응용 프로그램 수준의 암호화: 오늘날의 과제

사용자가 애플리케이션 레벨에서 정보를 암호화 할 때, 중요한 데이터를 보호하고 접근을 통제할 수 있습니다. 응용 프로그램은 어떤 데이터가 신중하게 다루어 져야 하는가를 정확하게 인식 한 후에 선택적으로 보호를 적용 할 수 있으므로, 여러가지면에서 데이터의 암호화 및 해독에 적합한 장소입니다. 또한 응용 프로그램은 사용자 역할 및 권한 부여에 대해서도 인식하고있는 경우가 많으며, 그에 따라 액세스를 허용 할 수 있습니다. 반면 스토리지 시스템, 휴대용 미디어 또는 네트워크에서 사용되고 있는 암호화는 일반적으로 데이터는 모두? 제로인가를 기준으로 암호화됩니다. 그 이유는 이러한 시스템에서는 데이터 세그먼트나 특정 사용자의 권한에 대한 인식이 없기 때문에 선택적으로 암호화를 적용하는 능력이 제한되어 있기 때문입니다. 응용 프로그램 수준 암호화는 정책 기반으로 할 수 있으며, PCI DSS와 같은 특정 데이터 보호 요구에 맞게 구성 할 수 있습니다. 또한 대상을 세밀하게 짜서 필요한 경우에만 보호 할 수 있습니다. 그것은 단지 필요 호출 대상을 목표로 보호를 제공 할 수 있습니다. 이 보호 방법은 엄격한 통제와 관리가 이루어지게 됩니다. 듀얼 컨트롤 및 기타층의 절차적 보호도 필요합니다. 듀얼 컨트롤과 절차 적 보호는 동시에 사용되며, 규정 준수보고 의무에 대해 직접 지원합니다.

자세한 내용

응용 프로그램 수준의 암호화를 실시하면 특정 응용 프로그램과 비즈니스 프로세스의 요구에 맞게 데이터 보호 옵션을 조정하고 신중하게 다루어야 대부분의 데이터에 대해 최대한의 보증을 제공 할 수 있습니다. 또한 응용 프로그램 수준 데이터를 보호하는 경우 데이터베이스 및 파일 시스템 스토리지 환경 등의 하류측 시스템에서 보이는 것은, 암호화 된 정보만 가능합니다. 하류측 시스템이 데이터를 읽을 수 있는 포맷으로 변환하는 수단을 가지지 않고 변환하는 시스템에서 분리되어있는 경우 이러한 하류측 시스템을 준수 및 감사 목적의 범위에서 제외 할 수 있습니다. 그러나 응용 프로그램 수준의 암호화 구현을 고려하고있는 조직은 몇 가지 도전에 직면하고 있습니다.

  • 응용 프로그램 수준의 암호화를 추가하거나 변경하려면 일반적으로 응용 프로그램의 수정이 필요하지만, 이것은 모든 상황에 적용 할 수 있는 것은 아닙니다. 예를 들어, 상용 소프트웨어와 클라우드 서비스는 응용 프로그램을 변경할 수 없습니다. 응용 프로그램이 자사에서 독자적으로 개발 한 것이었다 해도, 응용 프로그램 변경에 필요한 기술과 자원을 더 이상 사용할 수 없게 되어 있을 가능성도 있습니다.
  • 많은 다른 비즈니스 응용 프로그램이 관련된 경우 응용 프로그램 수준의 암호화를 모든 응용 프로그램에 동일한 방식으로 적용하려고 하면 기술상의 문제와 조직의 문제가 동시에 발생할 수 있습니다.
  • 암호화는 CPU에 부담이가는 작업이기 쉽고, 귀중한 시스템 리소스를 소비하는 경향이 있기 때문에 응용 프로그램 계층 암호화를 통합 할 경우, 성능면에서의 잠재적인 병목 현상을 식별하는 과제에 대응 해야 합니다.
  • 응용 프로그램 수준의 암호화를 생각한다면, 다른 시스템과의 데이터 교환 방법을 고려할 필요가 있습니다. 예를 들어, 여러 시스템이 동일한 데이터를 공유하고, 그 데이터가 특별한 형식이 될 것으로 예상되는 경우, 한 시스템에 암호화를 추가하여 다른 시스템을 손상시키는 것을 피하기위한 절차를 취해야 합니다. 이 경우 포맷을 유지하면서 암호화 할 수 있는 옵션이 유효합니다.
암호화 된 데이터를 응용 프로그램간에 공유하는 것은 열쇠를 공유하는 것을 의미하지만, 이것은 공유 신뢰성 모델에 따라, 경우에 따라서는 키 관리 시스템도 공유 할 수 있습니다.

섹션 숨기기

응용 프로그램 수준의 암호화와 관련된 위험 요소

  • 공격자는 응용 프로그램 모니터링 및 디버깅 등의 작업에 사용하기 위한 개발 도구를 사용하여 암호화 키에 액세스하거나 암호를 해제하고 응용 프로그램 정보의 잠금을 해제 할 수 있습니다.
  • 응용 프로그램에 암호화 기능이 향상된 개발자는 자신 복잡한 암호화 알고리즘을 구현하려고하는 경향이 있습니다. 이러한 방식은 불필요한 보안 결함을 초래할 우려가 있기 때문에, 일반적으로 미리 검증 된 암호화 구현을 사용하는 것이 가장 좋은 방법입니다.
  • 응용 프로그램 코드에 암호화를 추가하는 선택 자체에도 문제는 있습니다. 키 관리 문제에 비하면 큰 문제가 없습니다. 잘못된 키 관리는 도용을 초래하거나 정보를 사용할 수 없게 하는 결과를 초래할 수 있으므로 개발자는 기본 키 관리 기능을 통합하거나 외부적인 키 관리 시스템에 의존하는 방법을 결정해야 합니다.
  • 처리 데이터 량이 많고, 고속 처리를 요구하는 응용 프로그램은 암호화가 성능을 저하시켜 용량을 한계점에 도달하고 대기 시간을 발생시킬 가능성이 있습니다. 특히 암호화를 나중에 응용 프로그램에 추가 한 경우 그 경향이 강해집니다.

응용 프로그램 수준의 암호화: Thales e-Security 솔루션

Thales e-Security의 제품 및 서비스는 가장 신중하게 처리해야 하는 응용 프로그램에 대해 응용 프로그램 수준의 데이터 보호를 구현하는 데 도움이 됩니다. 완전 자동화된 처리 데이터가 많은 응용 프로그램에서 제대로 관리된 취급 데이터는 적지만 취급에 세심한 주의가 필요한 애플리케이션에 이르기까지 매우 다양한 어플리케이션을 처리 할 수​​있는 유연성을 갖춘 탈레스 솔루션은 중요한 애플리케이션이 필요로하는 데이터 보호 및 운영 효율성을 제공합니다.

nShield 하드웨어 보안 모듈 (HSM)은 암호화 프로세스를 안전하게 실행하고 중요한 정보를 보호 · 관리 할 수​​있는 안정적인 플랫폼을 만듭니다. 신뢰성이 확보된 계층은 응용 프로그램이 일반적으로 수행되는 오픈 시스템 소프트웨어 환경에 내재된 위험을 해소합니다. nShield HSM을 사용하면 개발자와 조직은 생각할 수 있는 최선의 솔루션, 즉 이미 공인된 검증된 암호화 라이브러리를 활용할 수 있고 네이티브 암호화 오프로드 기능과 처리 가속 기능을 사용하여 다양한 키 관리 도구를 사용하여 고급 제어 및 유연성을 제공 할 수 있습니다.  nShield HSM은 변조 방지 하드웨어 사용을 통해 암호화 작업을위한 높은 수준의 보증을 제공 할뿐만 아니라 독특한CodeSafe 기능을 통해 더 높은 수준의 응용 프로그램 프로세스를 물리적으로 보호하는 기능도 제공하고 있습니다.

장점:

  • 보안이 강화 된 유연한 데이터 보호 플랫폼에 다양한 보안 정책과 프로세스를 매핑함으로써 다양한 응용 프로그램의 보안을 확보합니다.
  • 성능과 관리성을 해치는 일없이 하드웨어 기반 보안의 장점을 살릴 수 있습니다.
  • 특히 주의해야 할 코드를 HSM의 보안 실행 환경에서 실행합니다.
  • 신뢰성이 뒷받침 된 도입, 구현 프로젝트의 가속화 : 최첨단 업체와 탈레스의 협력 관계를 통해 광범위한 애플리케이션 및 개발 플랫폼과 호환이 사전에 입증 된 HSM이 제공됩니다.
  • 암호화 프로세스를 HSM에 오프로드하여 높은 수준의 애플리케이션 성능을 유지합니다.
  • 정책 정의를 간소화하고 중요 비즈니스 프로세스의 개선을 통해 규제준수 보고를 간소화합니다