주요 데이터보안을 위한
Download
1 / 26

주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안 - PowerPoint PPT Presentation


  • 449 Views
  • Uploaded on

주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안. 주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안. 제안 솔루션 소개. 케이사인 솔루션 소개 DB 암호화 [ Plug In] 구성방식 일반적인 DB 암호화 구축 방안. 4 . 암호화 구축방식별 비교 5 . 암호 키 관리 기능 6 . 접근제어 및 감사 기능 7 . DB 통합 관리 기능 8 . 감사 및 장애 복구 기능. KSignSecure DB 주요 기능.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안' - chelsa


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

주요 데이터보안을 위한

KSignSecure DB 암호화 솔루션 제안

주요 데이터보안을 위한

KSignSecure DB 암호화 솔루션 제안


제안 솔루션 소개

  • 케이사인 솔루션 소개

  • DB 암호화 [Plug In] 구성방식

  • 일반적인 DB암호화 구축 방안

4. 암호화 구축방식별 비교

5. 암호 키 관리 기능

6. 접근제어 및 감사 기능

7. DB 통합 관리 기능

8. 감사 및 장애 복구 기능


KSignSecure DB 주요 기능

KSign Secure DB 소개

KsignSecureDB 제품 개요

KsignSecureDB 제품 특장점

감사로그 및 모니터링

암호화기능

접근통제 기능

감사

기록

접근

통제

필드

암호화

검증된

보안 기능

1. KSignSecure DB 솔루션 소개

KSignSecure DB

제품명

데이터 타입

  • 다양한 데이터 타입의 암호화 지원

㈜케이사인

제조사

암호알고리즘

  • 다양한 암호알고리즘 제공(SEED, TDES, AES, ARIA,Hash 등)

  • DBMS 정보 선택적 암호화,User 별 인증 및 접근 통제

  • DBMS 운영 관리자와 DB 보안 관리자 역할 분리를 통한 DBMS 관리 보안 강화

  • 분산 환경의 다 중의 DBMS 시스템 중앙 보안 관리

  • GUI 기반의 다양한 통계, 모니터링 기능.

  • 관리콘솔을 통한 암복호화 수행

암호화 편리성

제품개요

  • 선택적인 initialization Vector 적용 가능

안정성

  • 보안 관리자에 의해 선택된 특정 필드에 대한 암호화 수행

  • 응용 시스템 독립적인 암/복호화 절차 수행(별도의 연동 작업이 필요하지 않음)

접근통제

  • 암호화, 비암호화 데이터에 대한 접근제어

  • 보안 관리자에 의한 개발자, 사용자, 관리자(DBA 포함)에 대한 역할 부여 및 RBAC 기반의 접근 통제

  • DBMS 독립 모듈(Secure DB Agent)을 통한 자원 접근 통제

  • RBAC 기반의 편리한 접근제어 정책 설정

사용자 권한관리

APP접근통제

  • DB 사용자 이외에 IP/응용프로그램/시간대 별 세부 접근제어 제공

  • GUI 기반의 DBMS 접근 및 서비스 관련 Event에 대한 다양한 통계 그래프 출력 등 보안 관리자 중심의 관리 툴 제공

감사추적관리

  • 감사로그에 대한 주기적인 자동 백업 기능, 통계기능

  • 국가정보원 보안적합성 검증필 및 암호모듈검증 모듈 탑재

  • GS(Good Software)마크 획득, 행정정보보호용 인증 제품

  • 인덱스 암호화, 암호키관리 및 접근통제 기법 기술 특허 제품

보고서 기능

  • 암복호화 모니터링 및 수행내역 리포팅 기능


2. DB암호화 시스템 구성[Plug In 방식]

주요 인증획득 현황

GUI기반 관리콘솔


2 .1 DB암호화 시스템 구성 상세설명[Plug In 기준]

DB 서버

보안관리자 PC

Admin

Server

TCP

9002

TCP

9001

보안정책설정

보안정책관리

Agent

USER (뷰)

감사기록통계

암호화 키 관리

TCP

7070

암호화 적용

초기 암호화

USER (테이블)

TCP

9003

SDB_USER (테이블)

Policy

DB

응용프로그램

암호화 테이블

extproc

Agent

Package

데이터 암/복호화

접근통제

감사기록

view

Client Tool


  • Plug In 방식의 암호화 적용 시 DBMS 스키마 구조 변경

2.2 Plug In방식 암호화 적용 시 DB구조 변경

암호화전

Table : EMP

Unique Index

암호화후

View : EMP

Unique Index

Table : SDB_EMP

Advanced Index


  • Secure DB 암호화 구축 시 Plug In & API방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암·복호화 기능을 구현하겠습니다.

Hybrid 구축 적용

Plug-in 방식

API 방식

통합DB시스템

단점

장점

단점

장점

Hybrid

방식

관리자

사용자

암호화 테이블

Hybrid방식 구성방안

Secure API

Secure Agent

  • 대량수정

  • 인덱스 성능감소

  • 수정최소

  • 인덱스 성능향상

  • DB부하

  • 속도감소

  • 부하분산

  • DB속도증가

3. 일반적인 DB암호화 구축 방안

2.1 시스템 구성도

장 점

  • 성능 최적화

  • - DB에 대한 부하를

  • WAS로 분산

  • - 암호화 컬럼에 대한

  • 인덱스적용

API와 Plug-in의

장점만 수용

DBMS

WAS

Veiw

부하 낮은 쿼리

부하 높은 쿼리


  • KSignSecureDB는 Secure DB는 Plug In & API방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암·복호화 기능을 구현합니다.

Index 체계

Index 체계

DB암호화 성능확보 방안

사용자

Veiw

영향 받는 주요 인덱스

함수기반 인덱스 사용

5~ 10% 이내 달성

Secure Agent

```

3.1 DB암호화 성능 확보방안

2.1 시스템 구성도

암호화 전

DBMS

일반 Query

  • 효율적 업무설계 및 인덱스 접근성 높음

  • 액세스 범위를 줄여 성능 향상

Secure Index

암호화된 컬럼으로 Query 변경

인덱스 컬럼 암·복호화로

인한 성능 저하 발생가능

암호화 후

Example

DB 암·복호화

성능 목표치 달성

일반적인 DBMS

성능 저하 요인

  • 성능에 중요한 인덱스 (주요키, 외부키)를 액세스 하지 못함

  • 조건 절에 포함되어도 테이블 전체 스캔

  • 쿼리 수정이 없는 데이터 암·복호화에 대해서는 약 15% 정도의 DBMS 부하 발생

  • 쿼리 수정이 발생하는 데이터 암·복호화에 대해서는 약 12% 정도의 DBMS 부하 발생

  • 인덱스 구간 Searching 기능 지원

  • 수정이 필요한 특정 쿼리에 대한 부하는 WAS로 분산


암호화 데이터 쿼리 튜닝

쿼리 튜닝을 통한 응답지연현상 해소

2

1

사용자

사용자

응답지연 쿼리 성능향상 방안

암호화 대상 업무 분석

DB암·복호화 적용 전ㆍ후 성능치

예시

예시

Secure API

Secure Agent

3.2 DB암호화 성능 확보방안

시사점

2.1 시스템 구성도

적용 전 (전체 응답시간 : 5초 가정)

응답지연 쿼리 발생 가능

DBMS

WAS

80%

20%

Example

1초

4초

응답이 지연 될 경우

전체 업무에 영향

강원랜드

성능관리 및 집중튜닝 대상

적용 후 (전체 응답시간 : 5초 가정)

응답지연 쿼리

DBMS

WAS

응답시간

80%+(15~20%)

20%

암호화 후

  • 업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20% 지연가능성이 있음

  • 컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재

1초

4초±0.8

암호화 전

20% 이내

5~10% 이내

자사 성능 전문가 투입

BATCH

Rows

체계적인 성능 관리

OLTP


  • 최적화된 시스템 분석을 위해서는, 시스템의 서비스 특징 및 시스템의 주요 부하(LOAD) 유형을 면밀히 조사해야 합니다. 시스템 부하(LOAD) 유형에는 On-Line 서비스/Batch/File Batch/원격 I/F /기타로 나뉠 수 있습니다.

시스템 별 업무 유형 분석 방안

암호화 대상

1

3.3 성능보장 핵심방안_사전환경분석_핵심 1

1

On-Line 서비스 비중(%)

실무자

2

통합

전산시스템

Batch 비중(%)

3

File Batch 비중(%)

시스템 별/업무 별/APP 별

업무 처리 유형(On-Line/Batch/

File Batch/원격 I/F /기타)에

대한 서비스 부하 조사

4

홈페이지

원격 I/F 비중(%)

5

기타 비중(%)

SQL

SQL

SQL

SQL

+


  • 업무 유형별 SQL 분석과 함께, 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL을 추출하고, 개별 SQL의 수행 비용 및 실행 계획을 기록하여, 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면, 누락 SQL에 대한 보완 작업을 진행 합니다.

업무 SQL 모니터링 분석 방안

암호화 대상

1

3

2

100

80

60

40

20

0

1분

3분

3.3 성능보장 핵심방안_사전환경분석_핵심 2

암호화 대상 칼럼을 참조하는 SQL들을 AP별로 분류하고, 다시 이를 CRUD 별로 세분화 한다.

암호화 대상 운영 DB에 대한 모니터링

시간 대 : 오전/오후/저녁/새벽

업무 프로그램 별 SQL 및 실행 계획/ SQL 비용 조사

조합

[AP 별 SQL 부하 조사]

고객

검사사용자

홈페이지

고객

등록정보

업무

종사자

협력사

종사자

최적화 튜닝 전략 수립

SQL 유형

+

+

암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련

[서버 별 자원 사용 현황 조사]

[암호화 대상 테이블 SQL]

처리 유형

[튜닝 전략]

SQL

SQL

SQL

SQL

(성능 이슈)Full Scan 및 Bind 변수 미 처리 SQL은

별도 분류하여고객 사에 조치 요청

서비스 종속성


  • 사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면, 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및 시험일정을 수립 합니다.

시스템 별 I/F 종속성 분석 방안

암호화 대상

1

7

2

5

1

2

4

3

3

8

4

6

3.3 성능보장 핵심방안_사전환경분석_핵심 3

50%

포탈

+

통합DB

콜센터

20%

SMS

10%

20%

기타

실무자 및 DB 모니터링(MACHINE/AP 별 SQL)을 통해서 얻은 정보와 네트워크 모니터링을 통해서, 시스템 별 업무 종속성을 면밀히 파악 합니다.

[시스템간 네트워크 접속 IP 확인]

고객

검사사용자

[시스템에 대한 AP별 부하 확인]

홈페이지

고객

등록정보

업무

종사자

협력사

종사자

통합

로그인

실무자

조합

agent

[업무 시스템 ERD]

첫 화면

제공

고용보험

직업 훈련

화면 제공

최적화된 시험 환경 구성

시험 일정 수립

+

암호화

인증서

발행

(PKI)

SSO

agent

연동 대상

시스템

SSO

Server

로그인

고용관리

워크 넷

* ER모델

주문

주문 번호

암호화

인증서

확인

주문일자

주문상태

[시스템 간 업무 종속 성 파악]

[시스템간 서비스 종속 관련 암호화 대상 테이블 파악]

주문/ ITEM BACKORDERED

[최적화 된 DB 암호화 시험 일정]

자동 적용

수량

고객

고객 번호

Oracle SSO

Server

고객명

주문/ ITEM SHIPPED

고객 거주지

수량

우편번호

선적일자

고객상태

고객주소

고객전화번호

ITEM

고객FAX번호

ITEM 번호

수량

ITEM명


  • 사전 환경 조사 내용을 기준으로, 환경 구성 복잡도(Simple -> Complex), 업무 종속성(종속성 없는 것 -> 종속성 깊은 것), 성능 이슈(낮은 것 -> 높은 것)등을 고려하여, 환경 구성 유형을 분류합니다

암호화 적용 후 성능 테스트 환경구성 방안

1

3.3 성능보장 핵심방안_테스트 환경구성 방안

시험 환경

구성 고려사항

  • 운영과 동일한 OS Parameter 설정

  • 운영과 동일한 DB Parameter 설정

  • 운영과 동일한 데이터 환경 구성

  • 운영과 유사한 I/F 환경 구성


  • 성능이슈 요건 및 단 기간내(1.5개월) 암호화 구축을 위해서는, 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고, 이는 On-Line 서비스/Batch/File Batch/원격 I/F /기타로 나뉘어 수행 됩니다.

암호화 적용 후 성능 테스트 환경구성 방안

3.3 성능보장 핵심방안_테스트 환경구성 방안


  • 시스템 별, 업무 유형 별 AP(SQL 포함) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데, 이에 대한 모니터링 기준으로는, (암호화 전 <->암호화 이후)CPU/수행시간/Logical IO/Physical IO 값을 기준으로 성능 이슈 SQL을 추출하여 분석 합니다.

암호화 적용 후 성능 시험 모니터링 방안

3.3 성능보장 핵심방안_성능 모니터링 방안

105% 근사한 성능 목표치 달성 후 작업 절차서 작성

DB 암호화 작업 수행 후 모니터링을 통해서 이상 비용 AP(SQL 포함)는

최적화 수행해야 합니다.

운영 반영


  • DB암호화 구축 방식 4가지로 Plug In & API방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다.

4. DB암호화 구축 방식별 비교


  • DBMS암호화 제품 형태별 장단점 비교

4.1 DB암호화 구축 방식별 비교


  • DB보안(암호화) 적용 방식별 세부 기능 비교표

4.2 DB암호화 구축 방식별 상세 기능 비교표


  • DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다.

암호 키 보안 관리 방안

5. 암호 키 관리 기능

암호 키 백업 관리 방안

Policy Server(KMS)

DBMS 보안 Agent

Load Cert[Agent]

Gen Random M_Key

수신 정보 저장

Gen Random C_Key

키 노출 위험 제거

수신 정보 저장

암호화 되어 백업된 암호화 키

C_Key이용

암호 키 파괴, 장애 복구 대응

세션 종료 후 삭제


  • 자원(Table, Column 등)에 대한 IP, 응용, 시간등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다.

RABC기반의 접근제어

6. 접근제어 및 감사기록 관리 기능

다양한 환경의 접근 제어 기능

SCOTT

SYSMAN

“일반 사원”Role할당

“인사관리”Role 할당

조회

권한

조회/추가

수정/삭제

권한

개인정보

DB(암호정보)

  • 통합 관리 툴을 이용한 역할에 대해 특정 자원(TABLE 등)에 대해 오퍼레이션 권한(INSERT, UPDATE, DELETE, SELECT)을 정의를 통한 접근 권한 정책 설정

  • 각 직무 또는 비즈니스 단위로 ROLE(권한)을 식별

  • DB 계정 외 IP 주소별, 접근 프로그램, 접근 시간 등에 대한 자원 접근 통제 기능


  • 분산 DBMS에 대한 암호 대상 설정, 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다.

7. DB 통합 관리 기능

구성 특징

전용 관리 툴

감사 기록 관리

분산 DB 통합 관리 기능

  • 분산 DBMS 시스템에 대한 통합 관리

  • DBMS/Table/Column 별 암호 키 관리 등 정책 관리

다양한 조건 별 접근 통제

[DB 보안관리자]

  • 시간 별, IP 별, Application 별 접근 통제

  • DBMS, Table, Column, 역할별 접근 통제,

통합 관리

접근 통제

Plug-In(Filter)

감사기록 생성, 관리 기능

  • IP, 역할, 시간등 다양한 조건별 감사기록 조회 관리

  • 서비스 내역, 관리자 운영 관리 내역에 대한 감사기록 생성

DBMS

DBMS

DBMS

[DBMS]

[Policy Server]


Agent

Agent

DB 접근에 대한 감사 및 리포팅 기능

8. 감사 관리 및 장애 복구 기능

장애처리서비스

DB 보안 센터

Secure DB

Server

서버 or 네트워크 장애

초기 암호화 장애 시

1

2

회계 DB

인사 DB

  • 오퍼레이션 내역(SELECT, INSERT, UPDATE, DELETE)기록

  • 접근 테이블, DB 계정, IP, 접근 프로그램, 접근 OS 계정, 수행쿼리 등의 세션 정보 기록

  • 다양한 조건 별 통계 보고서 및 그래프 기능 제공

  • DB 서버 장애 시 DB Agent는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행

  • 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent에서 자동으로 처리내용 롤백 처리

장애대응 기능

감사

보고서


구축 사례

  • 성공 및 참고 구축 사례

  • 구축 실적(최근 1년)


참고 사례(G-대민 서비스)

1. 성공 및 참고 구축 사례

성공 사례(S-사)

성능적 이슈

안정적 운영

직원(국외)

직원(국내)

대국민

공무원

  • 서비스 성능, 자원 점유 확대 등에 따른 원하는 범위 적용 불가

  • 사용량이 미미한 필드 일부 암호화 적용(2개 필드)

  • 50개 테이블, 2천 5백 만건

  • 초당 60건 트랜잭션 서비스

  • 암호화 성능 테스트 : 300건(초당)

성능 저하

발생

개인정보

DB(암호정보)

SPIN DB 보안

DB 보안 Plug-In

암호화 DB

Application

Application

  • 대용량 서비스 및 OLTP, Batch, 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움

  • Business Logic 업무(Batch, Join, 통계등)에차별화된 성능이 보장되는 DB암호화 기술 필요

  • 대용량 서비스 및 OLTP, Batch, 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장

  • 개인신상정보, 계좌정보, 카드 정보 등 민간 정보에 대한 논리적, 물리적 Zone 분리 및 접근통제로 보안 수준 향상


대학 및 일반기업 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인

공공 기관

금융 및 통신

2. 구축 실적(최근 1년)

*위의 사이트 포함 약 150여개 사이트 DB암호화 솔루션 납품 및 구축


알비소프트 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 주식회사

서울시 광진구 능동 237-1 동성빌딩 403호

TEL : 070-4213-8579, FAX : 02-455-8579

http://www.rbsoft.co.kr

영업대표 : 조용오이사(010-9280-8579, [email protected])


ad