투씨에스지 기술 블로그

암호화 전문 솔루션 cubeone vs oracle TDE 비교자료 본문

Oracle/Security

암호화 전문 솔루션 cubeone vs oracle TDE 비교자료

TOCSG 2012.03.23 17:57
요새 보안이 이슈이긴 하다.. 여기저기서 해킹에 정보유출에....
법으로도 암호화 하라고 지정까지 했으니..말이다...
암튼 최근들어 보안,암호화,접근제어.. 뭐 이런 단어를 많이 접하게 되는 현실이다..
DB 암호화가 이슈가 되고 있어 비교자료를 만들어 봤다..
(개인적으로 조사해서 만든 자료이므로 잘못되거나 틀린 부분이 있으면.. 얘기좀 해주세요)

자료 조사하면서 보면.. 개인적으로 비용측면과 보안적인 부분이 해결된다면 TDE가 운영측면에서 훨씬 더 좋아 보인다.
다만 Oracle을 11g로 업그레이드 해야되는 부분과 업그레이드에 따른 라이센스 비용, 개발적인 비용.... 만만치않다..
시간적인 측면과 보안성 가용성을 따지면.. 일반적인 보안 솔루션이 훨씬 더 나을 수 있다는 개인적인 판단이다..
9i,10g 가 desupport 되어 어차피 11g를 계획하고 있다면 TDE도 고려해볼만 하다..
단, 패스워드 암호화를 위한 단방향 암호화 방안은 따로 구상해야 겠다..

분류 Cubeone Plung-in ORACLE TDE
법규   국내 법정 알고리즘 지원 여부  개인정보 용: ARIA, SEED  불가 (ARIA, SEED 및 일방향 알고리즘 없음)
 비밀번호 용: SHA-1,SHA-256/384/512(일방향 알고리즘)
 지원 알고리즘  ARIA, SEED, AES, TDES, DES, SHA   AES,TDES 
 국정원 DB 암호화 제품 인증 여부   인증 (국가암호화 제품 등재)   미인증 (알고리즘 미지원 및 보안성 미충족)  
지원  DBMS   타 DBMS 지원 (ORACLE, MSSQL, DB2, INFOMIX등)
모든 ORACLE DBMS version 가능
 Only ORACLE and 10.2.0.4 이상 가능 (컬럼단위 암호화)
 Tablespace 암호화는 11g부터 가능
성능  암호화된 Index를 통한 색인검색 기능  지원  10g : range 검색 지원불가
 Advanced Index를 통한 색인검색 지원  11g: 테이블스페이스 암호화 시 range 검색 가능
 암호화 후 안정성  PLAN이 변경될 가능성 있어 검수 필요   PLAN 변경이 최소화 되어 비교적 안정적이나 검수 필요 
보안   DB서버내의 키 기밀성   유지됨. (디스크에 저장되지 않고, 메모리로만 로딩 됨.)     유지되지 않음. (wallet 파일에 저장)
 11g 부터는 별도의 옵션으로 HSM 연동 가능
 RAC 환경 Key 공유   RAC Key 공유 지원, 변경 시 모든 서버 자동 Sync   Master만 Key 로딩 (다른 인스턴스에 wallet 복사 후 master
 key 수동 로딩 해야 하므로 자동처리가 되지 않음) 
 권한 분리   기본지원   불가, DBA는 모든 평문 데이터 접근 가능
 DB 재기동시 키 로딩 방법 및 보안  Security server를 통해 데몬 기동 시 RSA방식으로  키가    자동으로 주입  파일에서 읽어야 하므로 script로 자동화 하게 되면 키가   노출됨.

 OWM을 이용하여 Login 할 경우  키가 보여지지 않으나  OS명령으로 Oracle 디렉토리 전체를 복사 등을 통한 유출   취약점이 있음
 암호모듈검증기준 준수   준수함 (비인가자 접근 불가 및 키 제로화 요건)   준수하지 못함 
 유출 가능성   없음 (데이터와 키가 함께 유출되지 않음)  위험 ( Oracle 디렉토리 전체 또는 일부와 wallet 파일이  
 다른 서버로 가져가서 사용될 수 있음)
 SGA에서 암호화 상태  암호화 상태로 SGA 유지  복호화 된 상태로 유지 (index 범위 검색을 위함)
기능    외래키(FK), Mview, LOB 지원   지원 가능  10g 지원 불가
 11g tablespace 암호화 일 경우 지원 가능 
 Export/Import 사용   가능   불가, Pump만 사용 가능 
 접근통제   사용자권한,접속자IP,Application,접속시간,요일,시간으로  제어   제어기능 없음
 암복호화 방식  패키지를 사용하여 암호화 Library를 호출하여 암복호화   오라클 커널에서 자동 암복호화 수행
 감사기능   기본지원   Vault와 Audit 추가 구매 시 구현 가능 
비용  구축 후 저장공간 증가   10~20% 증가  10g : 10%미만
 11g : tablespace 암호화 일 경우 증가량 없음
 SQL 검증  암호화 대상 테이블 전체 검수 필요  SQL PLAN변화가  거의 없으나 검수 필요 
 Oracle Version Upgrade   Version Upgrade 불필요 (전체 버전 지원)    10.2.0.4부터 지원되나 기능적 활용을 위해서 
 11gR2 이상으로 Version Upgrade 선행 필요하므로 변경영향  
 검수 필요 
 Application 변경  일부 업무에 대해 최소화됨.  Application 수정이 거의 없음
관리  관리용이성   manager 콘솔을 통해서만 테이블 변경    기존과 동일하게 관리됨
 DBA용 콘솔 제공, View 미사용 시 기존 관리방식과 동일 
 Object 관리  View, Trigger, Domain index 등 관리 요소 추가됨   기존과 동일하게 관리됨
 View 미사용 시 기존관리 방식과 동일 

'Oracle > Security' 카테고리의 다른 글

Oralce TDE  (0) 2015.03.13
DB 암호화 BMT 참고사항 및 평가항목  (0) 2012.10.16
11g에서 암호화시 유의할점  (0) 2012.03.28
암호화 전문 솔루션 cubeone vs oracle TDE 비교자료  (0) 2012.03.23
0 Comments
댓글쓰기 폼