저장 데이터 암호화하는 것은 엔터프라이즈 서버의 사이버 보안에 중요한 요소입니다. 투명 데이터 암호화(TDE)는 데이터베이스 벤더가 파일 수준에서 데이터를 암호화하는 데 사용하는 기술입니다. TDE는 드라이브를 도난당하거나 공격자가 침해된 서버에서 파일을 유출할 때 물리적 도난 시 데이터를 보호합니다. 이는 데이터 보호 전략에서 추가된 보안 계층입니다.
TDE란?
TDE는 데이터베이스를 위한 파일 수준 암호화의 한 형태입니다. 데이터베이스 시스템은 대칭 키를 저장하고, 드라이브에 기록될 때 데이터를 암호화하고, 데이터가 검색될 때 이를 해독하는 데 사용합니다. 또한 TDE는 데이터베이스 서버에서 이루어진 백업 및 추적 트랜잭션에 사용되는 로그 파일을 암호화합니다.
저장되어 있는 데이터를 암호화할 때, 이는 파일이 저장되기 전에 암호화되고 시스템이 파일을 검색할 때 투명하게 해독된다는 것을 의미합니다. TDE는 저장 데이터만 보호하므로 관리자는 전송 중인 데이터도 암호화해야 합니다. 즉, 데이터베이스에서 다른 위치로 전송되는 데이터는 TDE 구성과 독립적으로 암호화되어야 합니다. 파일을 도난당하면 대칭 키에 대한 액세스 없이 공격자가 사용할 수 없으므로 TDE는 고급 사이버 보안 및 데이터 보호를 위한 실행 가능한 전략입니다.
SQL에서 TDE란?
Microsoft는 엔터프라이즈 데이터를 보호하기 위해 TDE를 통합하는 데이터베이스 개발자입니다. Microsoft SQL Server가 TDE와 작동하도록 구성하면 데이터베이스가 인증서를 생성하고 마스터 데이터베이스에 저장합니다. 인증서는 대칭 키를 암호화하는 데 사용되며, 디스크에 저장되거나 메모리에 검색 및 저장된 데이터를 암호화하는 데 사용되어 유출 시 읽을 수 없게 됩니다.
데이터 암호화 및 암호 해독의 전체 프로세스는 데이터베이스 쿼리를 처리하는 관리자와 사용자에게 투명합니다. TDE는 스토리지 및 검색 워크플로우의 추가 암호화 단계에서도 성능에 영향을 미치지 않습니다. 대칭 키 암호화는 일반적으로 빠르며 성능이나 생산성에 지장을 주지 않습니다.
아마존과 같은 벤더는 Elastic Block Store (EBS)를 사용합니다. EBS는 파일 레벨이 아닌 블록으로 데이터를 암호화합니다. 데이터는 저장 및 검색 시 암호화되지만, 데이터 파일은 암호화되지 않습니다. 보안의 차이점은 파일 수준의 암호화가 물리적 도난으로부터 보호한다는 점입니다. 침해된 시스템에서 파일이 유출되면, TDE는 파일을 암호화하여 공격자가 사용할 수 없게 만듭니다.
인기 있는 DBMS에서 TDE의 예
Microsoft는 SQL Server 데이터베이스 제품에 TDE를 사용하지만, TDE는 다른 공급업체 데이터베이스 애플리케이션에도 통합됩니다. IBM은 Db2 데이터베이스 소프트웨어에서 TDE를 사용합니다. Oracle은 또한 TDE를 10g 및 11g 데이터베이스 애플리케이션의 고급 보안 옵션으로 사용합니다. 세 벤더 모두 관리자가 TDE를 사용하기 전에 활성화하고 구성해야 합니다.
MySQL은 TDE도 포함합니다. MySQL의 TDE는 Microsoft SQL Server의 TDE와 유사하게 작동합니다. 2단계 암호화 프로세스는 대칭 키를 암호화하는 데 사용되는 공개 및 비공개 비대칭 키를 생성합니다. 대칭 키는 데이터가 저장 및 검색될 때 데이터를 암호화하고 해독합니다. 마스터 암호화 키는 관리자와 데이터베이스 시스템만 액세스할 수 있는 저장소에 저장됩니다.
TDE 사용의 이점
저장된 데이터는 기기에 저장된 모든 정보입니다. 이는 전송 중인 데이터의 형태와는 반대로, 한 장치에서 다른 장치로 전송된 데이터 또는 다른 위치로 이동된 데이터를 설명합니다. 저장 데이터는 전송 중인 데이터와 다르기 때문에 데이터 보호 및 사이버 보안을 위한 자체 전략이 필요합니다.
일부 규정 준수 규정은 저장 데이터 암호화하도록 요구합니다. HIPAA(Health Insurance Portability and Accountability Act)가 좋은 예입니다. HIPAA는 특히 환자 정보를 저장하는 서버와 워크스테이션에서 저장 데이터 보호하기 위해 엄격한 규정을 적용합니다. 인프라가 업계 및 결제 워크플로우를 감독하는 규제 표준을 준수하는지 항상 확인하십시오.
Microsoft는 TDE를 SQL Server 데이터베이스 엔진과 원활하게 통합합니다. 사용자와 관리자는 운영성, 성능 또는 SQL Server가 쿼리에 응답하는 방식에 차이가 없음을 인지합니다. 관리자는 백업 파일을 수동으로 암호화하지 않고도 파일을 백업 위치로 이동하여 규정 준수 및 데이터 보호 모범 사례를 따를 수 있습니다.
TDE를 사용하지 않는 단점 또는 이유
모든 암호화 워크플로우는 환경에 복잡성을 추가하므로, 일부 관리자는 이를 사용하는 것을 주저할 수 있습니다. TDE는 엔터프라이즈 쿼리를 처리하기 위한 하드웨어가 있는 최신 서버의 성능을 방해하지 않지만, 구형 하드웨어의 쿼리 성능을 방해할 수 있습니다. 또한 암호화된 데이터는 추가적인 스토리지 용량을 필요로 하며, 기업이 더 많은 데이터를 확보함에 따라 스토리지 용량을 확장해야 합니다.
TDE는 디스크에 저장된 전체 파일을 암호화하므로 관리자는 셀 수준 또는 열 수준 암호화를 세부적으로 제어할 수 없습니다. 모든 디스크 I/O 활동은 암호화되어 SQL Server 데이터베이스의 “전체 또는 아무것도”하지 않습니다. SQL Server는 또한 셀 수준 또는 열 수준 암호화를 제공하여 관리자가 특정 필드 및 정보를 보다 세부적으로 암호화할 수 있도록 지원합니다.
FlashArray ™는 성능을 저하시키지 않는 사용이 간편한 AES-256 표준 저장 데이터 암호화를 제공합니다. 자세한 내용은 이 백서를 참조하세요. >>
결론
암호화는 특히 클라우드에서 데이터를 호스팅할 때 데이터 보호에 매우 중요합니다. 관리자는 SQL Server 데이터베이스를 수동으로 구성하여 파일을 암호화할 수 있습니다. 이러한 파일의 백업 및 로그는 TDE가 활성화되면 자동으로 암호화됩니다. 데이터베이스의 준수를 감독하는 경우, TDE는 민감한 데이터의 파일 수준 암호화를 요구하는 일반적인 규정을 준수합니다.
스토리지 레이어가 SQL 성능을 저해하고 있나요? 퓨어스토리지의 올플래시 스토리지 솔루션으로 SQL Server 구축 성능을 가속화하세요.