slide1
Download
Skip this Video
Download Presentation
주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안

Loading in 2 Seconds...

play fullscreen
1 / 26

주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안 - PowerPoint PPT Presentation


  • 454 Views
  • Uploaded on

주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안. 주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안. 제안 솔루션 소개. 케이사인 솔루션 소개 DB 암호화 [ Plug In] 구성방식 일반적인 DB 암호화 구축 방안. 4 . 암호화 구축방식별 비교 5 . 암호 키 관리 기능 6 . 접근제어 및 감사 기능 7 . DB 통합 관리 기능 8 . 감사 및 장애 복구 기능. KSignSecure DB 주요 기능.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안' - chelsa


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
주요 데이터보안을 위한

KSignSecure DB 암호화 솔루션 제안

주요 데이터보안을 위한

KSignSecure DB 암호화 솔루션 제안

slide2
제안 솔루션 소개
  • 케이사인 솔루션 소개
  • DB 암호화 [Plug In] 구성방식
  • 일반적인 DB암호화 구축 방안

4. 암호화 구축방식별 비교

5. 암호 키 관리 기능

6. 접근제어 및 감사 기능

7. DB 통합 관리 기능

8. 감사 및 장애 복구 기능

slide3
KSignSecure DB 주요 기능

KSign Secure DB 소개

KsignSecureDB 제품 개요

KsignSecureDB 제품 특장점

감사로그 및 모니터링

암호화기능

접근통제 기능

감사

기록

접근

통제

필드

암호화

검증된

보안 기능

1. KSignSecure DB 솔루션 소개

KSignSecure DB

제품명

데이터 타입

  • 다양한 데이터 타입의 암호화 지원

㈜케이사인

제조사

암호알고리즘

  • 다양한 암호알고리즘 제공(SEED, TDES, AES, ARIA,Hash 등)
  • DBMS 정보 선택적 암호화,User 별 인증 및 접근 통제
  • DBMS 운영 관리자와 DB 보안 관리자 역할 분리를 통한 DBMS 관리 보안 강화
  • 분산 환경의 다 중의 DBMS 시스템 중앙 보안 관리
  • GUI 기반의 다양한 통계, 모니터링 기능.
  • 관리콘솔을 통한 암복호화 수행

암호화 편리성

제품개요

  • 선택적인 initialization Vector 적용 가능

안정성

  • 보안 관리자에 의해 선택된 특정 필드에 대한 암호화 수행
  • 응용 시스템 독립적인 암/복호화 절차 수행(별도의 연동 작업이 필요하지 않음)

접근통제

  • 암호화, 비암호화 데이터에 대한 접근제어
  • 보안 관리자에 의한 개발자, 사용자, 관리자(DBA 포함)에 대한 역할 부여 및 RBAC 기반의 접근 통제
  • DBMS 독립 모듈(Secure DB Agent)을 통한 자원 접근 통제
  • RBAC 기반의 편리한 접근제어 정책 설정

사용자 권한관리

APP접근통제

  • DB 사용자 이외에 IP/응용프로그램/시간대 별 세부 접근제어 제공
  • GUI 기반의 DBMS 접근 및 서비스 관련 Event에 대한 다양한 통계 그래프 출력 등 보안 관리자 중심의 관리 툴 제공

감사추적관리

  • 감사로그에 대한 주기적인 자동 백업 기능, 통계기능
  • 국가정보원 보안적합성 검증필 및 암호모듈검증 모듈 탑재
  • GS(Good Software)마크 획득, 행정정보보호용 인증 제품
  • 인덱스 암호화, 암호키관리 및 접근통제 기법 기술 특허 제품

보고서 기능

  • 암복호화 모니터링 및 수행내역 리포팅 기능
slide4
KSignSecure DB 시스템 구성은 다음과 같습니다.

2. DB암호화 시스템 구성[Plug In 방식]

주요 인증획득 현황

GUI기반 관리콘솔

slide5
Ksign Secure DB 설치정보는 다음과 같이 구성되어 있습니다.

2 .1 DB암호화 시스템 구성 상세설명[Plug In 기준]

DB 서버

보안관리자 PC

Admin

Server

TCP

9002

TCP

9001

보안정책설정

보안정책관리

Agent

USER (뷰)

감사기록통계

암호화 키 관리

TCP

7070

암호화 적용

초기 암호화

USER (테이블)

TCP

9003

SDB_USER (테이블)

Policy

DB

응용프로그램

암호화 테이블

extproc

Agent

Package

데이터 암/복호화

접근통제

감사기록

view

Client Tool

slide6
Plug In 방식의 암호화 적용 시 DBMS 스키마 구조 변경

2.2 Plug In방식 암호화 적용 시 DB구조 변경

암호화전

Table : EMP

Unique Index

암호화후

View : EMP

Unique Index

Table : SDB_EMP

Advanced Index

slide7
Secure DB 암호화 구축 시 Plug In & API방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암·복호화 기능을 구현하겠습니다.

Hybrid 구축 적용

Plug-in 방식

API 방식

통합DB시스템

단점

장점

단점

장점

Hybrid

방식

관리자

사용자

암호화 테이블

Hybrid방식 구성방안

Secure API

Secure Agent

  • 대량수정
  • 인덱스 성능감소
  • 수정최소
  • 인덱스 성능향상
  • DB부하
  • 속도감소
  • 부하분산
  • DB속도증가

3. 일반적인 DB암호화 구축 방안

2.1 시스템 구성도

장 점

  • 성능 최적화
  • - DB에 대한 부하를
  • WAS로 분산
  • - 암호화 컬럼에 대한
  • 인덱스적용

API와 Plug-in의

장점만 수용

DBMS

WAS

Veiw

부하 낮은 쿼리

부하 높은 쿼리

slide8
KSignSecureDB는 Secure DB는 Plug In & API방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암·복호화 기능을 구현합니다.

Index 체계

Index 체계

DB암호화 성능확보 방안

사용자

Veiw

영향 받는 주요 인덱스

함수기반 인덱스 사용

5~ 10% 이내 달성

Secure Agent

```

3.1 DB암호화 성능 확보방안

2.1 시스템 구성도

암호화 전

DBMS

일반 Query

  • 효율적 업무설계 및 인덱스 접근성 높음
  • 액세스 범위를 줄여 성능 향상

Secure Index

암호화된 컬럼으로 Query 변경

인덱스 컬럼 암·복호화로

인한 성능 저하 발생가능

암호화 후

Example

DB 암·복호화

성능 목표치 달성

일반적인 DBMS

성능 저하 요인

  • 성능에 중요한 인덱스 (주요키, 외부키)를 액세스 하지 못함
  • 조건 절에 포함되어도 테이블 전체 스캔
  • 쿼리 수정이 없는 데이터 암·복호화에 대해서는 약 15% 정도의 DBMS 부하 발생
  • 쿼리 수정이 발생하는 데이터 암·복호화에 대해서는 약 12% 정도의 DBMS 부하 발생
  • 인덱스 구간 Searching 기능 지원
  • 수정이 필요한 특정 쿼리에 대한 부하는 WAS로 분산
slide9
암호화 데이터 쿼리 튜닝

쿼리 튜닝을 통한 응답지연현상 해소

2

1

사용자

사용자

응답지연 쿼리 성능향상 방안

암호화 대상 업무 분석

DB암·복호화 적용 전ㆍ후 성능치

예시

예시

Secure API

Secure Agent

3.2 DB암호화 성능 확보방안

시사점

2.1 시스템 구성도

적용 전 (전체 응답시간 : 5초 가정)

응답지연 쿼리 발생 가능

DBMS

WAS

80%

20%

Example

1초

4초

응답이 지연 될 경우

전체 업무에 영향

강원랜드

성능관리 및 집중튜닝 대상

적용 후 (전체 응답시간 : 5초 가정)

응답지연 쿼리

DBMS

WAS

응답시간

80%+(15~20%)

20%

암호화 후

  • 업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20% 지연가능성이 있음
  • 컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재

1초

4초±0.8

암호화 전

20% 이내

5~10% 이내

자사 성능 전문가 투입

BATCH

Rows

체계적인 성능 관리

OLTP

slide10
최적화된 시스템 분석을 위해서는, 시스템의 서비스 특징 및 시스템의 주요 부하(LOAD) 유형을 면밀히 조사해야 합니다. 시스템 부하(LOAD) 유형에는 On-Line 서비스/Batch/File Batch/원격 I/F /기타로 나뉠 수 있습니다.

시스템 별 업무 유형 분석 방안

암호화 대상

1

3.3 성능보장 핵심방안_사전환경분석_핵심 1

1

On-Line 서비스 비중(%)

실무자

2

통합

전산시스템

Batch 비중(%)

3

File Batch 비중(%)

시스템 별/업무 별/APP 별

업무 처리 유형(On-Line/Batch/

File Batch/원격 I/F /기타)에

대한 서비스 부하 조사

4

홈페이지

원격 I/F 비중(%)

5

기타 비중(%)

SQL

SQL

SQL

SQL

+

slide11
업무 유형별 SQL 분석과 함께, 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL을 추출하고, 개별 SQL의 수행 비용 및 실행 계획을 기록하여, 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면, 누락 SQL에 대한 보완 작업을 진행 합니다.

업무 SQL 모니터링 분석 방안

암호화 대상

1

3

2

100

80

60

40

20

0

1분

3분

3.3 성능보장 핵심방안_사전환경분석_핵심 2

암호화 대상 칼럼을 참조하는 SQL들을 AP별로 분류하고, 다시 이를 CRUD 별로 세분화 한다.

암호화 대상 운영 DB에 대한 모니터링

시간 대 : 오전/오후/저녁/새벽

업무 프로그램 별 SQL 및 실행 계획/ SQL 비용 조사

조합

[AP 별 SQL 부하 조사]

고객

검사사용자

홈페이지

고객

등록정보

업무

종사자

협력사

종사자

최적화 튜닝 전략 수립

SQL 유형

+

+

암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련

[서버 별 자원 사용 현황 조사]

[암호화 대상 테이블 SQL]

처리 유형

[튜닝 전략]

SQL

SQL

SQL

SQL

(성능 이슈)Full Scan 및 Bind 변수 미 처리 SQL은

별도 분류하여고객 사에 조치 요청

서비스 종속성

slide12
사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면, 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및 시험일정을 수립 합니다.

시스템 별 I/F 종속성 분석 방안

암호화 대상

1

7

2

5

1

2

4

3

3

8

4

6

3.3 성능보장 핵심방안_사전환경분석_핵심 3

50%

포탈

+

통합DB

콜센터

20%

SMS

10%

20%

기타

실무자 및 DB 모니터링(MACHINE/AP 별 SQL)을 통해서 얻은 정보와 네트워크 모니터링을 통해서, 시스템 별 업무 종속성을 면밀히 파악 합니다.

[시스템간 네트워크 접속 IP 확인]

고객

검사사용자

[시스템에 대한 AP별 부하 확인]

홈페이지

고객

등록정보

업무

종사자

협력사

종사자

통합

로그인

실무자

조합

agent

[업무 시스템 ERD]

첫 화면

제공

고용보험

직업 훈련

화면 제공

최적화된 시험 환경 구성

시험 일정 수립

+

암호화

인증서

발행

(PKI)

SSO

agent

연동 대상

시스템

SSO

Server

로그인

고용관리

워크 넷

* ER모델

주문

주문 번호

암호화

인증서

확인

주문일자

주문상태

[시스템 간 업무 종속 성 파악]

[시스템간 서비스 종속 관련 암호화 대상 테이블 파악]

주문/ ITEM BACKORDERED

[최적화 된 DB 암호화 시험 일정]

자동 적용

수량

고객

고객 번호

Oracle SSO

Server

고객명

주문/ ITEM SHIPPED

고객 거주지

수량

우편번호

선적일자

고객상태

고객주소

고객전화번호

ITEM

고객FAX번호

ITEM 번호

수량

ITEM명

slide13
사전 환경 조사 내용을 기준으로, 환경 구성 복잡도(Simple -> Complex), 업무 종속성(종속성 없는 것 -> 종속성 깊은 것), 성능 이슈(낮은 것 -> 높은 것)등을 고려하여, 환경 구성 유형을 분류합니다

암호화 적용 후 성능 테스트 환경구성 방안

1

3.3 성능보장 핵심방안_테스트 환경구성 방안

시험 환경

구성 고려사항

  • 운영과 동일한 OS Parameter 설정
  • 운영과 동일한 DB Parameter 설정
  • 운영과 동일한 데이터 환경 구성
  • 운영과 유사한 I/F 환경 구성
slide14
성능이슈 요건 및 단 기간내(1.5개월) 암호화 구축을 위해서는, 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고, 이는 On-Line 서비스/Batch/File Batch/원격 I/F /기타로 나뉘어 수행 됩니다.

암호화 적용 후 성능 테스트 환경구성 방안

3.3 성능보장 핵심방안_테스트 환경구성 방안

slide15
시스템 별, 업무 유형 별 AP(SQL 포함) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데, 이에 대한 모니터링 기준으로는, (암호화 전 <->암호화 이후)CPU/수행시간/Logical IO/Physical IO 값을 기준으로 성능 이슈 SQL을 추출하여 분석 합니다.

암호화 적용 후 성능 시험 모니터링 방안

3.3 성능보장 핵심방안_성능 모니터링 방안

105% 근사한 성능 목표치 달성 후 작업 절차서 작성

DB 암호화 작업 수행 후 모니터링을 통해서 이상 비용 AP(SQL 포함)는

최적화 수행해야 합니다.

운영 반영

slide17
DBMS암호화 제품 형태별 장단점 비교

4.1 DB암호화 구축 방식별 비교

slide18
DB보안(암호화) 적용 방식별 세부 기능 비교표

4.2 DB암호화 구축 방식별 상세 기능 비교표

slide19
DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다.

암호 키 보안 관리 방안

5. 암호 키 관리 기능

암호 키 백업 관리 방안

Policy Server(KMS)

DBMS 보안 Agent

Load Cert[Agent]

Gen Random M_Key

수신 정보 저장

Gen Random C_Key

키 노출 위험 제거

수신 정보 저장

암호화 되어 백업된 암호화 키

C_Key이용

암호 키 파괴, 장애 복구 대응

세션 종료 후 삭제

slide20
자원(Table, Column 등)에 대한 IP, 응용, 시간등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다.

RABC기반의 접근제어

6. 접근제어 및 감사기록 관리 기능

다양한 환경의 접근 제어 기능

SCOTT

SYSMAN

“일반 사원”Role할당

“인사관리”Role 할당

조회

권한

조회/추가

수정/삭제

권한

개인정보

DB(암호정보)

  • 통합 관리 툴을 이용한 역할에 대해 특정 자원(TABLE 등)에 대해 오퍼레이션 권한(INSERT, UPDATE, DELETE, SELECT)을 정의를 통한 접근 권한 정책 설정
  • 각 직무 또는 비즈니스 단위로 ROLE(권한)을 식별
  • DB 계정 외 IP 주소별, 접근 프로그램, 접근 시간 등에 대한 자원 접근 통제 기능
slide21
분산 DBMS에 대한 암호 대상 설정, 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다.

7. DB 통합 관리 기능

구성 특징

전용 관리 툴

감사 기록 관리

분산 DB 통합 관리 기능

  • 분산 DBMS 시스템에 대한 통합 관리
  • DBMS/Table/Column 별 암호 키 관리 등 정책 관리

다양한 조건 별 접근 통제

[DB 보안관리자]

  • 시간 별, IP 별, Application 별 접근 통제
  • DBMS, Table, Column, 역할별 접근 통제,

통합 관리

접근 통제

Plug-In(Filter)

감사기록 생성, 관리 기능

  • IP, 역할, 시간등 다양한 조건별 감사기록 조회 관리
  • 서비스 내역, 관리자 운영 관리 내역에 대한 감사기록 생성

DBMS

DBMS

DBMS

[DBMS]

[Policy Server]

slide22
암호화 적용 및 접근통제 대상이 되는 Object(테이블)을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공

Agent

Agent

DB 접근에 대한 감사 및 리포팅 기능

8. 감사 관리 및 장애 복구 기능

장애처리서비스

DB 보안 센터

Secure DB

Server

서버 or 네트워크 장애

초기 암호화 장애 시

1

2

회계 DB

인사 DB

  • 오퍼레이션 내역(SELECT, INSERT, UPDATE, DELETE)기록
  • 접근 테이블, DB 계정, IP, 접근 프로그램, 접근 OS 계정, 수행쿼리 등의 세션 정보 기록
  • 다양한 조건 별 통계 보고서 및 그래프 기능 제공
  • DB 서버 장애 시 DB Agent는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
  • 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent에서 자동으로 처리내용 롤백 처리

장애대응 기능

감사

보고서

slide23
구축 사례
  • 성공 및 참고 구축 사례
  • 구축 실적(최근 1년)
slide24
성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시

참고 사례(G-대민 서비스)

1. 성공 및 참고 구축 사례

성공 사례(S-사)

성능적 이슈

안정적 운영

직원(국외)

직원(국내)

대국민

공무원

  • 서비스 성능, 자원 점유 확대 등에 따른 원하는 범위 적용 불가
  • 사용량이 미미한 필드 일부 암호화 적용(2개 필드)
  • 50개 테이블, 2천 5백 만건
  • 초당 60건 트랜잭션 서비스
  • 암호화 성능 테스트 : 300건(초당)

성능 저하

발생

개인정보

DB(암호정보)

SPIN DB 보안

DB 보안 Plug-In

암호화 DB

Application

Application

  • 대용량 서비스 및 OLTP, Batch, 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
  • Business Logic 업무(Batch, Join, 통계등)에차별화된 성능이 보장되는 DB암호화 기술 필요
  • 대용량 서비스 및 OLTP, Batch, 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
  • 개인신상정보, 계좌정보, 카드 정보 등 민간 정보에 대한 논리적, 물리적 Zone 분리 및 접근통제로 보안 수준 향상
slide25
대학 및 일반기업

공공 기관

금융 및 통신

2. 구축 실적(최근 1년)

*위의 사이트 포함 약 150여개 사이트 DB암호화 솔루션 납품 및 구축

slide26
알비소프트 주식회사

서울시 광진구 능동 237-1 동성빌딩 403호

TEL : 070-4213-8579, FAX : 02-455-8579

http://www.rbsoft.co.kr

영업대표 : 조용오이사(010-9280-8579, [email protected])

ad