후장애발생시신속한원상복구 (Dual Sync Mode) 운영서버에암호화적용이후혹시발생할수있는장애로인해암호화이전의상태로서비스전환시, 시간이많이소요되는 Rollback 이필요없습니다. USER APP PACKAGE Unchaned Policy C App / Data 원본 서비스장애발생 원상복구결정 Dual Sync Mode 해제 전환시간 : 수초 ~ 수분 원본 / Data C App DBMS TOOL Authorized Data eglobal system Ⅰ Plug-In Ⅰ 4 eglobal system Ⅰ Plug-In Ⅰ 5
API 타 API 보다월등히빠른성능의간결한구조 API 는접근제어 암복호처리 로그저장으로이어지는전과정이별도프로세스의개입없이 Encryption_API 내에서처리됩니다. 이러한보기드문간결한구조는빠른성능과함께고도의내장애성을함께제공합니다. (BMT 결과타사 API 보다약 50% 정도의빠른성능을제공합니다.) 이기종 DBMS 지원 API 는 DBMS 종속적이지않으므로모든 DBMS 에대해암호화기능을제공할뿐아니라, 작업시간이많이걸려암호화적용이어려웠던 Batch 업무에대한암호화적용을가능하게합니다. 또한, Plug-In 제품과동시적용시암호화된 의색인검색을지원합니다. API Handler API 의단점보완 API Handler 는암호화대상 DBMS 에설치되며, API 만을 Application 서버에설치되는경우발생할수있는암호화 DB 운영및관리상의단점을보완해주는 API 용전용 Option 입니다. 암호화적용된컬럼의색인검색 API Handler 는암호화된컬럼에대한색인검색 ( Search) 지원함으로써일치검색은물론, 전방일치 (LIKE, BETWEEN, >, <, >=, <= 등모든전방일치검색 ) 검색시 Search 를지원합니다. 색인검색이지원됨에도불구하고암호화데이터의일부, 혹은전부에대한복호화된정보를보관하지않음으로써보안성을확보합니다. 대용량 Batch 성능확보 초기암호화적용기능 API 는 DBMS 암호화적용시서비스성능저하문제는더이상문제되지않습니다. DBMS 암호화적용이후목표처리시간이내에서비스완료를하지못하는대용량 Batch 업무의경우 DBMS Local 서버에서 API 를적용하여 Batch 업무를수행함으로써암호화적용후서비스완료시간을획기적으로단축시킬수있습니다. 초기암호화구축작업을 GUI 를통해자동화해주므로매우편리하게데이터마이그레이션을수행할수있습니다. DB 직접접속시암복호화기능 그밖의한발앞선신기술들 *plus, Toad, Orange, Golden 등의툴을이용하여인가자가 DB 로직접접속하여암호화된데이터를조회 / 처리할수있도록해줍니다. 그외에도 API 에는실제구축경험에서비롯된부분암호화기능, 다중모니터링콘솔, Triple-Depth 패스워드인증기능, 변경된패스워드및 Application 명탐지및통제기능등경쟁제품들이가지지못한다양한기능들이가득합니다. API Handler 지원환경 항목 적용가능 DBMS 설명 Oracle 8.1.6 이상 MS- 2000, 2005, 2008 DB2 7.x 이상 Informix 9.x 이상 Tibero 4.0 SPI 이상 Policy Application Server C App Oracle MS- DB2 메모리 Cipher Text DB Server DBMS Plain Text ( 비정형쿼리 ) DB 관리자 Orange Toad Delphi APP Any DBMS RSA API Handler 메모리 Application eglobal system Ⅰ API Ⅰ 6 eglobal system Ⅰ API Handler Ⅰ 7
BeaCon 암호화상태통합모니터링 BeaCon 은전용 Dashboard 를통하여 이적용된시스템의암복호화처리상태의통합모니터링을지원합니다. 에 Add On 하여구성됩니다. 대량복호화방지기능 Converter Application 소스코드변경최소화 Converter 는 JAVA(WAS) 환경에서작성된 Application 의암복호화관련 을 Plug-In 환경의최적화된 로자동변환을지원함으로써사용자의 Application 변경요구를최소한으로유지합니다. 암호화성능확보를위하여 Plug-In 을적용하더라도발생할수있는 변경사항을직접 Application 을변경하여반영하지않고 Converter 에등록하는작업만으로최적의암호화성능을확보할수있습니다. 암호화인가자를통하여발생할수있는임계치를넘는인가된복호화요구를차단또는보안관리자에게통지를함으로써대량의개인정보유출상황을방지합니다. #1 Security Svr with Beacon 로그전송 업무 1 WAS Server 업무 2 WAS Server WAS Server Converter Select Jumin from EMP_ Converting Converting 암 / 복호화 #2 시스템공유메모리 Select decyrpt(jumin) from EMP_# Beacon Beacon Dashboard BeaCon 관리화면 BeaCon 메인화면 BeaCon 암호화통계화면 BeaCon Access 조회 Converter 관리화면 1. 적용대상시스템등록 SqlConverter 를적용할 WAS 를 등록함. 2. 변경대상 등록 변경이필요한 을등록함. 변경전 은실행중인 WAS에서자동으로수집 변경후 은담당자가수동으로입력 3. 변경대상 등록 _ 상세 변경할 을등록 BeaCon 관련 상세조회 BeaCon 암호화 Event 상세조희 BeaCon 기능설정 4. 실행결과모니터링 5. 실행결과모니터링 _ 상세.png 6. 정책변경이력 WAS를통해서실행되는모든 을 SqlConverter를통해서자동으로변경된 서버정보변경이력 모니터링함 정보상세화면 변경대상 변경이력 변경대상으로등록된 은 변경전 과변경후 을동시에 SqlConverter에서자동으로변경되고비교가능 각종필요정보조회가능 : 해당정보는 Converted Query 에서 PreparedStatement의인자로들어온정보확인가능확인가능, 실행시간, 성공 / 실패여부 eglobal system Ⅰ BeaCon Ⅰ 8 eglobal system Ⅰ Converter Ⅰ 9
for SAP for SAP 는자유로운 SAP 업그레이드 (Integrity 보장 ) 지원하며, SAP Standard Object 수정불필요, CBO 소스자동수정기능제공등, 암호화설정및적용에필요한조치를자동화하여암호화로인한혼란없이편리하고안전하게 SAP 를운영할수있습니다. 또한, 암호화전체과정과암호화로인한변경내용을기록 / 모니터링하고 SAP Upgrade 시변경내용재활성화기능등이자동화되어있는 은 Upgrade 시나추가암호화시에최소의컨설팅을통하거나사용자가 GUI 를통해직접수행할수있어비용절감효과가매우큽니다. 암호화적용시 SAP Upgrade 보장 Key Features For SAP SAP Integrate GUI 암호화 GUI 메뉴 암호화설정 암호화설정모니터링 기능 : SAP 시스템의 Standard 구조를유지하여 SAP 버전업그레이드시암호화모니터링기능을이용하여과거적용내역을쉽게활성화할수있습니다. 이점 : 암호화적용후에도자유로운 SAP Upgrade 및 Patch 가능 USER-EXIT 설정 암 / 복호화일괄마이그레이션 유틸리티 -CBO 조정 운영안정성보장 기능 : AI 서버의네트워크또는시스템장애로인하여암복호화서비스중단시에도 SAP 의서비스는정상적으로진행되며, 암호화가미적용된 Data 는추후암호화조치를수행합니다. 이점 : SAP 운영안정성확보 보안성확보 SAP 인증 (2 -Level 인증 ) 기능 : 국정원에서인증된안전한암, 복호화알고리즘및권한통제수준확보, 안전한암, 복호화키관리체계확보이점 : 관련법규요구사항충족 Add-On 제품인증 ( 업계유일 ) 인증명 : ICC ABAP ADD-ONS Certif icate TCO 절감 기능 : 암호화대상도메인의자동반영 ( 설정방식 ) 및암호화해당도메인암, 복호화 Function 자동생성기능, 초기마이그레이션프로그램자동생성등이점 : 도입프로젝트기간단축을통한비용절감 CubeOne AI Server Policy JCO / RFC Encrypt / Decrypt AI Manage Q-Secure Repository SAP Server SAP Repository Automated EncryptManage Encrypt / Decrypt Monitoring DBMS Certif icate SAP Integration Certif ication Certif ied Functions : Create and Delete A / I Single Encrypt and Decrypt Mass Encrypt and Decrypt Mass Encrypt and Decrypt for Background SAP Solution Ready 연동인증인증명 : ICC Integration Assessment Certif icate Certif icate SAP Integration Certif ication Certif ied Functions : Encrypt f ield value Decrypt f ield value Mass data en-/decryption eglobal system Ⅰ for SAP Ⅰ 10 eglobal system Ⅰ for SAP Ⅰ 11