>운영 및 유지보수 >안전 >클라우드 데이터베이스를 암호화할 때 어떤 문제에 주의해야 합니까?

클라우드 데이터베이스를 암호화할 때 어떤 문제에 주의해야 합니까?

WBOY
WBOY앞으로
2023-05-30 14:59:191648검색

클라우드 데이터베이스 암호화

***고려해야 할 한 가지는 데이터를 암호화해야 한다는 것입니다. 모든 데이터베이스에는 제한된 액세스 기능이 있습니다. 일부 적절한 구현은 데이터 기밀성을 보호하기에 충분합니다.

데이터베이스에 저장된 데이터를 보호하기 위해 암호화가 필요한 다른 요소는 다음과 같습니다. 법률 및 규정을 준수하기 위해 데이터베이스의 권한 있는 사용자(예: 데이터베이스 관리자)에게 데이터를 숨기므로 데이터 소유자는 계정을 통해 데이터에 대한 액세스를 제어할 수 없습니다. (공유 계정을 사용하는 경우)

클라우드 데이터베이스, 특히 데이터베이스를 사용하는 SaaS 솔루션을 사용하는 경우 데이터베이스의 일반적인 기능이 저하되어 암호문에서 작동할 수 없는 경우 데이터베이스 또는 클라우드 애플리케이션이 키에 액세스해야 합니다.

데이터 암호화는 복잡성과 성능 비용을 초래합니다. 암호화 외에도 몇 가지 효과적인 방법이 있습니다.

◆객체 보안을 사용하세요. 이 데이터에 대한 계정 액세스를 제한하려면 SQL 승인 및 취소 문을 사용하세요. 액세스는 승인된 사용자에게만 허용되며 해당 계정 내에서 엄격하게 통제되어야 합니다.

◆ 안전한 해시를 저장하세요. 데이터를 직접 저장하는 대신 이 데이터의 해시를 저장하면 기업의 프로그램은 실제로 데이터를 저장하지 않고도 보유자가 올바른 값을 가지고 있음을 증명할 수 있습니다.

키 관리

퍼블릭 클라우드 컴퓨팅에서 매우 어려운 프로세스는 키 관리입니다. 퍼블릭 클라우드의 다중 테넌트 모델에서는 실행되는 프로세스가 주요 관리 문제를 고려하게 됩니다.

간단한 적용 사례는 퍼블릭 클라우드에서 애플리케이션이 실행될 때 암호화된 데이터가 기업 내에서 퍼블릭 클라우드로 전송되고, 키는 기업 내에서만 사용된다는 것입니다. 일부 암호화 엔진은 데이터가 나갈 때 데이터를 암호화하고 들어올 때 해독할 수 있습니다. 퍼블릭 클라우드의 다른 프로세스(예: 일괄 처리)에서 데이터를 해독하기 위해 키에 액세스해야 하는 경우 키를 사용하는 애플리케이션이 복잡해집니다.

기업에서는 사용자가 기업 전체가 사용할 수 있는 공유 키를 사용하는 대신 사용자가 자신만의 독립적인 키를 가져야 합니다. 개체의 신원 정보를 기반으로 하는 암호화 엔진을 사용하여 구현할 수 있는 각 사용자 또는 개체에 키를 할당(또는 관리)하는 것이 문제를 해결하는 가장 간단한 방법입니다. 이러한 방식으로 한 엔터티에 대해 특별히 암호화된 모든 정보는 해당 엔터티에 의해 유지됩니다. 그룹 내의 엔터티가 데이터를 공유해야 하는 경우 그룹 액세스를 관리하는 애플리케이션에 그룹 수준 키를 할당하고 그룹 내 엔터티 간에 공유되는 키를 할당할 수 있습니다. 이 섹션 앞부분에서 설명한 대로 키는 기업 내에서 관리되어야 합니다.

데이터가 퍼블릭 클라우드 환경에 저장되는 경우 이 환경을 비활성화할 때 복사와 같은 기타 미디어를 포함하여 모든 데이터(특히 PII 또는 SPI 데이터 또는 법률 및 규정이 적용되는 데이터)가 퍼블릭 클라우드 환경에서 삭제되었음을 증명하십시오. 로컬 키 관리를 유지하면 퍼블릭 클라우드에 남아 있는 모든 데이터를 해독할 수 없도록 키 관리 시스템에서 키를 취소(또는 삭제 또는 분실)할 수 있어 이러한 보증이 제공됩니다.

클라우드 서비스 제공업체와 사용자에게 효과적인 키 관리 프로세스가 부족한 경우 데이터 암호화는 큰 가치가 없습니다. 서비스 제공자 측에서는 암호화된 데이터를 보관하는 서버와 키 액세스에 대한 책임 분리 부족, 개인 키에 액세스할 수 있는 데이터베이스 관리자 또는 단일 키에 의존하는 데이터베이스 서비스 아키텍처 등을 우려합니다.

키 암호화 키를 사용하고, 메모리에 암호화 키를 생성하고, 키 서버에만 암호화 키를 저장하는 것은 키 자체를 제어하고 보호하기 위한 효과적인 아키텍처 솔루션입니다. 솔루션을 구축할 때 이러한 사항을 고려해야 합니다. 클라이언트 측 키 관리, 본질적으로 안전하지 않은 장치(예: 모바일 단말기)의 키를 보호하거나 장치가 동일한 수준의 제어를 받지 못하는 경우 모두 고려해야 할 요소입니다.

실제 구체적인 제안

엔터프라이즈 애플리케이션의 구체적인 실습에서 다음과 같은 몇 가지 유용한 제안을 따를 수 있습니다.

◆모든 형태의 암호화 또는 복호화 제품을 사용할 때 최상의 키 관리 조치를 적용하세요.

◆ 가능하면 신뢰할 수 있는 소스에서 쉽게 구할 수 있는 기술을 사용하여 모범 사례를 확보해야 합니다.

◆최고의 키 관리 방식을 사용하고 암호화, 암호 해독 및 서명을 위한 기술과 제품을 확보하고 신뢰할 수 있는 소스에서 확인합니다. 특히 조직은 자체 키를 유지하거나 그러한 서비스를 이미 운영하고 있는 신뢰할 수 있는 암호화 서비스를 사용하는 것이 좋습니다.

◆ 조직이 분석을 실행하거나 기타 처리를 위해 클라우드에 저장된 데이터를 사용해야 하는 경우 다음을 기반으로 개발해야 합니다. 클라우드의 데이터 소스에서 데이터를 내보내는 Hadoop과 같은 플랫폼

◆주요 관할권은 개인 또는 집단 수준에서 유지 관리될 수 있습니다.

◆기본 제공되는 기술을 사용하여 집단 액세스 관리를 수행할 수 있습니다. DRM 시스템 또는 데스크탑이나 노트북에서 실행되어 하드 드라이브, 파일 및 이메일 메시지를 암호화하는 기타 소프트웨어

◆우수 사례를 유지하고 감사를 통과하려면 기업은 자체 비밀번호 키를 관리하거나 신뢰할 수 있는 서비스를 사용해야 합니다.

◆DRM 및 하드 디스크 암호화 제품과 같은 기존 암호화 기술에 사용되는 키는 키 저장 기술을 사용하여 기업 내에서 중앙에서 관리되어야 합니다. 하드웨어 보안 변조를 사용하여 키를 저장하고 암호화와 같은 암호화 작업을 처리해야 합니다. 암호 해독, 서명 및 수정;

◆기업 사용자는 필요에 따라 암호화/암호 해독 키에 액세스할 수 있는 콘텐츠 인식 또는 형식 보존 암호화 시스템과 같은 기업 내 암호화 작업 및 기타 처리를 활성화하기 위해 등록 단계를 거쳐야 합니다.

◆모든 구성 요소는 ID를 기반으로 합니다. 인증, 회사 시스템에 기술 배포를 통합하고 처리 과정에서 승인 결정을 내립니다. 번들 암호화 작업을 사용하여 암호화 및 암호 해독 프로세스를 위한 키를 관리합니다.

◆ 가능하면 E-DRM 또는 데이터 유출 방지( DLP) );

◆암호화 작업 및 키 관리를 회사의 신원 인증 시스템에 번들로 묶어 조직이 이미 이해, 감사 또는 테스트한 기술을 통합하고 사용할 수 있는 최대의 유연성을 제공합니다.

◆또한 클라우드 데이터베이스 암호화에 대해서는 다음과 같은 실용적인 제안을 참조할 수 있습니다.

◆표준 알고리즘을 사용합니다. 독점적인 비표준 기술을 사용하지 마십시오. 독점적인 암호화 알고리즘은 입증되지 않았으며 쉽게 깨질 수 있습니다.

◆ 데이터 암호화 표준(DES)과 같은 안전하지 않은 오래된 암호화 표준을 사용하지 마세요.

◆ 객체 보안을 사용하세요. 암호화된 경우에도 항상 기본 개체 보안(SQL 허용 및 무효화 선언 포함)을 사용하여 데이터에 대한 액세스를 방지해야 합니다.

◆ 기본 키나 인덱스 열을 암호화하지 마세요. 기본 키를 암호화하면 참조되는 모든 외래 키도 암호화되어야 합니다. 기업이 과거에 암호화된 값을 사용했고 현재는 인덱스 열을 암호화하면 데이터 쿼리가 느려질 것입니다.

◆열 방식을 사용하여 암호화합니다(빅데이터 시스템에서는 이 방법을 사용하기 때문입니다).

위 내용은 클라우드 데이터베이스를 암호화할 때 어떤 문제에 주의해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 yisu.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제