안녕하세요, 데이터 지킴이 보메트릭입니다. :-)

다운타임(Downtime)이란 시스템을 이용할 수 없는 시간을 일컫는 말로, 사실 어느 누구도 반가워하지 않는 시간입니다. 계획되지 않은 다운 타임은 언제나 많은 비용이 낭비됩니다. 시장조사기관 IDC가 발표한 리포트에 따르면 포춘 1000대 기업들은 계획되지 않은 어플리케이션 다운타임으로 인해 연간 10.5억 달러에서 25억 달러 비용이 발생하고 있다고 밝혔습니다.

그렇다고 해서 계획된 다운타임이 아무런 문제가 없는 것은 아닙니다. 네트워크 솔루션의 경우, 구축을 위해 다운타임이 필요한 경우가 있습니다. 물론 이러한 다운타임을 최소화할 수 있는 방법은 있습니다. 그러나 매우 복잡하죠. 

이는 암호화 솔루션에도 해당되는 문제 입니다. 암호화는 탁월한 ROI를 제공합니다. 데이터를 유출한 사이버 범죄자들은 훔친 데이터로 아무것도 하지 못합니다. 암호화돼 있다면 말이죠. 하지만 엔터프라이즈 암호화의 경우, 수십만 개의 파일이나 대규모 데이터베이스가 암호화 될 동안 시스템 다운타임이 발생합니다. 물론, 다운타임을 피할 수 있는 방법은 있습니다. 하지만, 복잡하거나 관리 시간 혹은 추가적인 디스크 공간이 필요한 경우가 많죠. 보메트릭 라이브 데이터 트랜스포메이션은 다운타임 없이 엔터프라이즈급의 암호화 작업을 진행할 수 있습니다. 암호화가 진행될 동안, 어떤 크기의 데이터베이스건 몇 개의 파일이건 모두 이용할 수 있습니다.

암호화 시 발생하는 다운타임에 대한 서로 다른 입장

대기업의 CFO 입장에서 생각해 볼까요? 어느 날, CFO가 그것이 본인의 결정이건 아니건 기업 내 PC 혹은 맥 노트북의 하드드라이브를 암호화합니다 이때, CFO는 전체 하드드라이브가 곧 암호화될 것이며, 이 과정은 며칠이 걸릴 수 있지만 노트북을 사용하는데 문제가 없다고 인식하고 있습니다.

이제 보안 담당자와 CISO의 입장을 이야기해 볼까요? 보안 담당자가 데이터베이스 또는 대용량의 민감한 데이터에 대한 엔터프라이즈 암호화 솔루션 구매에 대해서 이야기합니다. 구매청구서에 첨부된 구축 계획 관련 문서에서 보안 담당자는 일정 기간 동안 암호화 대상 데이터가 오프라인 상태가 될것이라고 언급합니다. 이를 본 CFO는 구매청구서를 승인하지 않습니다. 그리고는 묻습니다. "왜 데이터가 오프라인 상태가 되어야 합니까? 왜 내 노트북처럼 작동하지 않죠?"라고 말이죠.

CFO는 구매청구서의 다운타임 계획이 그의 노트북에서 경험했던 것과 다르다는 것을 발견합니다. 하지만 CFO는 그 노트북을 사용하는 유일한 사용자죠. 이와 반대로, 엔터프라이즈 데이터베이스 혹은 스토리지의 경우, 수 백대의 서버에서 수 천명의 사용자가 동시에 접근해야 합니다. 

엔터프라이즈 암호화 과정으로 인한 다운타임은 더 이상 있어서는 안됩니다. 보메트릭 라이브 데이터 트랜스포메이션에서는 암호화 과정에서 다운타임이 발생하지 않습니다. 보메트릭 라이브 데이터 트랜스포메이션을 통해 암호화를 실시하고 담당자는 바로 휴가를 갈 수 있습니다. 또한, 암호화를 하는 동안 모든 데이터를 사용할 수 있습니다. CFO의 노트북처럼 말이죠.

CFO의 노트북은 데이터가 암호화되는 동안 속도가 저하되지 않습니다. 노트북의 운영체제는 데이터 암호화와 사용자가 요청한 작업 사이에서 균형을 유지합니다. 라이브 데이터 트랜스포메이션은 이와 동일한 과정으로 진행되지만 훨씬 더 큰 규모라고 이해하면 됩니다. 라이브 데이터 트랜스포메이션은 암호화가 서버 별로 사용자가 설정한 CPU 사용 비율을 넘지 않도록 할 수 있으며 나머지 CPU는 응용 프로그램을 정상적으로 실행합니다.

이제 더 이상 머리를 부여잡지 않아도 됩니다

아마도 많은 조직들은 이미 암호화된 대규모 데이터를 가지고 있을 것입니다. 어느 시점에서 암호화된 데이터들은 아카이브에 이동합니다. 라이브 데이터 트랜스포메이션은 모든 활성화된 데이터에 대한 암호 키 교체를 예약할 수 있습니다. 몇 달이 지나고 파일 복구가 필요합니다. 그러나 아카이브가 실행되면 담당자는 현재 암호화 키와 아카이브의 암호화 키가 다르다는 것을 알게 됩니다. 그 키는 어디있을 까요? 키를 보른다면 파일을 어떻게 복구할까요? 이제 머리를 부여잡기 시작할 것입니다. 그러나 보메트릭 라이브 데이터 트랜스포메이션이 제공하는 키 버전 관리 기능을 사용하면 이 모든 것은 자동적으로 해결됩니다.

라이브 데이터 트랜스포메이션은 보메트릭 트랜스페어런트 인크립션의 한 부분으로, 보메트릭 데이터 시큐리티 매니저(DSM)가 제공하는 키와 정책을 이용합니다. 라이브 데이터 트랜스포메이션은 여기에 키 버전 관리를 추가합니다. 라이브 데이터 트랜스포메이션이 합쳐진 트렌스페어런트 인크립션 에이전트는 아카이브에서 이전의 키를 찾아내고, 해당 버전의 키를 데이터 시큐리티 매니저에 요청하면 아카이브에서 즉시 데이터가 복원됩니다. 복원된 데이터는 현재의 암호 키로 암호화 됩니다. 이제 사용자들에게 복원된 데이터는 현재 사용 가능하다고 말할 차례입니다.

다운타임 없이 암호화를 구축하는 역량은 데이터를 안전하게 보호해야 하는 조직들에게는 무기와 같습니다. 보안과 가용성 사이에서 어느 하나를 포기하고는 했던 지난 날의 절충안은 이제 필요없게 됐습니다. 다운타임 없이 안심하고 암호화할 수 있는 것이죠.

보메트릭 라이브 데이터 트랜스포메이션에 대한 보다 자세한 정보는 탈레스 홈페이지에서 확인하실 수 있습니다.


신고
Posted by 보메트릭코리아
안녕하세요, 데이터 지킴이 보메트릭입니다. :-)

도커에 대한 관심이 뜨겁습니다. 높아진 관심은 많아진 검색 횟수에서도 드러나는데요. 실제로 2004년부터 지난 해 11월까지 도커, 가상화, 데브옵스, 빅데이터에 대한 구글 트렌드 서치를 살펴 본 결과, 도커에 대한 관심은 2013년 처음 등장한 이후 꾸준히 상승하여 최근에는 빅데이터를 제치고 가장 높은 관심을 받았습니다. 

dockerishotpngjpg
그러나 새로 출현한 플랫폼은 새로운 리스크 및 잠재적인 위협을 가져오기 마련입니다. 이는 도커도 예외가 아니죠.

첫째로, 애플리케이션 보안 문제  

애플리케이션 데이터 보안과 관련된 우려는 다른 기술 도입 과정에서 발생하는 것과 유사하지만 새로운 단점이 있습니다. 그 중 하나는 도커 도입에 있어, 보다 빠르게 그리고 더 큰 규모로 진행할 수 있음에 따라, 기존의 응용 프로그램 보안 오류가 확대될 수 있다는 것입니다. 또한, 타사 도커 이미지를 사용하며 발생하는 보안 문제가 있을 수 있습니다. 라이브러리에서 타사의 이미지를 사용할 때의 위험 요소는 그들이 어떻게 설계되고 구현되었는지 정확히 알지 못한다는 것이죠. 의도적으로 또는 다른 방식으로 만들어진 취약점이 있는 경우, 아무리 상세하게 검토하더라도 이미지 속 삽입된 백도어 코드를 찾지 못할 수 있습니다.

dockersecuritychallengespng

둘째, 루트 권한 관련 보안 문제

호스트의 프로세스는 루트 권한으로 실행됩니다. 이는 도커에서 볼륨 및 파일 시스템을 추가 및 제거하는 것과 같은 작업을 수행하는 데 필요악입니다. 결과적으로 도커 관리자는 모든 도커 이미지 및 연결된 데이터에 접근할 수 있습니다. 결과적으로 이는 호스트 관리자 권한을 탈취하는 공격이 성공한다면, 도커 환경에 저장된 중요한 데이터 유출로 이어질 수 있다는 것을 의미합니다. 또한, 관리자 계정이 손상돼 이에 따른 많은 위험이 있을 수 있습니다.

셋째, 도입 환경 인프라에 관련된 보안 문제

도커는 종종 클라우드 또는 공유된 가상화 인프라에 구현됩니다. 이러한 환경에서 도커는 다양한 고객 혹은 다양한 출처의 이미지를 호스팅 할 가능성이 있으며, 이로 인해 높은 수준의 위협에 노출될 가능성이 있습니다. 노출을 최소화하기 위해 일부 기업은 내부 혹은 가상 환경에서 VM 당 하나의 도커 이미지를 통해 도커 클러스트를 이용하도록 하고 있습니다. 

이러한 보안 문제를 해결할 수 있는 최선은 무엇일까요?

dockerplusvtepng

탈레스가 발표한 보메트릭 트랜스페어런트 인크립션 도커 확장판(Vormetric Transparent Encryption Docker Extension)은 단일 솔루션으로 이러한 문제를 해결할 수 있도록 설계되었습니다.

도커 확장판을 도입하기 전에, 기본적인 보메트릭 트랜스페어런트 인크립션 제품을 살펴볼까요? 보메트릭 트랜스페어런트 인크립션은 정책적으로 도커 컨테이너 이미지와 인스턴스(instance)를 보호하고 접근 통제를 실시합니다. 이는 다음과 같은 기능을 포함하죠.
  • 컨테이너 암호화
  • 도커에 대한 컨테이너 접근 및 사용 제한
  • 허가 된 환경에만 컨테이너 사용할 수 있도록 제한
  • 컨테이너에서 사용되는 데이터에 대한 접근을 도커에게만 가능하도록 제한

또한 이러한 기능들은 도커 환경에 아무런 영향을주지 않습니다. (도커 호스트에 에이전트를 설치하고, 데이터 보안 정책을 구성 및 배포하여 실행 가능) 도커 컨테이너를 변경하지 않고 보안된 데이터에 대한 허가되지 않은 접근 시도를 리포트할 수있습니다. 도커 확장판이 아닌 기본적인 기능 그 자체만으로도 도커 보안에 효과적인 것이지요. 

그러나 최근 보메트릭은 업그레이드를 통해 더 강려한 도커 보안 기능을 추가했습니다. 도커 확장판은 기존의 통제 역량을 도커 컨테이너 내부의 데이터 그리고 컨테이너 별 사용자, 심지어 기본 SAN, NFS 및 기타 스토리지 인프라에있는 기본 데이터 세트까지 확장하여 보호합니다.

보메트릭 도커 확장판은 도입이 매우 용이합니다.
  • 도커 호스트에 에이전트를 설치만 하면 됩니다.
  • 데이터 시큐리티 매니저 환경에서 정책 구성 및 관리할 수 있습니다.
  • 도커 컨테이너 또는 응용 프로그램을 변경하지 않아도됩니다.

도커 확장판은 아래와 같은 기능을 제공합니다.

  • 컨테이너에 저장되거나 컨테이너에서 접근가능한 데이터에 대한 정책 기반 암호화
  • 사용자, 프로세스 및 리소스 세트에 대한 컨테이너 별 세부 접근 통제
  • 루트 및 관리자 접근으로부터 컨테이너 내외부의 데이터 보호
  • 컨테이너 수준 데이터 접근 감사 기록
이는 매우 간단하고 강력한 도커 보안 방법입니다. 도커 데이터 보안에 관심있는 분이라면 보메트릭의 도커 확장판을 추천드립니다. 도커 보안을 제로베이스에서 강력한 수준으로 업그레이드 할 수 있습니다.

보메트릭 트랜스페어런트 인크립션 도커 확장판에 대한 보다 자세한 정보는 홈페이지에서 확인하실 수 있습니다.


신고
Posted by 보메트릭코리아

안녕하세요, 데이터 지킴이 보메트릭입니다. :-)

어느 덧 정유년 새해가 밝았습니다. 정유년은 붉은 닭의 해라고 합니다. 기상찬 닭의 울음 소리 처럼 희망한 새해가 되시길 기원하며, 새해 복 많이 받으시길 바랍니다. 

오늘날 많은 기업들은 데이터 센터의 서버에 중요한 데이터 및 애플리케이션을 저장하고 있습니다. 이에 따라 조직은 암호 키 관리 하드웨어 디바이스와 같은 보안 도구를 데이터 센터에도 도입하고 있습니다. 데이터 센터 환경은 발전하고 있으며 암호화 관리 도구는 고객에게 그에 걸맞는 최상의 서비스를 제공해야합니다.

data-center-desktop

지난 15 년 동안 우리는 원격 데이터 센터의 급격하게 증가하는 것을 목격했습니다. 이 시설들은 어마어마한 규모를 자랑하며, 높은 부동산 가격으로 도시 중심지와 공항에서 멀리 떨어진 고린된 지역에 위치해 있습니다.

따라서, 결과적으로 기업들은 이러한 시설에 IT담당자를 파견하여 암호화 관리 도구를 포함한 그들의 시스템을 관리해야 합니다. 유감스럽게도 이러한 관리자의 출장 비용은 조직에 추가적인 부담이 되죠.

탈레스는 멀리 떨어진 데이터 센터에 도입된 보안 도구를 잘 관리 할 수 ​​있도록보메트릭 데이터 시큐리티 플랫폼(Vormetric Data Security Platform, DSM)에 새로운 원격 관리 기능을 추가했습니다 (2017 년 1 분기에 상용화) DSM 제품군은 민감한 데이터를 취급하는 회사라면 반드시 필요한 암호화 키를 안전하게 관리 할 수 ​​있도록 지원합니다. V6100 DSM 모델에는 FIPS 140-2 레벨 3의 보안 인증을 위한 엔쉴드(nShield) 하드웨어 보안 모듈(HSM)이 탑재돼 있으며, 엔쉴드 HSM에는 원격 관리 기능이 추가됐습니다. 엔쉴드 원격 관리자(Remote Administration)를 사용하면 사무실에서 DSM을 완전히 관리 할 수 ​​있으며, 이를 통해 기업들은 불필요한 출장 비용을 줄일 수 있음은 물론, 다운 타임을 줄일 수 있습니다.

dsm

데이터 센터로의 출장 필요성이 없어집니다.

정기적인 관리를 위해 IT담당자를 DSM 장비가 있는 곳으로 보내는 것은 비효율적입니다. 원격 관리기능을 통해 통해 IT담당자는 DSM 내의 HSM을 어디 서나 언제든지 펌웨어 업그레이드, 현황 체크 등 완벽하게 관리 할 수 ​​있습니다. 즉, 데이터 센터로의 출장이 없어져 비용을 절감하고 리소스를 최적화 할 수 있는 것이죠.

원격 관리는 중요한 보안 기능으로 설계됐으며 트랜잭션을 보호하는 여러 기능을 통합합니다. 과연 어떻게 작동할까요? 원격 관리 기능은 원격 HSM과 로컬 원격 관리 카드 (스마트 카드) 및 신뢰할 수있는 검증 장치 (TVD)를 안전하게 연결합니다. 이러한 연결을 통해 IT담당자는 스마트 카드를 사용하여 물리적으로 하드웨어를 제어하는 것처럼 HSM을 제어 할 수 있습니다. 이 후, IT담당자는 조직의 VPN을 통해 커뮤니케이션하여 원격 데스크탑이나 안전한 쉘 세션(shell session)을 이용하여 보안된 랩탑 혹은 워크스테이션에서 HSM을 제어 할 수 있습니다.

안전한 트랜잭션 제공하는 것과 더불어 보메트릭 DSM V6100의 FIPS 140-2 Level 3 인증은 원격 관리 펌웨어 및 원격 관리 카드까지 확장됩니다.

전반적인 흐름에 따라 데이터 센터가 원교로 향하면서 탈레스는 고객들이 멀리 떨어진 데이터 센터로 가야할 수고를 덜어주며 고객의 비용을 절감할 수 있도록 지원합니다. 이렇듯 보메트릭의 최신 업그레이드를 통해 고객들은 DSM을 보다 손쉽게 관리할 수 있어 강력한 보안을 유지하면서 비용을 절감 할 수 있습니다. 

편의성과 보안성을 보장하는 원격 관리를 제공하는 보메트릭 DSM에 대한 보다 자세한 정보는 홈페이지에서 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아


티스토리 툴바