Amazon RDS Custom에서 D’Amo를 이용한 안전한 데이터 암호화 구현하기

Penta Security는 AWS 데이터 암호화 파트너이자 27년간 고객의 사이버 보안을 책임진 회사로 데이터 보안, 웹 보안, 인증 보안 영역에서 안전한 클라우드 환경을 제공합니다.

15년간 한국 데이터 보안 시장 점유율 1위를 지키고 있는 D’Amo는 글로벌 CC인증 및 국정원 인증 암호화 모듈을 통해 고객의 중요 데이터를 안전하게 보호하고 국내외 개인정보 보호 관련 컴플라이언스를 모두 준수합니다.

D’Amo는 강력한 데이터 암호화 기술을 바탕으로 다음과 같은 기능을 제공합니다.

• 고객 비즈니스 환경에 최적화된 전 시스템 계층 암호화 서비스 제공
• 국정원 인증 암호화 모듈을 통한 안전한 암호화 알고리즘 제공
• 컬럼 단위 암호화 및 DB 접근제어 기능 제공
• 클라우드 환경 전용 키관리시스템인 D’Amo KMS를 통한 암호키, 외부키, Oracle TDE 키 등 기업 전체 암호키 관리
• 통합 중앙 관리 시스템 D’Amo Control Center를 통한 인프라 내 구축된 전체 암호화 제품 및 미구축 서버 관리 지원

Amazon RDS Custom에서의 D’Amo를 통한 암복호화 환경 구축

Amazon RDS Custom은 Oracle과 MS SQL 엔진을 지원합니다. Amazon RDS Custom은 기존 Amazon RDS에서 제공하던 스냅샷, 백업 및 복구 서비스, 패치 지원, 데이터베이스 상태 모니터링, 로그 관리 등 다양한 관리 기능을 제공함과 동시에 SYSDBA 및 OS 접근이 가능해짐에 따라 기존에 Amazon RDS로 마이그레이션을 수행할 수 없었던 암호화 솔루션 적용, 패키지 애플리케이션(예, ERP, MES, SCM, HR 등)을 위한 데이터베이스로 사용할 수 있습니다.

또한 Amazon RDS for Oracle에서 지원할 수 없는 Oracle 12c를 사용해야 하는 환경이나 Oracle RMAN, Data Guard, DB Vault, Flashback 등의 기능 및 3rd Party 솔루션을 설치하여 사용할 수 있습니다.

D’Amo 사용 고객측면에서는 Amazon RDS 인스턴스의 경우 OS 및 SYSDBA 접근이 불가능하여 상용 데이터베이스 보안 솔루션의 구축이 어려웠습니다. 하지만 Amazon RDS Custom 인스턴스의 경우 OS 및 SYSDBA 접근이 가능해 D’Amo를 구축하여 안전한 암복호화 환경을 구성할 수 있습니다.

그림 1 – DB 암호화 솔루션 관점의 Amazon RDS와 Amazon RDS Custom 아키텍처 비교

Penta Security는 Amazon RDS Custom 인스턴스에서 D’Amo의 정상 동작 테스트를 위해 아래 항목들을 검증했습니다.

D’Amo 테스트 환경

• OS: Oracle Linux
• DBMS: Oracle Database 19c, 12c (64bit)

D’Amo 기능 검증 목록

• 주요 검증 기능
  • 암호화 정책 관리: 관리도구를 통해 설정한 암호화 정책의 암복호화 정상 동작 확인
  • VTI 컬럼 암/복호화: 관리도구를 통한 VTI 암호화 작업의 정상 동작 확인
  • API 컬럼 암/복호화: 관리도구를 통한 API 암호화 작업의 정상 동작 확인

그림 2 – 암호화 정책 관리, VTI 및 API 암/복호화 정상 동작 결과 화면

• • 컬럼 접근제어: 관리도구를 통해 설정한 접근 대상의 컬럼 접근 허용/차단 정상 동작 확인
  • 정책 접근제어: 관리도구를 통해 설정한 접근 대상의 정책 접근 허용/차단 정상 동작 확인
  • 암복호화 권한제어: 관리도구를 통해 설정한 권한 대상의 암복호화 허용/차단 정상 동작 확인

그림 3 – 암복호화 권한, 컬럼 및 정책 접근제어 정상 동작 결과 화면

• 부가 검증 기능
  • DB키 관리, 컬럼 인덱스 설정, 스토리지 설정 등의 DBMS 관리 기능 정상 동작 확인

Penta Security는 Amazon RDS Custom 환경에서 79가지 검증 항목이 정상적으로 동작함을 확인하고, D’Amo의 Amazon RDS Custom 환경 정식 지원을 선언하였습니다.

Amazon RDS Custom에서 D’Amo의 암호화 유형

D’Amo는 Amazon RDS Custom 인스턴스를 사용하는 고객을 대상으로 D’Amo DA와 DP제품을 모두 제공하여 기업 환경에 최적화된 암호화 구축 방식을 선택할 수 있습니다.

• D’Amo DA : D’Amo DA는 DBMS 내부에 암복호화 API를 설치하여 암호화를 진행하는 제품으로 DB 서버의 부하를 최소화하여 운영할 수 있는 장점이 있으며 암호화 Table Name 및 Column Name에 대한 변경 없이 암호화 환경을 구축할 수 있습니다.
• D’Amo DP : D’Amo DP는 DBMS에 암호화 패키지를 설치하여 암호화를 진행하는 제품으로 컬럼 단위 암호화 및 접근제어, 권한제어 등의 다양한 관리 기능을 제공하며 애플리케이션과 독립적으로 작동하는 암호화 방식으로 쿼리 및 코드 수정을 최소화하여 구축할 수 있습니다.

D’Amo 구축 고객을 위한 다양한 지원 혜택

D’Amo는 On-Premise 환경에서 암호화를 적용하던 고객이 Amazon RDS Cusom으로 전환할 시에 고객의 RDB 형상을 유지하면서 국가 검증필 암호모듈을 통해 어플리케이션 변경 없이 고객 비즈니스 환경에 맞춘 암호화를 적용합니다. Amazon RDS Custom에서 지원하는 Oracle, MS SQL의 모든 버전을 100% 지원합니다.

추가로 Penta Security는 AWS 공식 ISV Partner로서 D’Amo 구축 고객을 대상으로 다양한 혜택을 제공합니다.

• AWS PoC 지원: 기존 인프라 환경에서 AWS로 마이그레이션하는 고객 및 클라우드 환경에 익숙하지 않은 고객을 위한 상담 및 기술 지원을 제공합니다.
• AWS Credit 제공: D’Amo 설치 및 내부 테스트를 위한 AWS Credit을 제공하여 비용 부담을 최소화하며, 기업 데이터베이스 환경에 적합한 암호화 솔루션 구축이 가능합니다.
• 교육 지원: 클라우드 및 데이터 암호화 담당자의 디지털 역량 향상을 위한 별도 교육을 지원합니다.

앞으로 Penta Security는 AWS와 지속적인 협업을 진행하여 Amazon RDS Custom 서비스에 맞는 다양한 기능 및 혜택을 확대해 나갈 예정입니다. 자세한 PoC 지원, Credit 제공, 교육 지원에 관한 사항은 담당 AWS 영업팀 또는 Penta Security 영업팀(cloudbiz@pentasecurity.com)에 연락하세요.

요약

• 기존 온프레미스(레거시), 커스텀 환경 등의 제약으로 인해 Amazon RDS를 사용할 수 없었던 고객의 경우 Amazon RDS Custom을 통해 관리 기능을 제공받을 수 있습니다.
• Amazon RDS Custom 환경에서 안정성이 입증된 Penta Security의 D’Amo를 통해 기업 중요 정보를 안전하게 보호할 수 있고, 국내외 개인정보보호 관련 컴플라이언스 요건을 모두 충족시킬 수 있습니다.
• Penta Security의 D’Amo를 도입하는 경우 AWS 공식 PoC 지원, 테스트를 위한 Credit 지원, 교육 지원 등의 혜택을 제공받을 수 있습니다.

D’Amo에 대한 자세한 내용은 Penta Security 웹사이트를 참조하세요.