문서 메뉴
문서 홈
/
언어
/
C++
/
C++ 드라이버

Client-Side Field Level Encryption

이 페이지의 내용

  • Client-Side Field Level Encryption
  • 설치
  • 예제

Client-Side Field Level Encryption

MongoDB 4 의 새로운 기능 2 CSFLE(클라이언트 측 필드 레벨 암호화) 를 사용하면 관리자와 개발자가 다른 MongoDB 암호화 기능 외에도 특정 데이터 필드를 암호화할 수 있습니다.

개발자는 CSFLE를 사용하여 서버 사이드 구성이나 지시문 없이 클라이언트 사이드에서 필드를 암호화할 수 있습니다. 클라이언트 측 필드 레벨 암호화는 서버 관리자를 포함한 권한이 없는 당사자가 암호화된 데이터를 읽을 수 없도록 애플리케이션이 보장해야 하는 워크로드를 지원합니다.

CSFLE에 대한 개요는 매뉴얼의 공식 MongoDB 문서를 참조하세요.

설치

libmongocrypt

클라이언트 측 필드 레벨 암호화는 라는 C 라이브러리를 사용하여 libmongocrypt 어려운 암호화 작업을 수행합니다. 이 종속성은 C 드라이버에 의해 관리됩니다. C 드라이버 설치가 인 1 한.16.0 이상이고 클라이언트 측 필드 레벨 암호화 지원으로 컴파일된 경우 이 종속성은 내부적으로 관리해야 합니다. C 드라이버의 클라이언트 측 필드 레벨 암호화 사용 하기를 참조하세요. 을(를) 참조하세요.

mongocryptd

자동 CSFLE는 드라이버가 작동하는 동안 데몬으로 실행되는 mongocryptd 라는 새 바이너리에 의존합니다. 이 바이너리는 MongoDB Enterprise에서만 사용할 수 있습니다.

mongocryptd 드라이버와 별도로 시작하거나 암호화를 사용할 때 자동으로 생성되도록 둘 수 있습니다.

mongocryptd를 별도로 실행하려면 mongocryptdBypassSpawn 플래그를 클라이언트의 자동 암호화 옵션에 전달합니다.

auto mongocryptd_options = make_document(kvp("mongocryptdBypassSpawn", true));
options::auto_encryption auto_encrypt_opts{};
auto_encrypt_opts.extra_options({mongocryptd_options.view()});

mongocryptd 바이너리가 현재 경로에 있는 경우 드라이버는 사용자 지정 플래그 없이 이를 생성할 수 있습니다. 그러나 mongocryptd 바이너리가 다른 경로에 있는 경우 mongocryptdSpawnPath 옵션을 사용하여 경로를 설정합니다.

auto mongocryptd_options = make_document(kvp("mongocryptdSpawnPath", "path/to/mongocryptd"));
options::auto_encryption auto_encrypt_opts{};
auto_encrypt_opts.extra_options({mongocryptd_options.view()});

예제

자동 클라이언트 사이드 필드 레벨 암호화

자동 클라이언트 측 필드 레벨 암호화는 auto_encryption_opts 옵션이 mongocxx::options::auto_encryption 인스턴스로 설정된 mongocxx::client 를 생성하여 활성화됩니다. 다음 예제에서는 mongocxx::client_encryption 클래스를 사용하여 새 암호화 데이터 키를 생성하고 자동 클라이언트 사이드 필드 수준 암호화를 설정하는 방법을 보여 줍니다.

참고

자동 클라이언트 사이드 필드 수준 암호화에는 MongoDB 4.2 엔터프라이즈 또는 MongoDB 4.2 이 필요합니다. Atlas cluster. 서버의 커뮤니티 버전은 자동 암호 해독과 명시적 클라이언트 사이드 필드 수준 암호화를 지원합니다.

로컬 자동 암호화 규칙 제공

다음 예는 schema_map 옵션을 통해 자동 암호화 규칙을 지정하는 방법을 보여줍니다. 자동 암호화 규칙은 JSON Schema 구문의 엄격한 하위 집합을 사용하여 표현됩니다.

schema_map 를 제공하면 서버에서 가져온 JSON Schema에 의존하는 것보다 더 강력한 보안이 제공됩니다. 악의적인 서버가 잘못된 JSON schema 를 광고하여 클라이언트를 속여 암호화되어야 하는 암호화되지 않은 데이터를 보내도록 할 수 있습니다.

schema_map 에 제공된 JSON Schemas는 자동 클라이언트 사이드 필드 수준 암호화를 구성하는 데에만 적용됩니다. JSON schema의 다른 유효성 검사 규칙은 드라이버에서 적용되지 않으므로 오류가 발생합니다.

//
// The schema map has the following form:
//
//   {
//      "test.coll" : {
//         "bsonType" : "object",
//         "properties" : {
//            "encryptedFieldName" : {
//               "encrypt" : {
//                  "keyId" : [ <datakey as UUID> ],
//                  "bsonType" : "string",
//                  "algorithm" : <algorithm>
//               }
//            }
//         }
//      }
//   }
//

예제/mongocxx/automatic_client_side_field_level_encryption.cpp 를 참조하세요. 자동 암호화를 위해 json 스키마를 설정하는 방법에 대한 전체 예시를 확인하세요.

서버측 필드 레벨 암호화 시행

MongoDB 4.2 서버는 스키마 유효성 검사를 사용하여 컬렉션의 특정 필드에 암호화를 적용하는 기능을 지원합니다. 이 스키마 유효성 검사는 애플리케이션이 "encrypt" JSON schema 키워드로 표시된 필드에 암호화되지 않은 값을 삽입하는 것을 방지합니다.

mongocxx::client_encryption 를 사용하여 자동 클라이언트 사이드 필드 수준 암호화를 설정하여 새 암호화 데이터 키를 만들고 자동 암호화 JSON Schema 구문으로 컬렉션을 만들 수 있습니다.

// Please see the linked example below for full json_schema construction.
bsoncxx::document::value json_schema{};
// Create the collection with the encryption JSON Schema.
auto cmd = document{} << "create"
                      << "coll"
                      << "validator" << open_document
                      << "$jsonSchema" << json_schema.view()
                      << close_document << finalize;
db.run_command(cmd.view());

예제/mongocxx/server_side_field_level_encryption_enforcement.cpp 를 참조하세요. 서버에서 암호화 시행을 설정하는 전체 예시를 확인하세요.

명시적 암호화

명시적 암호화는 MongoDB Community 기능이며 mongocryptd 프로세스를 사용하지 않습니다. 명시적 암호화는 mongocxx::client_encryption 클래스에서 제공합니다.

// Explicitly encrypt a BSON value.
auto to_encrypt = bsoncxx::types::bson_value::make_value("secret message");
auto encrypted_message = client_encryption.encrypt(to_encrypt, encrypt_opts);
// Explicitly decrypt a BSON value.
auto decrypted_message = client_encryption.decrypt(encrypted_message);

예제/mongocxx/explicit_encryption.cpp 를 참조하세요. 명시적 암호화 및 암호 해독을 사용하는 전체 예제를 확인하세요.

자동 암호 해독을 통한 명시적 암호화

자동 암호화에는 MongoDB 4.2 엔터프라이즈 또는 MongoDB 4.2 이 필요합니다. Atlas cluster에서는 모든 사용자에 대해 자동 암호 해독이 지원됩니다. 자동 암호화 없이 자동 암호 해독을 구성하려면 options::auto_encryption 클래스에서 bypass_auto_encryption=True 를 설정합니다.

options::auto_encryption auto_encrypt_opts{};
auto_encrypt_opts.bypass_auto_encryption(true);
// Please see full example for complete options construction.
// Create a client with automatic decryption enabled, but automatic encryption bypassed.
options::client client_opts{};
client_opts.auto_encryption_opts(std::move(auto_encrypt_opts));
class client client_encrypted {uri{}, std::move(client_opts)};

예제/mongocxx/explicit_encryption_auto_decryption.cpp 를 참조하세요. 자동 암호 해독과 함께 명시적 암호화를 사용하는 예를 들 수 있습니다.

돌아가기

구성

다음

튜토리얼

이 페이지의 내용