메뉴
Amazon Relational Database Service
사용 설명서 (API Version 2014-10-31)

Oracle Transparent Data Encryption

Amazon RDS는 Oracle Enterprise Edition에서 지원되는 Oracle Advanced Security 옵션의 한 가지 기능인 Oracle Transparent Data Encryption(TDE)을 지원합니다. 이 기능은 스토리지에 데이터를 쓰기 전에 자동으로 데이터를 암호화한 뒤에 데이터를 스토리지에서 읽을 때 다시 자동으로 해독합니다.

Oracle Transparent Data Encryption은 민감한 데이터를 암호화해야 하는 시나리오에 사용됩니다. 데이터 파일과 백업 파일이 제3자의 수중에 들어가거나 보안 관련 규정 준수 문제를 해결해야 하는 경우를 예로 들 수 있습니다.

참고

TDE 옵션 또는 AWS CloudHSM Classic을 사용할 수 있지만 둘 다 사용할 수는 없습니다. 자세한 내용은 AWS CloudHSM Classic을 사용하여 Amazon RDS Oracle TDE 키 저장 단원을 참조하십시오.

TDE 옵션은 옵션 그룹에서 제거할 수 없는 영구 옵션입니다. 따라서 옵션 그룹이 DB 인스턴스와 연결되어 있는 경우 옵션 그룹을 DB 인스턴스에서 제거할 수 없습니다. 인스턴스가 Oracle TDE 옵션을 포함하는 옵션 그룹에 연결되어 있는 경우 DB 인스턴스에서 TDE를 비활성화할 수 없습니다.

Oracle Transparent Data Encryption에 대한 자세한 내용은 본 문서의 범위에서 벗어납니다. Oracle Transparent Data Encryption 사용에 대한 자세한 내용은 Securing Stored Data Using Transparent Data Encryption을 참조하십시오. Oracle Advanced Security에 대한 자세한 내용은 Oracle 설명서의 Oracle Advanced Security를 참조하십시오. AWS 보안에 대한 자세한 내용은 AWS 보안 센터를 참조하십시오.

TDE 암호화 모델

Oracle Transparent Data Encryption은 TDE 테이블스페이스 암호화 및 TDE 열 암호화의 두 가지 모드를 지원합니다. TDE 테이블스페이스 암호화는 전체 애플리케이션 테이블을 암호화하는 데 사용됩니다. TDE 열 암호화는 중요 데이터를 포함하는 개별 데이터 요소를 암호화하는 데 사용됩니다. TDE 테이블스페이스 암호화와 열 암호화를 모두 사용하는 하이브리드 암호화 솔루션을 적용할 수도 있습니다.

참고

Amazon RDS가 DB 인스턴스의 Oracle Wallet 및 TDE 마스터 키를 관리합니다. [ALTER SYSTEM set encryption key] 명령을 사용하여 암호화 키를 설정하지 않아도 됩니다.

TDE 모범 사례에 대한 자세한 내용은 Oracle Advanced Security Transparent Data Encryption Best Practices를 참조하십시오.

옵션을 활성화한 경우 다음 명령을 사용하여 Oracle Wallet의 상태를 확인할 수 있습니다.

Copy
SELECT * FROM v$encryption_wallet;

암호화된 테이블스페이스를 생성하려면 다음 명령을 사용합니다.

Copy
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

암호화 알고리즘을 지정하려면(버전 11.2.0.2.v7 이상), 다음 명령을 사용합니다.

Copy
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

테이블스페이스를 암호화하는 이전 명령은 Amazon RDS에서 Oracle을 설치하지 않은 경우에 사용하는 명령과 동일하며, 열을 암호화하는 ALTER TABLE 구문 역시 Amazon RDS에서 Oracle을 설치하지 않은 경우에 사용하는 명령과 동일합니다.

DB 인스턴스가 TDE 옵션이 있는 옵션 그룹과 연결되어 있는지 먼저 확인해야 합니다. DB 인스턴스와 연동되어 있는 옵션 그룹은 RDS 콘솔, describe-db-instance AWS CLI 명령, 또는 API 작업 DescribeDBInstances를 사용하여 확인할 수 있습니다.

또한 몇 가지 보안 기준을 준수하기 위해 Amazon RDS는 주기적으로 마스터 키를 자동으로 교체하고 있습니다.

TDE 옵션 추가

Amazon RDS에서 Oracle Transparent Data Encryption(TDE)을 사용하는 프로세스는 다음과 같습니다.

  1. DB 인스턴스가 TDE 옵션이 활성화된 옵션 그룹과 연결되어 있지 않으면 먼저 옵션 그룹을 생성한 후 TDE 옵션을 추가하거나 연결된 옵션 그룹의 설정을 변경하여 TDE 옵션을 추가합니다. 옵션 그룹의 생성 및 변경에 대한 자세한 내용은 옵션 그룹 작업 항목을 참조하십시오. 옵션 그룹에 옵션을 추가하는 방법에 대한 자세한 내용은 옵션을 옵션 그룹에 추가하기 항목을 참조하십시오.

  2. DB 인스턴스를 TDE 옵션이 있는 옵션 그룹과 연결합니다. DB 인스턴스와 옵션 그룹의 연동에 대한 자세한 내용은 Oracle 데이터베이스 엔진 기반 DB 인스턴스의 변경 단원을 참조하십시오.

TDE 옵션 제거

더 이상 TDE 옵션을 DB 인스턴스와 함께 사용하지 않으려면 DB 인스턴스에서 모든 데이터를 해독하고 TDE가 활성화된 옵션 그룹과 연결되지 않은 새 DB 인스턴스에 데이터를 복사한 다음 원본 인스턴스를 삭제해야 합니다. 원하는 경우 새 인스턴스의 이름을 이전 DB 인스턴스와 동일하게 변경할 수 있습니다.

Data Pump에서 TDE 사용

Oracle Data Pump를 사용하여 암호화된 덤프 파일을 가져오거나 내보낼 수 있습니다. Amazon RDS는 Oracle Data Pump에 대한 암호 암호화 모드(ENCRYPTION_MODE=PASSWORD)를 지원합니다. Amazon RDS는 Oracle Data Pump에 대한 투명한 암호화 모드(ENCRYPTION_MODE=TRANSPARENT)를 지원하지 않습니다. Amazon RDS에서 Oracle Data Pump를 사용하는 방법에 대한 자세한 내용은 Oracle Data Pump 항목을 참조하십시오.

관련 주제