데이터 암호화

데이터 암호화는 미디어가 물리적으로 손실되는 경우 내부의 데이터를 읽을 수 없고 아직 기밀인지 확인합니다. 데이터를 얻을 수 없거나 얻기 위해 복호화해야 합니다. IBM® Integrated Analytics System에서 저장 데이터(디스크의 데이터)의 다중 레벨 암호화를 제공합니다.

Db2® 소프트웨어 암호화는 Db2가 관리하고 스토리지 디바이스에 저장되는 데이터베이스 데이터만 보고하는 데 사용됩니다. 통합 랙이 있는 시스템은 저장된 모든 데이터를 보호하기 위해 스토리지 디바이스의 기본 하드웨어 암호화 기능을 사용으로 설정합니다.

IIAS는 SSHA(Salted SHA1) 스킴을 사용하여 LDAP 데이터베이스에 내부 사용자 암호를 저장합니다.

암호화 스킴

암호화 스킴에서 보호가 필요한 데이터는 암호화 알고리즘 및 암호화 키를 적용하여 읽을 수 없는 양식으로 변환됩니다. 암호화 알고리즘은 암호화 및 복호화 프로세스에서 사용되는 수학 함수입니다. 암호화 키는 암호화 알고리즘 조작을 제어하고 신뢰할 수 있는 데이터 암호화 및 복호화를 사용하는 시퀀스입니다. 로컬 또는 외부 키 관리자는 일반적으로 키를 관리하는 데 사용됩니다.

원시(native) 데이터베이스 암호화를 사용하여 데이터베이스 시스템은 기본 파일 시스템을 호출하여 디스크에 해당 데이터를 쓰기 전에 데이터를 암호화합니다. 이는 현재 데이터 외에도 새 테이블스페이스 컨테이너 또는 이후에 추가될 수 있는 테이블스페이스의 데이터도 보호됨을 의미합니다. 데이터베이스 암호화 키(DEK)는 실제 사용자 데이터가 암호화되는 암호화 키입니다. 마스터 키는 "키를 암호화하는 키"이며 DEK를 보호하는 데 사용됩니다. DEK는 데이터베이스에 의해 저장되고 관리되지만 마스터 키는 데이터베이스의 외부에서 저장되고 관리됩니다. 마스터 키 회전에 대한 정보는 Db2 Warehouse 원시(native) 암호화를 참조하십시오.

하드웨어 암호화를 사용하면 플래시 서브시스템과 같은 스토리지 디바이스는 데이터가 미디어에 기록될 때 암호화 키를 기반으로 데이터를 암호화할 수 있습니다. 암호화 키는 스토리지 제어기에 상주하거나 IBM Security Key Lifecycle Manager와 같은 암호화 키 서버에 외부적으로 보존됩니다.

스토리지 암호화가 통합 랙 모델에서 작동하는 방법에 대한 정보는 통합 랙이 있는 시스템의 스토리지 하드웨어 암호화의 내용을 참조하십시오.

스토리지 암호화가 M4002-001 모델에서 작동하는 방법에 대한 정보는 M4002-001 모델의 스토리지 하드웨어 암호화의 내용을 참조하십시오.

현재 Db2 소프트웨어 암호화는 기본적으로 사용으로 설정되며 사용 안함으로 설정할 수 없습니다. 키는 항상 Db2 소프트웨어에 의해 관리됩니다. 통합 랙 모델은 IBM SKLM(IBM Security Key Lifecycle Manager)을 통해 외부 암호화 키 관리를 지원합니다.

통합 랙 모델 지속적 미디어 유형

IIAS에서 세 기본 유형의 지속적 미디어가 있습니다.
  1. 서버 상주 하드 디스크 드라이브(OS 디스크)
    • 디스크는 OS, 기타 소프트웨어 패키지, 로그 파일, OS 스왑 영역을 보유합니다.
    • 암호화된 하드웨어가 아닙니다.
    • 디스크의 하드웨어 암호화는 현재 Power® P8 서버에서 지원되지 않습니다.
  2. 첫 번째 티어 스토리지(핫 테이블 데이터)
    • 데이터는 FlashSystem 900 스토리지 어레이에 의해 제공됩니다.
    • 데이터는 항상 플래시 모듈에서 암호화된 방식으로 작성되며 기본적으로 키는 플래시 어레이 제어기에 상주합니다. 이는 IIAS를 외부 IBM SKLM(IBM Security Key Lifecycle Manager)과 통합하여 관리할 수 있습니다.
    • 플래시 모듈이 제거되면 데이터를 읽을 수 없습니다. 전체 플래시 어레이가 제거되면 데이터에 액세스할 수 있지만(IBM SKLM에서 키를 외부적으로 관리하지 않는 경우) 동시에 Db2 소프트웨어에 의해 암호화됩니다.
  3. 두 번째 티어 스토리지(쿨링 데이터)
    • 데이터는 V5020 HDD 스토리지 어레이에 의해 제공됩니다.
    • 데이터가 암호화되어 작성되지 않지만 Db2 소프트웨어 암호화에 의해 보호됩니다.

IIAS 하드웨어 구성 요소의 자세한 정보는 랙 제공 모델 하드웨어의 내용을 참조하십시오.

M4002-001 모델 지속적 미디어 유형

IIAS M4002-001에서 두 기본 유형의 지속적 미디어가 있습니다.
  1. 두 M.2 드라이브 - OS 및 플랫폼의 경우
    • 핫스왑 가능하지 않습니다.
    • 암호화를 지원하지 않습니다.
  2. 네 4TB NVMe SSD 드라이브 - 사용자 데이터의 경우
    • 사용자 데이터 스토리지에 사용되는 핫스왑 가능 드라이브입니다.
    • 저장 데이터 암호화는 항상 사용으로 설정됩니다.
    • 데이터 보호 및 중복성은 GPFS로 관리됩니다.