메뉴
Amazon Relational Database Service
사용 설명서 (API Version 2014-10-31)

Oracle 기본 네트워크 암호화

Amazon RDS는 Oracle 기본 네트워크 암호화(NNE)를 지원합니다. 기본 네트워크 암호화를 사용하면 DB 인스턴스에서 주고받는 데이터를 암호화할 수 있습니다. Amazon RDS는 Oracle의 모든 에디션에서 NNE를 지원합니다. Amazon RDS는 db.t1.micro보다 더 큰 모든 DB 인스턴스에 대해 Oracle 기본 네트워크 암호화를 지원합니다.

Oracle 기본 네트워크 암호화에 대한 자세한 설명은 본 문서의 범위에서 벗어나지만 배포할 솔루션을 결정하려면 각 알고리즘과 키의 장단점은 잘 알고 있어야 합니다. 기본값이 아닌 TDE 암호화 알고리즘은 Oracle 11.2.0.2.v7 이상 버전에서만 작동합니다. Oracle 기본 네트워크 암호화를 통해 제공되는 알고리즘 및 키에 대한 자세한 내용은 Oracle 설명서의 Configuring Network Data Encryption을(를) 참조하십시오. AWS 보안에 대한 자세한 내용은 AWS 보안 센터을(를) 참조하십시오.

참고

Native Network Encryption 또는 Secure Sockets Layer를 사용할 수 있지만 둘 다 사용할 수는 없습니다. 자세한 내용은 Oracle SSL 단원을 참조하십시오.

NNE 옵션 설정

Amazon RDS는 NNE 옵션에 대해 다음 설정을 지원합니다.

옵션 설정 유효한 값 기본값 설명

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

클라이언트 또는 클라이언트 역할을 하는 서버가 DB 인스턴스에 연결된 경우의 암호화 동작입니다.

Requested는 DB 인스턴스에서 클라이언트의 송신 트래픽을 암호화할 필요가 없음을 나타냅니다.

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

클라이언트 또는 클라이언트 역할을 하는 서버가 DB 인스턴스에 연결된 경우의 데이터 무결성 동작입니다.

Requested는 DB 인스턴스에서 클라이언트에 체크섬을 수행하도록 요구할 필요가 없음을 나타냅니다.

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256,AES256, AES192,3DES168, RC4_128,AES128, 3DES112,RC4_56, DES,RC4_40, DES40

RC4_256,AES256, AES192,3DES168, RC4_128,AES128, 3DES112,RC4_56, DES,RC4_40, DES40

DB 인스턴스에서 사용하는 암호화 알고리즘 목록입니다. DB 인스턴스에서는 알고리즘이 성공하거나 목록의 끝에 도달할 때까지 각 알고리즘을 순서대로 사용하여 클라이언트 입력을 해독합니다.

Amazon RDS는 다음과 같은 Oracle의 기본 목록을 사용합니다. 순서를 변경하거나 DB 인스턴스가 수락할 알고리즘을 제한할 수 있습니다.

  1. RC4_256: RSA RC4(256비트 키 크기)

  2. AES256: AES(256비트 키 크기)

  3. AES192: AES(192비트 키 크기)

  4. 3DES168112: 3키 Triple-DES(비트 유효 키 크기)

  5. RC4_128: RSA RC4(128비트 키 크기)

  6. AES128: AES(128비트 키 크기)

  7. 3DES1122키 Triple-DES(80비트 유효 키 크기)

  8. RC4_56: RSA RC4(56비트 키 크기)

  9. DES: Standard DES(56비트 키 크기)

  10. RC4_40: RSA RC4(40비트 키 크기)

  11. DES40: DES40(40비트 키 크기)

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

sha-1,md5

sha-1,md5

체크섬 알고리즘입니다.

NNE 옵션 추가

NNE 옵션을 DB 인스턴스에 추가하는 일반적인 프로세스는 다음과 같습니다.

  1. 새 옵션 그룹을 생성하거나 기존 옵션 그룹을 복사 또는 수정합니다.

  2. 옵션을 옵션 그룹에 추가합니다.

  3. 옵션 그룹을 DB 인스턴스에 연동시킵니다.

NNE 옵션을 추가하면 옵션 그룹이 활성화되는 순간, NNE가 활성화됩니다.

DB 인스턴스에 NNE 옵션을 추가하려면

  1. [Engine]에서 사용할 Oracle 버전을 선택합니다. NNE는 모든 에디션에서 지원됩니다.

  2. [Major Engine Version]에서 [11.2] 또는 [12.1]을 선택합니다.

    자세한 내용은 옵션 그룹 생성 단원을 참조하십시오.

  3. [NNE] 옵션을 옵션 그룹에 추가합니다. 옵션 추가에 대한 자세한 내용은 옵션을 옵션 그룹에 추가하기 단원을 참조하십시오.

    참고

    NNE 옵션을 추가한 후 DB 인스턴스를 재시작할 필요가 없습니다. 옵션 그룹이 활성화되자마자 NNE가 활성화됩니다.

  4. 옵션 그룹을 새 DB 인스턴스 또는 기존 DB 인스턴스에 적용합니다:

NNE 사용

Oracle 기본 네트워크 암호화를 사용하여 클라이언트 쪽에서 네트워크 암호화를 지정할 수도 있습니다. 클라이언트(DB 인스턴스에 연결하는 데 사용된 컴퓨터)에서 sqlnet.ora 파일을 사용하여 SQLNET.CRYPTO_CHECKSUM_CLIENT, SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT, SQLNET.ENCRYPTION_CLIENT 및 SQLNET.ENCRYPTION_TYPES_CLIENT 클라이언트 설정을 지정할 수 있습니다. 자세한 내용은 Oracle 설명서의 Configuring Network Data Encryption and Integrity for Oracle Servers and Clients을(를) 참조하십시오.

DB 인스턴스에서 애플리케이션의 연결 요청을 거부하는 경우도 있습니다(예: 클라이언트와 서버의 암호화 알고리즘이 일치하지 않는 경우).

Oracle 기본 네트워크 암호화를 테스트하려면 클라이언트의 sqlnet.ora 파일에 다음 줄을 추가합니다.

Copy
DIAG_ADR_ENABLED=off TRACE_DIRECTORY_CLIENT=/tmp TRACE_FILE_CLIENT=nettrace TRACE_LEVEL_CLIENT=16

이 줄은 연결이 시도될 때 클라이언트에서 /tmp/nettrace*라는 추적 파일을 생성합니다. 추적 파일에는 연결 관련 정보가 포함되어 있습니다. Oracle 기본 네트워크 암호화를 사용할 때 연결 관련 문제에 대한 자세한 내용은 Oracle 설명서의 About Negotiating Encryption and Integrity을(를) 참조하십시오.

NNE 설정 수정

NNE를 활성화한 후 옵션 설정을 수정할 수 있습니다. 옵션 설정을 변경하는 방법에 대한 자세한 내용은 옵션 설정 변경 단원을 참조하십시오. 각 설정에 대한 자세한 내용은 NNE 옵션 설정 단원을 참조하십시오.

NNE 옵션 제거

DB 인스턴스에서 NNE를 제거할 수 있습니다.

DB 인스턴스에서 NNE를 제거하려면 다음 중 하나를 수행합니다.

  • 여러 DB 인스턴스에서 NNE를 제거하려면 인스턴스가 속한 옵션 그룹에서 해당 NNE 옵션을 제거합니다. 이 변경은 해당 옵션 그룹을 사용하는 모든 DB 인스턴스에 영향을 미칩니다. NNE 옵션을 제거한 후 DB 인스턴스를 재시작할 필요가 없습니다. 자세한 내용은 옵션을 옵션 그룹에서 제거하기 단원을 참조하십시오.

     

  • 단일 DB 인스턴스에서 NNE를 제거하려면 DB 인스턴스를 수정하고 NNE 옵션이 포함되지 않은 다른 옵션 그룹을 지정합니다. 기본(빈) 옵션 그룹을 지정하거나 다른 사용자 지정 옵션 그룹을 지정할 수 있습니다. NNE 옵션을 제거한 후 DB 인스턴스를 재시작할 필요가 없습니다. 자세한 내용은 Oracle 데이터베이스 엔진 기반 DB 인스턴스의 변경 단원을 참조하십시오.

관련 주제