Db2 V11.5와 Luna 하드웨어 보안 모듈 (HSM) 간의 협력

소개

Luna 하드웨어 보안 모듈 (이하 간단히 "HSM"이라고 함)은 고급 보안 기능을 갖춘 환경에서 키 관리 및 암호화 등을 처리하는 전용 하드웨어 어플라이언스 제품입니다. Db2는 네이티브 암호화로 마스터 키(MK)를 저장하는 키 스토어를 HSM을 사용하여 구성할 수 있습니다.

이 시리즈에서는 Db2 서버와 HSM 어플라이언스 (SafeNet Network HSM 7)가 Db2 네이티브 암호화 마스터 키를 HSM에 생성하는 방법을 보여줍니다.

본 시리즈는 탈레스사에서 제공해 주신 자료를 베이스로 Db2 V11.5에서 HSM 어플라이언스에 키 스토어를 구성한 순서를 전하는 것을 목적으로 작성하고 있습니다. 특정 환경 및 사용 상황에서 정확성이 확인되었지만 모든 환경에서 유사한 결과를 얻을 수 있다는 보장은 없습니다.
이러한 기술을 자신의 환경에 적용할 때는 자기의 책임에 대해 충분한 검증과 확인을 실시하는 것을 권장합니다.

Db2 네이티브 암호화의 키 관리 방법에 대하여

Db2® 네이티브 암호화는 데이터 암호화에 이중 계층 접근법을 사용합니다. 데이터는 데이터 암호화 키(DEK)를 사용하여 암호화되고 DEK는 마스터 키(MK)를 사용하여 암호화됩니다. 암호화된 DEK는 데이터와 함께 저장되고 MK는 Db2 외부의 키 저장소에 저장됩니다.


Db2에서 지원되는 마스터 키(MK)가 저장되는 세 가지 유형의 키 저장소가 있습니다.


이 시리즈에서 다루는 것은 2 종류입니다. (가리키는 마크의 부분입니다)

로컬 키 관리 : IBM GSKit을 사용하는 로컬 키 스토어 (PKCS # 12 아카이브 파일 형식 준수)

엔터프라이즈 키 관리 : Hardware Security Module의 키 저장소

본 시리즈의 구성

이 절차에서는 독립 실행 형 Db2 서버와 HSM 어플라이언스 (SafeNet Network HSM 7)를 하나의 구성으로 Db2 네이티브 암호화 마스터 키를 HSM에 생성하는 방법을 보여줍니다.

Db2-HSM 연동 사전 준비 (클라이언트 배포에서 파티션 초기화까지)

마스터 키를 직접 HSM에 생성

마스터 키를 로컬 키 저장소에서 HSM으로 마이그레이션

검증 환경 정보

이 시리즈는 다음 환경에서 검증되었습니다.

LUNA NETWORK HSM A700

Software Version: 7.4.0-226

Firmware: 7.3.3

Luna Client 환경

AIX V7.2(oslevel –s : 7200-03-03-1914)

LunaClient_10.2.0-111_AIX610-000399-002_SW_Universal_Client_10.2_AIX_RevA.tar

IBM Db2 Server 11.5

참고 문서

Luna HSM 정보

탈레스사가 HSM에 대해 강연한 자료가 다음과 같습니다.

JNSA 주최 세미나 제3회 열쇠 관리 공부회(온라인 개최) - 암호화 키 관리를 위한 HSM

검증에 사용한 LUNA NETWORK HSM A700에 대해서는 다음을 참조하십시오.

Thales Luna HSMs

Db2 네이티브 암호화 정보

Db2 네이티브 암호화

Db2 네이티브 암호화 개요