SQL Server에서 TDE(투명한 데이터 암호화) 지원

Amazon RDS는 Microsoft SQL Server를 실행하는 DB 인스턴스에 저장된 데이터를 암호화하기 위하여 Transparent Data Encryption(TDE) 이용을 지원합니다. TDE는 스토리지에 데이터를 쓰기 전에 자동으로 데이터를 암호화한 뒤에 데이터를 스토리지에서 읽을 때 다시 자동으로 복호화합니다.

Amazon RDS는 다음 SQL Server 버전에 TDE를 지원합니다.

• SQL Server 2022 Standard Edition 및 Enterprise Edition

• SQL Server 2019 Standard Edition 및 Enterprise Edition

• SQL Server 2017 Enterprise Edition

• SQL Server 2016 Enterprise Edition

SQL Server의 TDE는 2계층 키 아키텍처를 사용하여 암호화 키 관리 기능을 지원합니다. 데이터베이스 마스터 키에서 생성된 인증서는 데이터 암호화 키를 보호하는 데 사용됩니다. 데이터베이스 암호화 키는 사용자 데이터베이스의 데이터를 실제로 암호화 및 복호화합니다. Amazon RDS는 데이터베이스 마스터 키와 TDE 인증서를 백업하고 관리합니다.

Transparent Data Encryption은 중요한 데이터를 암호화해야 하는 경우에 사용됩니다. 예를 들어 타사에 데이터 파일과 백업을 제공하거나 보안 관련 규정 준수 문제를 해결하고 싶을 수 있습니다. model 또는 master 데이터베이스와 같은 SQL Server의 시스템 데이터베이스를 암호화할 수 없습니다.

투명한 데이터 암호화에 대한 자세한 설명은 본 문서의 범위에서 벗어나지만, 보안과 관련하여 각 암호화 알고리즘과 키의 장단점은 잘 알고 있어야 합니다. SQL Server의 투명한 데이터 암호화(TDE)에 대한 자세한 내용은 Microsoft 설명서의 투명한 데이터 암호화(TDE)를 참조하세요.

주제

• RDS for SQL Server에 대한 TDE 활성화
• RDS for SQL Server의 데이터 암호화
• RDS for SQL Server에서 TDE 인증서 백업 및 복원
• 온프레미스 데이터베이스에 대한 TDE 인증서 백업 및 복원
• RDS for SQL Server에 대한 TDE 비활성화

RDS for SQL Server에 대한 TDE 활성화

RDS for SQL Server DB 인스턴스에서 투명한 데이터 암호화를 활성화하려면 해당 DB 인스턴스와 연동되어 있는 RDS 옵션 그룹에서 TDE 옵션을 지정해야 합니다.

1. 혹시 DB 인스턴스가 TDE 옵션이 추가된 옵션 그룹과 이미 연동되어 있는지 먼저 확인합니다. DB 인스턴스와 연동되어 있는 옵션 그룹은 RDS 콘솔, describe-db-instance AWS CLI 명령 또는 API 작업 DescribeDBInstances를 사용하여 확인할 수 있습니다.

2. DB 인스턴스가 TDE가 활성화된 옵션 그룹과 연결되어 있지 않으면 2가지 옵션을 사용할 수 있습니다. 옵션 그룹을 생성하고 TDE 옵션을 추가하거나, 연결된 옵션 그룹을 수정하여 추가할 수 있습니다.

   참고

   RDS 콘솔에서는 옵션의 이름이 TRANSPARENT_DATA_ENCRYPTION입니다. AWS CLI 및 RDS API에서는 이 이름이 TDE입니다.

   옵션 그룹의 생성 및 변경에 대한 자세한 내용은 옵션 그룹 작업 단원을 참조하십시오. 옵션 그룹에 옵션을 추가하는 방법에 대한 자세한 내용은 옵션 그룹에 옵션 추가 단원을 참조하십시오.

3. DB 인스턴스를 TDE 옵션이 있는 옵션 그룹과 연결합니다. DB 인스턴스와 옵션 그룹의 연동에 대한 자세한 내용은 Amazon RDS DB 인스턴스 수정 단원을 참조하십시오.

옵션 그룹 고려 사항

TDE 옵션은 영구 옵션입니다. 모든 DB 인스턴스 및 백업이 옵션 그룹과 연결되어 있지 않은 경우를 제외하고 옵션 그룹에서 DB 인스턴스 및 백업을 제거할 수 없습니다. TDE 옵션을 옵션 그룹에 추가하면 이 옵션 그룹은 TDE를 사용하는 DB 인스턴스에 한해 연동이 가능합니다. 옵션 그룹의 영구 옵션에 대한 자세한 내용은 옵션 그룹 개요 단원을 참조하십시오.

TDE 옵션은 영구 옵션이기 때문에 옵션 그룹과 연결된 DB 인스턴스 사이에 충돌이 일어날 수 있습니다. 다음 상황에서 충돌이 발생할 수 있습니다.

• 현재 TDE 옵션을 설정한 옵션 그룹을 TDE 옵션을 사용하지 않는 옵션 그룹으로 변경하는 경우

• DB 스냅샷에서 TDE 옵션을 포함하는 옵션 그룹이 연결되지 않은 새 DB 인스턴스로 복원하는 경우 이 시나리오에 대한 자세한 내용은 옵션 그룹에 대한 고려 사항를 참조하십시오.

SQL Server 성능 고려 사항

투명한 데이터 암호화를 사용하면 SQL Server DB 인스턴스의 성능에 영향을 미칠 수 있습니다.

DB 인스턴스의 데이터베이스 중 암호화된 데이터베이스가 하나 이상만 있어도 마찬가지로 암호화되지 않은 데이터베이스의 성능이 떨어질 수 있습니다. 따라서 암호화되지 않은 데이터베이스와 암호화된 데이터베이스는 별도의 DB 인스턴스에서 관리하는 것이 좋습니다.