모범 사례 8.1 – 저장 데이터 암호화 - SAP Lens

모범 사례 8.1 – 저장 데이터 암호화

저장 데이터는 디지털 방식으로 저장된 모든 데이터를 말합니다. AWS는 암호화를 사용하여 이 데이터가 승인된 사용자에게만 표시되고 스토리지 또는 데이터베이스에 대한 액세스가 손상될 경우 애플리케이션과 독립적으로 보호된 상태를 유지하도록 합니다.

제안 사항 8.1.1 – 암호화를 적용할 수준을 정의

일반적으로 암호화를 배포하는 스택이 높을수록 데이터가 안전해집니다. 그러나 보안이 강화되는 한편으로 배포 및 관리 복잡성도 가중됩니다. 해당 서비스 내에서 사용 가능한 저장 데이터 암호화 옵션을 사용하는 것이 좋습니다. 필요한 경우 [보안]: 모범 사례 5.3 – SAP 워크로드에 대한 특정 보안 제어가 필요한지 평가에 정의된 대로 추가 운영 체제 또는 데이터베이스 암호화를 고려합니다.

제안 사항 8.1.2 – SAP 서비스 및 솔루션에 대한 AWS 암호화 옵션을 이해

SAP가 저장 데이터에 사용하는 핵심 AWS 서비스는 Amazon EC2(AMI 및 EBS 볼륨), Amazon FSx for Windows File Server 또는 공유 파일 시스템용 Amazon EFS 및 백업 또는 기타 객체 스토어 사용 사례용 Amazon S3입니다.

이러한 서비스에 저장된 데이터는 AWS KMS의 AWS 또는 고객 관리형 키 중 하나를 사용하여 저장 데이터로 암호화될 수 있습니다.

운영 체제 암호화 옵션에는 BitLocker, DM-crypt, SuSE Remote Disk가 포함됩니다.

다음 링크는 데이터베이스용 암호화 옵션에 대한 정보를 찾는 데 도움이 될 수 있습니다.

데이터베이스 Guidance
SAP HANA SAP 설명서: 서버 측 데이터 암호화 서비스
SAP ASE SAP 설명서: SAP ASE 암호화 개요
IBM Db2 IBM 설명서: Db2 암호화 개요
Oracle SAP Note: 2591575 - SAP NetWeaver와 함께 Oracle 투명한 데이터 암호화(TDE) 사용 [SAP 포털 액세스 권한 필요]
Microsoft SQL Server SAP Note: 1380493 - SQL Server 투명한 데이터 암호화(TDE) [SAP 포털 액세스 권한 필요]
SAP MaxDB SAP 설명서: SAP MaxDB 데이터베이스 관리 - 암호화

제안 사항 8.1.3 – 암호화 방법 및 키 관리 스토어를 정의

일반적으로 키 관리는 엔터프라이즈 수준에서 정의되며, 이에 따라 SAP 워크로드에 사용할 수 있는 키 관리 옵션이 결정됩니다. AWS KMS는 AWS 서비스용 암호화 키의 관리를 단순화하는 안전하고 복원력 있는 서비스입니다. 자체 하드웨어 보안 모듈(HSM)을 관리해야 하는 요구 사항이 있는 경우 AWS CloudHSM을 사용할 수 있습니다.

마스터 키를 보호하기 위한 메커니즘도 고려해야 합니다. 어떻게 키에 대한 액세스를 제한하고, 교체를 관리하고, 복구 가능성을 보장합니까?

HANA 저장 데이터 암호화 루트 키는 파일 시스템(Instance SSFS) 또는 SAP Data Custodian SaaS Solution의 인스턴스 보안 스토어에만 안전하게 저장할 수 있습니다. 인스턴스 스토어를 사용하는 경우 마스터 키는 교체 정책을 적용하여 AWS Secrets Manager 에 저장할 수 있습니다.