DB2 원시 암호화

Db2 원시 (native) 암호화는 데이터베이스 백업 이미지 및 키 데이터베이스 파일이 외부 스토리지 매체에 저장되어 있는 동안 부적절한 액세스로부터 보호하기 위한 내장 암호화 기능을 제공합니다.

중요:

CVE-2023-32342 에 대한 대응으로 KMIP 키 관리자에 연결하기 위해 KI DT223175 가 있는 Db2 릴리스는 기본적으로 RSA 키 교환을 사용하는 TLS 암호에 대해 FIPS가 아닌 IBM Crypto for C(ICC)를 사용합니다. FIPS 인증 IBM Crypto for C(ICC)는 CVE-2023-32342 에 취약하기 때문입니다.

FIPS 140인증 암호화 모듈만 사용해야 하는 고객은 엄격한 FIPS 모드를 사용해야 합니다. 엄격한 FIPS 모드에서 DT223175 가 포함된 Db2 릴리스는 CVE-2023-32342 에 취약한 모든 TLS 암호화 방식과 버전을 비활성화합니다.

DT223175: 포함된 Db2 릴리스에서 엄격 모드가 활성화된 경우, KMIP 키 관리자에 대한 연결에 다음과 같은 제한이 적용됩니다

RSA 키 교환을 사용하는 1.2 암호화(TLS_RSA_*)는 비활성화됩니다. 지원되는 모든 ECDHE 암호가 활성화됩니다. 예를 들어, RSA 인증서를 사용하는 경우, Db2 1.2 에 대해 자동으로 TLS_ECDHE_RSA 암호화를 선호하며, 인증서 변경은 필요하지 않습니다.
TLS 1.3 은 CVE-2023-32342 의 영향을 받지 않습니다.

엄격한 FIPS 모드 사용은 DB2AUTH 레지스트리 변수를 STRICT_FIPS로 설정하여 수행됩니다. DB2AUTH 변수가 이미 설정된 경우 여러 옵션을 쉼표로 구분할 수 있습니다. 엄격한 FIPS 모드에 대한 자세한 정보는 산업 표준 을 참조하십시오.

암호화는 오프라인 데이터 보호에서 핵심 구성요소입니다. 다수의 정부 규정 및 산업 규격에서 암호화의 사용을 요구합니다.

Db2 원시 (native) 암호화 기능:

단순 배치
데이터 스키마 또는 데이터베이스 애플리케이션에 대한 변경이 필요하지 않음
지원되는 모든 Db2 플랫폼 및 구성에서 무료로 사용할 수 있습니다.

Db2 에서 사용하는 암호화 기능은 FIPS 140-2인증 기능이며 NIST SP 800-131A 준수 암호화 알고리즘을 사용합니다. Db2 도 사용 가능한 경우 암호화를 위해 기본 CPU 하드웨어 가속을 자동으로 발견하고 사용합니다.

데이터베이스를 암호화할 때 Db2 원시 (native) 암호화는 다음과 같이 데이터를 포함하는 모든 파일을 보호합니다.

모든 테이블스페이스(시스템 정의 및 사용자 정의 둘 다)
테이블스페이스 내 모든 유형의 데이터(LOB 및 XML 데이터 유형 포함)
아카이브된 로그 파일을 포함한 모든 트랜잭션 로그
LOAD COPY 데이터
LOAD 스테이징 파일

소스 데이터베이스가 암호화되지 않은 경우에도 Db2 원시 암호화를 사용하여 데이터베이스 백업을 암호화할 수 있습니다.