저장된 데이터 암호화

암호화 프로세스

MongoDB Enterprise에서 암호화 기능을 활성화하면 기본적으로 OpenSSL을 통한 AES256-CBC (256비트 고급 암호화 표준, Cipher Block Chaining 모드) 암호화 모드를 사용합니다. AES-256은 대칭 키 방식을 사용하여, 암호화와 해독에 동일한 키를 사용합니다. Linux용 MongoDB Enterprise는 인증된 암호화 AES256-GCM (또는 갈루아/카운터 모드에서 256비트 고급 암호화 표준)도 지원합니다.

암호화된 스토리지 엔진은 기본 운영 체제의 인증된 암호화 제공자를 사용하여 암호화 작업을 수행합니다. 예를 들어, Linux 운영 체제에 MongoDB를 설치할 때는 OpenSSL libcrypto FIPS-140 모듈을 사용합니다.

FIPS 호환 모드에서 MongoDB를 실행하려면 다음 안내를 따르세요.

1. 운영 체제가 FIPS 시행 모드에서 실행되도록 구성합니다.

2. net.tls.FIPSMode 설정을 활성화하도록 MongoDB를 구성합니다.

3. mongod 또는 mongos 을 다시 시작합니다.

4. 서버 로그 파일을 확인하여 FIPS 모드가 활성화되어 있는지 확인합니다. FIPS 모드가 활성화된 경우 로그 파일에 FIPS 140-2 mode activated 메시지가 나타납니다.

자세한 내용은 FIPS용 MongoDB 구성을 참조하세요.

데이터 암호화 프로세스에는 다음이 포함됩니다.

• 마스터 키를 생성합니다.

• 각 데이터베이스에 대한 키를 생성합니다.

• 데이터베이스 키로 데이터를 암호화합니다.

• 마스터 키로 데이터베이스 키를 암호화합니다.

이 암호화는 스토리지 계층에서 투명하게 일어나며, 모든 데이터 파일은 파일 시스템 관점에서 완전히 암호화됩니다. 데이터는 메모리와 전송 중에만 암호화되지 않은 상태로 존재합니다.

MongoDB의 모든 네트워크 트래픽을 암호화하려면 TLS/SSL (전송 계층 보안/보안 소켓 계층)을 사용할 수 있습니다. See TSS/SSL을 위해 mongod 및 mongos 구성, 클라이언트를 위한 TLS/SSL 구성을 참조하세요.

키 관리

데이터베이스 키는 서버 내부에 존재하며, 암호화된 형태로만 디스크에 저장됩니다. MongoDB는 어떤 상황에서도 마스터 키를 디스크에 저장하지 않습니다.

마스터 키만 서버 외부(예: 데이터 및 데이터베이스 키와 별도로 보관)에 있으며 외부 관리가 필요합니다. MongoDB의 암호화된 스토리지 엔진은 마스터 키를 관리하기 위해 두 가지 키 관리 옵션을 지원합니다.

• Key Management Interoperability Protocol(KMIP)를 통해 타사 키 관리 어플라이언스와 통합합니다. 권장

  참고

  KMIP를 사용하는 타사 키 관리 어플라이언스와 통합하려면 다음 KMIP 작업을 허용해야 합니다.

  • 생성(operation_create)

  • (operation_get) 가져오기

  • (operation_activate)활성화

• 키 파일을 통한 로컬 키 관리.

암호화를 위해 MongoDB를 구성하고 두 가지 키 관리 옵션 중 하나를 사용하려면 암호화 구성을 참조하세요.

암호화 및 복제

암호화는 복제의 일부가 아닙니다:

• 마스터 키와 데이터베이스 키는 복제되지 않습니다.

• 데이터는 기본적으로 유선을 통해 암호화되지 않습니다.

노드에 동일한 키를 재사용할 수 있지만 MongoDB에서는 각 노드에 대해 개별 키를 사용하고 전송 암호화를 사용할 것을 권장합니다.

자세한 내용은 암호화 키 회전을 참조하세요.

감사 로그

MongoDB Enterprise에서만 사용할 수 있습니다.