데이터유출방지를위한 암호화구축성공사례 ·...
TRANSCRIPT
www.thalesesecurity.com
데이터유출방지를위한
암호화구축성공사례
2018. 10. 25
탈레스이시큐리티 구병춘부장
2 www.thalesesecurity.com
Agenda
▌한국암호화동향
- 2018 한국암호화동향보고서
- 2018 탈레스데이터위협보고서
▌ Thales e-Security
▌개인정보보호발전방안
- 효과적인데이터보안향상방안
- 암호화구축사례
3 www.thalesesecurity.com
Agenda
▌한국암호화동향
- 2018 한국암호화동향보고서
- 2018 탈레스데이터위협보고서
▌ Thales e-Security
▌개인정보보호발전방안
- 효과적인데이터보안향상방안
- 암호화구축사례
4 www.thalesesecurity.com
2018 한국암호화동향보고서
12개국 5,200명의 IT 직원을대상으로설문조사한국, 미국, 영국, 일본, 독일, 프랑스, 러시아, 인도, 멕시코, 브라질, 호주, 아라비아
▌국내보안담당자 317명을대상으로조사
This presentation contains the findings of a survey completed by over 5,200
IT and IT security practitioners in the following 12 countries: Arabia, Australia,
Brazil, France, Germany, India, Japan, Korea, Mexico, the Russian
Federation, the United Kingdom, and the United States.
The research examines how the use of encryption has evolved over the
past 13 years, and the impact of it on the security posture of organizations in
the face of today’s most pressing data protection challenges.
5 www.thalesesecurity.com
2018 한국암호화동향보고서
▌암호화적용의꾸준한증가
Steady rise over 13 years
Motivation is multi-pronged
Data proliferation brings
new challenges
Siloed approach causes pain
43% of organizations now have a
consistent, enterprise-wide
encryption strategy
67%Germany
56%USA
45%Japan
45%UK
6 www.thalesesecurity.com
2018 한국암호화동향보고서
▌산업별현황
Steady increase across all sectors
Heavily regulated industries lead
the way
Heightened sensitivity for
personal information
IP protection and safety are
also factors
7 www.thalesesecurity.com
2018 한국암호화동향보고서
▌민감데이터에대한위협
8 www.thalesesecurity.com
2018 한국암호화동향보고서
▌암호화의동인
9 www.thalesesecurity.com
2018 한국암호화동향보고서
▌암호화적용시필요로하는기능의중요성
10 www.thalesesecurity.com
2018 한국암호화동향보고서
▌암호화적용을어렵게하는도전과제
11 www.thalesesecurity.com
2018 한국암호화동향보고서
▌클라우드도입의증가 - 멀티클라우드
12 www.thalesesecurity.com
2018 한국암호화동향보고서
▌멀티클라우드환경에서의통제
13 www.thalesesecurity.com
2018 한국암호화동향보고서
▌키관리의문제 –여전히어려운클라우드환경에서의키관리
14 www.thalesesecurity.com
2018 한국암호화동향보고서
▌키관리를위한 HSM 의효용성
15 www.thalesesecurity.com
2018 탈레스데이터위협보고서
95%는민감데이터에디지털트랜스포메이션기술사용
(클라우드, 빅데이터, IoT, 컨테이너, 블록체인, 모바일 결제)
99%빅 데이터
사용
95%IoT 구현
93%모바일 결제사용 중 또는사용 예정
100%보편화된
클라우드사용
92%블록체인
프로젝트 구현또는 구현 중
▌현재진행중인디지털트랜스포메이션
▌높은수준의도입율로복잡성가중
16 www.thalesesecurity.com
2018 탈레스데이터위협보고서
▌멀티클라우드사용 - 추가적인리스크
▌클라우드컴퓨팅과관련된 3대우려사항
66%2개 이상의
IaaS 환경 사용
71%2개 이상의
PaaS 환경 사용
68%10개 이상의
SaaS 애플리케이션사용
공유되는 인프라의 취약성
클라우드 공급업체에서 발생하는 침해
여러 클라우드 공급업체에 걸친 다수의 암호화 키 관리
56%
53%
53%
17 www.thalesesecurity.com
Agenda
▌한국암호화동향
- 2018 한국암호화동향보고서
- 2018 탈레스데이터위협보고서
▌ Thales e-Security
▌개인정보보호발전방안
- 효과적인데이터보안향상방안
- 암호화구축사례
18 www.thalesesecurity.com
탈레스이시큐리티 –데이터보호분야의글로벌리더
19 www.thalesesecurity.com
탈레스이시큐리티 –데이터보호분야의글로벌리더
Best-in-class : Hardware + Software
20 www.thalesesecurity.com
Agenda
▌한국암호화동향
- 2018 한국암호화동향보고서
- 2018 탈레스데이터위협보고서
▌ Thales e-Security
▌개인정보보호발전방안
- 효과적인데이터보안향상방안
- 암호화구축사례
21 www.thalesesecurity.com
효과적인데이터보안향상방안
▌데이터암호화
저장되는 모든 파일, 데이터베이스 암호화 및 애플리케이션 암호화
▌액세스관리
인가된 사용자에게만 액세스 및 복호화를 허용하는 강력한 액세스 관리
▌강력한키보호및관리
전용 장비를 통한 강력한 암호화 키 보호 및 업계를 선도하는 우수한 키 관리 절차
22 www.thalesesecurity.com
암호화방식및구조 –보메트릭
▌ 개인정보컬럼유형변경: 없음
▌ DB 크기증가없음
▌ 응용프로그램변경없음
▌ 고성능
▌ 비정형데이터암호화가능
암/복호화접근통제
Database
스토리지
데이터베이스
응용프로그램
사용자
File Systems Raw device
파일 유형 제한 없음
특정 권한관리자 계정
SAroot
*$^!@#)(-|”_}?$%5rifju7:>>
허용된 사용자및 프로세스
user 홍길동870629-1234567
23 www.thalesesecurity.com
Vormetric Transparent Encryption 정책설정예시
▌ 조건: Resource, User, Process, Time
▌ 동작: 모든유형의 IO
▌ 제어: 키적용 (암호화 / 복호화), 허용, 차단, 감사
# Resource User Process Action Effects
*.log log_daemon log_process * Permit, Apply Key
*.log root admin_tools read Permit, Audit
* * * * Deny, Audit
1
2
3
1
2
3
로그를 저장하는 특정 유저 및 프로세스만 암호화된 파일에 대해 읽기/쓰기 허용
관리자는 암호화 로그 파일에 대해 백업 등 관리 기능만 수행 가능
기타 모든 접근에 대해 통제 및 감사 로그 생성
24 www.thalesesecurity.com
Vormetric Transparent Encryption 암호화기술
▌ 특허기술 – MetaClear
파일 이름, 생성일, 변경일 등 메타데이터는 변경하지 않고 파일의 내용만을 암호화 (파일의 속성을 유지)
암호화 시 데이터 크기 변화 없음
▌ 암호화알고리즘
안전성이 확인 된 국내외 표준 암호화 알고리즘 3DES, AES 128/256, ARIA 128/256 지원
▌ 표준및인증
국가사이버안전센터암호모듈 검증필 (KCMVP)
NIST에서 주관하는 FIPS 140-2
GS 인증
SAP HANA 인증
Name: J SmithCredit Card #:6011579389213
Bal: $5,145,789Social Sec No:514-73-8970
Name: Jsmith.doc
Created: 6/4/99
Modified: 8/15/02
파일 데이터
파일 시스템메타데이터
dfjdNk%(Amg8nGmwlNskd 9fSk9ineoo2n*&*^
xIu2Ks0BKsjdNac0&6mKcoSqCio9M*sdopF
Name: Jsmith.doc
Created: 6/4/99
Modified: 8/15/02
블록 쓰기
블록 읽기
평문 암호화
25 www.thalesesecurity.com
CCKM – CipherTrust Cloud Key Manager
▌멀티클라우드환경에서중앙집중화된암호키관리
▌As a service 또는기존전산실환경에구축
▌가시성향상및규제충족을위한로깅및리포팅
26 www.thalesesecurity.com
CCKM –멀티클라우드환경에서중앙집중화된암호키관리
▌멀티클라우드환경지원
IaaS: Amazon Web Services, Microsoft Azure, China and Germany Azure National Clouds
SaaS: Microsoft Office 365, Salesforce.com
▌클라우드사업자환경과연계된사용성
All Tenant Secrets All Keys
27 www.thalesesecurity.com
CCKM – As a service 또는기존전산실환경에구축
▌ As a Service
Subscribe
Configure
Go!
▌ Secure Key Storage
FIPS 140-2 Level 1
▌ Your Deployment
Subscribe
Deploy
- Private Cloud All virtual appliances for cloud deployment
FIPS 140-2 Level 1 Secure Key Storage
- On Premises CipherTrust Cloud Key Manager virtual appliance
Up to FIPS 140-2 Level 3 secure key storage
Configure
Go!
As a
Service
FIPS 140-2 L1
Secure Key Storage
On Premises
FIPS 140-2 L3
Secure Key Storage
Private
Cloud
FIPS 140-2 L1
Secure Key Storage
28 www.thalesesecurity.com
CCKM –가시성향상및규제충족을위한로깅및리포팅
▌활동사항에대한로깅
▌기본제공보고서
29 www.thalesesecurity.com
암호화구축사례 : 로그파일
▌ 구축및관리
암호화: WAS 서버, 웹 서버, 저장 시 또는 통합 로그 서버 저장 시 암호화
통합로그서버에서암호화시 WAS 서버, 웹서버에서평문
복호화: 조회 권한 사용자/애플리케이션에 대해 복호화
암호화 설정: 업무 요건에 따라 다르지만 1 ~ 2일 내 완료
초기 암호화: 서버 및 스토리지 구성에 따라 다름. 테스트 필요
▌ 업무영향
기존 애플리케이션 수정 및 구성 변경 필요 없음
▌ 구축사례
OO카드
OOOO생명
OO연합회평문
*$^!@#)(-|”_}?$%-:>>
991225-1111111
복호화통합 로그서버
로그 조회
*$^!@#)(-|”_}?$%-:>>
복호화
평문
암호화
암호문
보메트릭 Plug-In 방식 API 방식
30 www.thalesesecurity.com
암호화구축사례 : 팩스파일 (1/2)
31 www.thalesesecurity.com
암호화구축사례 : 팩스파일 (2/2)
32 www.thalesesecurity.com
암호화구축사례 : 호주 OO은행 (빅데이터, 클라우드)
▌ Background and Business Challenge
One of the top Bank in Australia
▌ Requirements
PCI compliance and Internal Audit.
Bigdata Deployment on Hadoop
Data protection on Cloud/Azure.
▌ Solution
Single Vormetric solution to protect both structured and unstructured data
VTE deployment on DB and file server.
VTS for application tokenization
UDF for Hadoop/Hive
CCKM for Azure and O365
▌ Encryption Journey
Started with VTE and VTS
Moved on to deploy UDF for Hadoop protect their data lakes on Hadoop.
33 www.thalesesecurity.com
감사합니다
FOR MORE INFO, VISIT
www.thalesesecurity.co.kr