Db2 V11.5와 Luna HSM의 연계 - 소개

Db2 V11.5와 Luna 하드웨어 보안 모듈 (HSM) 간의 협력



소개



Luna 하드웨어 보안 모듈 (이하 간단히 "HSM"이라고 함)은 고급 보안 기능을 갖춘 환경에서 키 관리 및 암호화 등을 처리하는 전용 하드웨어 어플라이언스 제품입니다. Db2는 네이티브 암호화로 마스터 키(MK)를 저장하는 키 스토어를 HSM을 사용하여 구성할 수 있습니다.

이 시리즈에서는 Db2 서버와 HSM 어플라이언스 (SafeNet Network HSM 7)가 Db2 네이티브 암호화 마스터 키를 HSM에 생성하는 방법을 보여줍니다.

본 시리즈는 탈레스사에서 제공해 주신 자료를 베이스로 Db2 V11.5에서 HSM 어플라이언스에 키 스토어를 구성한 순서를 전하는 것을 목적으로 작성하고 있습니다. 특정 환경 및 사용 상황에서 정확성이 확인되었지만 모든 환경에서 유사한 결과를 얻을 수 있다는 보장은 없습니다.
이러한 기술을 자신의 환경에 적용할 때는 자기의 책임에 대해 충분한 검증과 확인을 실시하는 것을 권장합니다.

Db2 네이티브 암호화의 키 관리 방법에 대하여



Db2® 네이티브 암호화는 데이터 암호화에 이중 계층 접근법을 사용합니다. 데이터는 데이터 암호화 키(DEK)를 사용하여 암호화되고 DEK는 마스터 키(MK)를 사용하여 암호화됩니다. 암호화된 DEK는 데이터와 함께 저장되고 MK는 Db2 외부의 키 저장소에 저장됩니다.


Db2에서 지원되는 마스터 키(MK)가 저장되는 세 가지 유형의 키 저장소가 있습니다.


이 시리즈에서 다루는 것은 2 종류입니다. (가리키는 마크의 부분입니다)
  • 로컬 키 관리 : IBM GSKit을 사용하는 로컬 키 스토어 (PKCS # 12 아카이브 파일 형식 준수)
  • 엔터프라이즈 키 관리 : Hardware Security Module의 키 저장소

  • 본 시리즈의 구성



    이 절차에서는 독립 실행 형 Db2 서버와 HSM 어플라이언스 (SafeNet Network HSM 7)를 하나의 구성으로 Db2 네이티브 암호화 마스터 키를 HSM에 생성하는 방법을 보여줍니다.
  • Db2-HSM 연동 사전 준비 (클라이언트 배포에서 파티션 초기화까지)
  • 마스터 키를 직접 HSM에 생성

  • 마스터 키를 로컬 키 저장소에서 HSM으로 마이그레이션



  • 검증 환경 정보



    이 시리즈는 다음 환경에서 검증되었습니다.
  • LUNA NETWORK HSM A700
  • Software Version: 7.4.0-226
  • Firmware: 7.3.3

  • Luna Client 환경
  • AIX V7.2(oslevel –s : 7200-03-03-1914)
  • LunaClient_10.2.0-111_AIX610-000399-002_SW_Universal_Client_10.2_AIX_RevA.tar
  • IBM Db2 Server 11.5


  • 참고 문서



    Luna HSM 정보



    탈레스사가 HSM에 대해 강연한 자료가 다음과 같습니다.

  • JNSA 주최 세미나 제3회 열쇠 관리 공부회(온라인 개최) - 암호화 키 관리를 위한 HSM

  • 검증에 사용한 LUNA NETWORK HSM A700에 대해서는 다음을 참조하십시오.
  • Thales Luna HSMs

  • Db2 네이티브 암호화 정보


  • Db2 네이티브 암호화
  • Db2 네이티브 암호화 개요
  • 좋은 웹페이지 즐겨찾기