올바른 암호화 솔루션 선택

올바른 암호화 솔루션 선택

최적의 데이터 암호화 솔루션을 선택하는 일은 활용사례, 알려진 위협, 허용 가능한 복잡성의 정도에 따라 달라집니다.

경영진 입장에서 데이터 보안은 2진법의 문제로 간주될 수도 있습니다. 즉, 암호화 솔루션을 도입해서 데이터를 안전하게 지키느냐 아니면 암호화를 도입하지 않아서 당황하게 되느냐의 문제로 비춰질 수 있는 것입니다. 그러나, 민감한 데이터를 지키는 보안팀의 입장에서 볼 때 이는 그리 간단한 문제가 아닙니다.

요구에 가장 적합한 데이터 암호화 솔루션을 선택하기 전 고려해봐야 할 몇 가지 사항이 있습니다. 데이터 암호화 유형은 크게 기술 스택에서 사용되는 위치에 따라 하기의 4가지로 분류됩니다.

  • 전체 디스크 또는 미디어 암호화
  • 파일 시스템 계층 암호화
  • 데이터베이스 계층 암호화
  • 애플리케이션 계층 암호화

암호화가 사용되는 계층이 낮을수록 보다 간단하게 구현되고 이에 따른 장애물도 적습니다. 그러나 이러한 데이터 암호화 방식이 해결할 수 있는 위협과 유형의 수도 적어집니다. 반면 높은 계층의 암호화를 사용하면 높은 수준의 보안이 실현되고 보다 많은 위협으로부터 데이터를 보호할 수 있습니다.

Selecting the Right Encryption Approach

계층이 높을수록 암호화 구현의 복잡성이 증가합니다.

Full-disk encryption (FDE)과 self-encrypting drives (SED)는 데이터를 디스크에 기록할 때 데이터를 암호화하고 디스크에서 읽을 때 데이터를 복호화시키는 암호화 유형입니다.

FDE/SED 장점:
  • 가장 간단한 암호화 배포 방법
  • 응용 프로그램, 데이터베이스 및 사용자에게 투명합니다.
  • 고성능 하드웨어 기반 암호화
FDE/SED 한계:
  • 저장미디어의 물리적 손실로부터 초래되는 위협에서 데이터를 보호합니다
  • APT나 악의적 내부자 또는 외부공격자에 의한 위협에 대한 데이터 보안은 불가능합니다.
  • 규제사항의 최소부분만 준수할 수 있습니다.
  • 세분화된 액세스 감사로그를 제공하지 않습니다.
요점:
  • 주요 클라우드 제공업체는 위에 나열된 부수 제한 사항을 기반으로 FDE와 기술적으로 동일한 기능을 제공합니다.
  • 손실이나 도난에 취약한 노트북의 경우 FDE가 적합한 방식입니다. 그러나 FDE는 데이터센터나 클라우드 환경에서 일반적으로 직면하는 위협에서 데이터를 보호하지 못합니다.
자세히 알아보기:
  • 애널리스트자료
관련된 Thales eSecurity 솔루션:
  • Vormetric Enterprise Key Managment는 KMIP서버와 같은 온프레미스 FDE 스토리지를 위한 중앙 집중화된 암호키 저장소 역할을 담당합니다.
  • CipherTrust Cloud Key Manager 는 BYOK 수명주기를 효율적으로 관리하며 중앙화된 리포팅을 통해 규제준수를 간소화시킬 수 있도록 지원합니다.

파일시스템 계층 암호화는 운영체제 내에 설치된 소프트웨어 에이전트를 사용하여 보안제어 기능을 제공합니다. 에이전트는 디스크에 대한 모든 읽기 및 쓰기 호출을 차단한 후 정책을 적용하여 데이터를 암호화할지 복호화할지 결정합니다. 보다 고급형의 암호화 솔루션은 관리자 및 프로세스, SIEM시스템과의 쉬운 통합을 기반으로 한 파일 액세스 로깅기능을 제공합니다.

파일시스템 계층 암호화의 장점:
  • 파일시스템 계층 암호화는 애플리케이션과 사용자에게 투명하다는 장점을 가지고 있습니다. 즉, 애플리케이션을 커스터머제이션하거나 관련된 비즈니스 프로세스를 변경하지 않고 데이터를 암호화할 수 있습니다.
  • 파일시스템 계층 암호화는 정형 및 비정형데이터 모두를 암호화합니다.
  • 파일시스템 계층 암호화는 관리자에 의한 데이터 침해를 방지합니다.
  • 파일시스템 계층 암호화는 간편하게 선두의 SIEM 시스템과 통합되어 보안 인텔리전스를 제공하여 데이터 유출 탐지를 가속화하는 한편, 감사보고 기능을 제공합니다.
파일 시스템 계층 암호화의 한계점:
  • 각각의 암호화 에이전트가 지원하는 운영체제가 다르므로 선택한 솔루션이 Windows, Linux, Unix플랫폼 등 광범위한 운영체제를 지원하는지 확인해야 합니다.
요점:
  • 파일 시스템 계층 암호화는 다양한 활용사례와 수많은 기업의 데이터 보안에 대한 최적의 솔루션을 제공합니다. 본 암호화는 광범위한 보호기능을 지원하며 대부분의 활용사례에 적합할 뿐 아니라 구현 및 운영이 쉽습니다.
관련 Thales eSecuriry 솔루션 및 기능:

TDE에는 Microsoft 나 Oracle과 같은 일반적인 데이터베이스에 대한 암호화기능을 제공합니다.

장점:
  • 데이터베이스에 저장되어 있는 민감데이터를 보호합니다..
  • 악의적인 내부자에 의한 위협 그리고 기타 다양한 위협으로부터 강력하게 데이터를 보호합니다.
한계점:
  • 특정 데이터베이스 공급업체의 솔루션은 다른 공급업체의 데이터베이스의 암호화를 지원하지 않기 떄문에 교육 및 운영비용이 증가할 수 있습니다.
  • 여러공급업체의 데이터베이스를 사용하거나 다양한 데이터베이스 환경을 사용할 경우 중앙집중식 데이터관리를 할 수 없을 수도 있습니다.
  • 이전 버전의 데이터베이스가 TDE를 지원하지 않을 경우 노출 위험이 있습니다.
  • 데이터베이스 열이나 테이블만 암호화할 수 있기 때문에, 구성파일 시스템 로그 및 보고서는 위협에 취약합니다.
요점:
  • 데이터베이스 암호화 기술은 특정요구사항을 충족시킬 수는 있지만 이종환경을 위한 데이터 보안기능 및 데이터베이스 밖에 위치한 데이터 보안기능을 제공하지 않아 데이터베이스를 위협으로부터 적절하게 보호할 수 없습니다.
관련된 Thales eSecurity 솔루션:

애플리케이션 계층 암호화는 API를 활용하여 강력한 애플리케이션 암호화, 토큰화, 마스킹 및 기타 암호화 기능을 추가하는 방식으로 일련의 제품군이 사용됩니다.

장점:
  • FIPS 140-2 키관리 및 암호화 기능을 위한 API를 사용하면 되므로 개발자의 암호화 기술이 필요치 않습니다.
  • 데이터베이스의 민감필드와 같은 사용자가 원하는 데이터 하위 집합을 보호할 수 있습니다.
  • 암호화 및 복호화가 애플리케이션 계층에서 발생하므로 데이터를 전송하거나 저장하기전 암호화됩니다.
  • 최고수준의 보안기능을 제공하여 악의적인 DBA및 SQL주입공격으로부터 데이터를 보호합니다.
  • 토큰화를 통해 PCI DSS준수에 소요되는 비용과 관리에 소요되는 오버헤드를 절감할 수 있습니다.
한계점:
  • 본 방식은 애플리케이션과 암호화기능이 통합되어야 하므로 별도의 개발을 위한 리소스가 필요합니다.
요점:
  • 본 방식은 보안정책이나 규제준수 요구사항을 충족시키기 위해 특정 데이터 집합을 보호해야 하는 경우 적합합니다.
  • 토큰화 및 형식보존 암호화가 포함된 애플리케이션 계층 암호화를 통해 데이터베이스 스키마를 변경하지 않고도 데이터베이스를 보호할 수 있습니다.
  • 문서화된 표준기반의 API 및 샘플코드를 탑재한 솔루션을 사용하면 애플리케이션 개발을 간소화시킬 수 있습니다.
  • 규제준수 및 강력한 보안을 위해 FIPS 140-2 인증을 받은 키 관리 기능을 활용하십시오.
관련된 Thales eSecurity 솔루션:
  • Vormetric Application Encryption으로 기존 애플리케이션에 형태 보존 암호화 및 기타 암호화 기능을 간편하게 추가할 수 있습니다.
  • Vormetric Tokenization을 통해 간편하게 기존 애플리케이션에 토큰화 및 동적 데이터마스킹 기능을 추가할 수 있습니다.
  • Vormetric Batch Data Transformation은 다량의 데이터를 빠르게 암호화 또는 토큰화하여 정적 데이터 마스킹 및 데이터 보안을 신속하게 구현할 수 있도록 지원합니다.

Application Encryption

백서: 기업을 위한 암호화 청사진

본 백서를 다운로드 하여 올바른 암호화 전략을 수립하고, 기업에 가장 적합한 암호화 전략을 검색하고 선택해 보십시오.

다운로드(영문)

백서: 백엔드 시스템에서 저장데이터에 대한 암호화 선택: 어떤 위험을 감수하려 하십니까?

데릭E 블링크, IT보안 및 IT FRC의 CISSP 겸 부사장이 쓴 본 백서에는 가장 중요한 자산인 데이터를 안전하게 보호하는데 필요한 실행 가능한 정보와 설명이 담겨있습니다.

다운로드(영문)

백서: 혼란 타개: Securosis 리포트-데이터센터, 서버, 애플리케이션을 위한 암호화 및 토큰화

이 백서에서는 데이터센터(애플리케이션, 서버 등)의 암호화에 중점을 두고 자사의 프로젝트에 가장 적합한 암호화 및 토큰화 방식을 선택하는 데 도움이 될만한 조언을 제시합니다. 본 백서는 데이터센터및 IaaS(애플래케이션, 서버, 데이터베이스 및 스토리지)에 중점을 두어 작성되었습니다.

다운로드(영문)
인터액티브 동영상 시청하기(영문) 알아보기
라이브 데모 요청하기 요청하기
전문가와 상담하기 연락하기