검색 결과가 없습니다

검색어와 일치하는 결과가 없습니다.

원하시는 정보를 찾는 데 도움이 되도록 다음을 시도해 보십시오.

  • 검색에 사용하신 키워드의 철자가 올바른지 확인하십시오.
  • 입력한 키워드에 동의어를 사용하십시오. 예를 들어 “소프트웨어” 대신 “애플리케이션”을 사용해 보십시오.
  • 아래에 표시된 인기 검색어 중 하나를 사용해 보십시오.
  • 새로운 검색을 시작하십시오.
인기 질문

 

모두 열기 모두 닫기

    일반적인 질문

  • 오라클 클라우드 인프라스트럭쳐(OCI) Vault—Key Management란 무엇입니까?

    오라클 클라우드 인프라스트럭쳐(OCI)(OCI) Vault를 사용하면 광범위한 OCI 서비스 및 애플리케이션에서 키 및 암호 사용을 중앙에서 관리하고 제어할 수 있습니다. OCI Vault는 하드웨어 프로비저닝, 소프트웨어 패치 및 고가용성과 같이 시간이 많이 걸리는 관리 작업을 걱정하지 않고 데이터 암호화 요구 사항에 집중할 수 있는 안전하고 탄력적인 관리 서비스입니다.

    키 관리는 FIPS(Federal Information Processing Standards) 140-2 보안 레벨 3 보안 인증을 충족하는 하드웨어 보안 모듈(HSM)을 사용하여 키를 보호합니다. HSM 또는 소프트웨어로 보호되는 마스터 암호화 키를 생성할 수 있습니다. HSM으로 보호되는 키를 사용하면 모든 암호화 작업 및 키 저장이 HSM 내부에 있습니다. 소프트웨어로 보호되는 키를 사용하면 암호화 키가 소프트웨어에 저장되고 처리되지만 HSM의 루트 키를 사용하면 안전하게 보호됩니다.

  • OCI Vault와 Oracle Key Vault의 차이점은 무엇입니까?

    OCI Vault 및 Oracle Key Vault는 Oracle의 두 가지 주요 관리 제품입니다.

    OCI Vault—Key Management는 완전 관리형 서비스이며 OCI에만 저장된 데이터를 보호하기 위해 중앙 집중식 암호화 키 관리를 제공합니다. Key Management의 비전은 다양한 유형의 암호화 키(대칭 및 비대칭)와 오라클 데이터베이스 TDE 및 비 데이터베이스 워크로드를 포함한 일반 워크로드 세트를 지원하는 것입니다. OCI Vault는 기본 2세대 클라우드 암호화 서비스입니다.

    Oracle Key Vault는 온프레미스(Oracle Exadata Cloud@Customer 및 전용 Oracle Autonomous Database 포함) 및 OCI 모두에서 실행되는 TDE 지원 Oracle 데이터베이스에 대한 키 관리는 물론 암호화 된 Oracle GoldenGate 추적 파일 및 암호화된 ACFS 파일 시스템에 대한 키 관리도 제공합니다.

  • Oracle 관리 암호화와 고객 관리 암호화의 차이점은 무엇입니까?

    Oracle 관리는 많은 OCI 서비스에 대한 기본 암호화입니다. Oracle 관리는 Oracle에서 수명주기 관리를 제어하는 암호화 키를 사용하여 데이터가 사용되지 않을 때 암호화됨을 의미합니다. 암호화 키를 관리하거나 액세스하지 않고 OCI에 저장된 모든 데이터를 보호하는 가장 쉬운 방법을 찾고 있는 고객은 Oracle 관리 암호화를 선택하면 됩니다.

    고객 관리 암호화는 고객이 데이터를 보호하는 키를 제어하고 관리하는 OCI Vault—Key Management 서비스에서 제공합니다. 또한 규정 준수를 충족하기 위해 강화된 보안 및 FIPS 140-2 레벨 3 보호가 필요한 고객은 암호화 키가 하드웨어 보안 모듈(HSM)에 저장되므로 고객 관리를 선택합니다.

  • OCI Vault—Key Management에서 다른 유형의 Vault 격리는 무엇입니까?

    OCI Vault는 또한 논리적 키 그룹으로 정의됩니다. 키를 생성하거나 가져오기 전에 자격 증명 모음을 생성해야 합니다.

    자격 증명 모음에는 다음과 같은 두 가지 유형이 있습니다. 가상 개인 자격 증명 모음 및 기본 자격 증명 모음 생성하는 자격 증명 모음 유형에 따라 키의 격리 수준과 성능이 결정됩니다. 각 테넌트에는 0부터 여러 개에 이르는 자격 증명 모음을 둘 수 있습니다.

    가상 개인 자격 증명 모음은 HSM(단일 테넌트) 전용 파티션을 제공합니다. 파티션은 다른 파티션과 격리된 HSM의 물리적 경계입니다. 가상 개인 자격 증명 모음은 암호화 작업을 위해 더 나은 일관된 초당 트랜잭션을 제공합니다.

    기본 자격 증명 모음은 다중 테넌트 파티션을 사용하므로 중간 수준의 격리가 있습니다.

  • Vault—Key Management 이용을 시작하려면 어떻게 해야 합니까?

    1. 테넌시 제한에 따라 생성하려는 자격 증명 모음 유형을 생성할 수 있는지 확인하십시오.

    2. 사용자 계정이 자격 증명 모음을 생성하는 데 필요한 권한을 갖도록 Oracle IAM(Identity and Access Management) 정책이 생성되었는지 확인합니다. 설명을 구성하려면 IAM 정책 참조를 참조하십시오.

    3. 먼저 오라클 클라우드 인프라스트럭쳐(OCI) 콘솔에서 보안을 선택한 다음 자격 증명 모음을 선택하여 자격 증명 모음을 생성합니다.

    자격 증명 모음을 생성하고 다음과 같은 두 가지 자격 증명 모음 유형 중에서 격리 및 처리 요구 사항에 가장 잘 부합하는 것을 선택하십시오.

    • 가상 개인 자격 증명 모음: HSM에서 격리를 강화하고 암호화/암호 해독 작업을 전용으로 처리해야 하는 경우 개인 자격 증명 모음을 선택하십시오.
    • 자격 증명 모음(기본): 암호화/암호 해독 작업을 위해 중간 격리(HSM의 다중 테넌트 파티션) 및 공유 처리를 허용하려면 기본 자격 증명 모음을 선택하십시오.

    4. 자격 증명 모음 내에 [마스터 암호화] 키를 생성하십시오. 마스터 암호화 키는 다음 두 가지 보호 모드 중 하나를 사용할 수 있습니다. HSM 또는 소프트웨어

    • HSM으로 보호되는 마스터 암호화 키는 HSM에 저장되며 HSM에서 내보낼 수 없습니다. 키와 관련된 모든 암호화 작업은 HSM에서도 수행됩니다.
    • 소프트웨어로 보호되는 마스터 암호화 키는 서버에 저장되며 서버가 아닌 클라이언트에서 암호화 작업을 수행하기 위해 서버에서 내보낼 수 있습니다. 사용되지 않는 동안에는 소프트웨어 보호 키가 HSM의 루트 키로 암호화됩니다.

    5. 자격 증명 모음을 호출하는 서비스 또는 엔티티에 대한 IAM 정책에 필요한 권한이 있는지 확인하십시오.

    예: 서비스 objectstorage-us-ashburn-1에서 구획 내 키를 사용할 수 있도록 허용

    다음과 같은 키를 사용하십시오.

    • 기본 오라클 클라우드 인프라스트럭쳐(OCI) 스토리지를 사용하는 경우: 스토리지(버킷, 파일, 볼륨)를 생성할 때 “고객 관리 키를 사용한 암호화”로 표시한 다음 자격 증명 모음 및 마스터 암호화 키를 선택하십시오. 해당 버킷/볼륨/파일 스토리지에 있는 데이터는 자격 증명 모음의 마스터 암호화 키로 래핑된 데이터 암호화 키를 사용하여 암호화됩니다.
    • 암호화 작업의 경우 다음과 같은 CLI(명령행 인터페이스)를 예로 사용하십시오. oci kms crypto encrypt --key-id --plaintext

    SDK와 API에서도 암호화 작업을 사용할 수 있습니다. 자세한 내용은 설명서의 자격 증명 모음 개요를 참조하십시오.

    6. 콘솔 및 모니터링 서비스에서 제공되는 측정 지표를 사용하여 작업 사용량을 모니터링하십시오. 측정 지표 및 기준을 확인하십시오.

  • 자격 증명 모음에 적용되는 기본 제한은 무엇입니까?

    가상 개인 자격 증명 모음 제한은 기본적으로 0입니다. 사용하려면 제한 증가를 요청해야 합니다. 가상 개인 자격 증명 모음이 활성화되면 사용자는 소프트 제한 1000개와 하드 제한 3000개의 대칭 키 버전을 얻습니다.

    기본 가상 자격 증명 모음을 사용하여 키를 저장하면 고정된 제한이 적용되지 않습니다. 기본값은 자격 증명 모음당 100개의 키가 있는 10개의 가상 자격 증명 모음입니다.

    자격 증명 모음에 저장하는 모든 키 버전은 해당 키의 활성화 또는 비활성화 여부에 관계없이 이 제한에 포함됩니다.

    OCI Vault에 부과된 제한은 OCI 서비스 제한에 의해 관리됩니다. 모든 테넌시에 대해 기본 제한이 설정됩니다. 고객은 오라클 클라우드 인프라스트럭쳐(OCI) 설명서의 서비스 제한 증가 요청에 나와 있는 단계에 따라 자격 증명 모음 내에 저장된 키 서비스 제한 증가를 요청할 수 있습니다. 활성화된 키 및 비활성화된 키가 모두 이 제한에 포함되므로 더 이상 사용하지 않는 비활성화된 키는 삭제하는 것이 좋습니다.

  • OCI Vault—Key Management에서 제공하는 기능은 무엇입니까?

    자격 증명 모음 서비스를 사용하면 다음과 같은 키 관리 기능을 사용할 수 있습니다. 자세한 내용은 설명서의 자격 증명 모음 개요를 참조하십시오.

    • 데이터를 보호하는 고유한 암호화 키 생성
    • 사용자 키 필요
    • 키 교체
    • 지역 간 키 백업 및 복원 지원
    • IAM 정책을 사용하여 키에 대한 권한 제한
    • OCI 내부 서비스에 통합: Oracle Autonomous Database-Kubernetes 전용, Oracle Block Storage, Oracle File Storage, Oracle Object Storage, 스트리밍 및 Container Engine for Kubernetes
  • Vault—Key Management에서 생성하고 저장할 수 있는 키 형태/길이는 무엇입니까?

    키를 생성할 때 키 길이 및 이와 함께 사용되는 알고리즘을 나타내는 키 형태를 선택할 수 있습니다. 현재 모든 키는 AES - GCM(고급 암호화 표준)이며 다음과 같은 키 길이 중에서 선택할 수 있습니다. AES-128, AES-192 및 AES-256. AES-256이 권장됩니다.

  • Vault—Key Management를 사용할 수 있는 오라클 클라우드 인프라스트럭쳐(OCI) 지역은 어디입니까?

    Key Management는 모든 상용 및 정부 오라클 클라우드 인프라스트럭쳐(OCI) 지역에서 사용할 수 있습니다.

    키 및 키 자격 증명 모음 관리

  • 내 키를 교체할 수 있습니까?

    예. 보안 사고 발생 시 보안 거버넌스 및 규제 규정 준수 요구 또는 임시 상황에 맞게 정기적으로 키를 교체할 수 있습니다. 콘솔, API 또는 CLI를 사용하여 정기적으로 키를 교체(예: 90일마다)하면 단일 키로 보호되는 데이터의 양이 제한됩니다.

    참고: 이전 키 버전으로 이전에 암호화된 데이터의 경우 키를 교체해도 자동으로 다시 암호화되지 않습니다. 이 데이터는 다음에 고객이 수정할 때 다시 암호화됩니다. 키가 손상된 것으로 의심될 경우 해당 키로 보호된 모든 데이터를 다시 암호화하고 이전 키 버전을 비활성화해야 합니다.

  • 내 키를 Vault—Key Management로 가져올 수 있나요?

    예. 자체 키 관리 인프라에서 자격 증명 모음으로 키 사본을 가져와서 통합된 OCI 서비스 또는 자체 애플리케이션 내에서 사용할 수 있습니다.

  • 자격 증명 모음을 삭제할 수 있습니까?

    예. 그러나 즉시 수행되지는 않습니다. 7~30일의 대기 기간을 구성하여 삭제를 예약할 수 있습니다. 자격 증명 모음과 자격 증명 모음 내에서 생성된 모든 키는 대기 기간이 만료되면 삭제되고 해당 키로 보호된 모든 데이터에 더 이상 액세스할 수 없습니다. 자격 증명 모음을 삭제한 후에는 복구할 수 없습니다.

  • 키 또는 키 버전을 삭제할 수 있습니까?

    예. 그러나 즉시 수행되지는 않습니다. 7~30일의 대기 기간을 구성하여 삭제를 예약할 수 있습니다. 키를 비활성화할 수 있으며 이 경우 해당 키를 사용하는 모든 암호화/암호 해독 작업이 차단됩니다.

    키 사용

  • OCI Vault—Key Management를 사용하는 경우 내 데이터는 어디에서 암호화됩니까?

    자격 증명 모음에 저장된 마스터 암호화 키를 사용하여 데이터를 Key Management API에 직접 제출하여 암호화 및 암호 해독할 수 있습니다.

    또한 봉투 암호화라고하는 방법을 사용하여 애플리케이션 및 OCI 서비스 내에서 로컬로 데이터를 암호화할 수도 있습니다.

    봉투 암호화를 사용하면 Key Management API에서 DEK(데이터 암호화 키)를 생성하고 검색할 수 있습니다. DEK는 Key Management 서비스에 저장되거나 관리되지 않지만 마스터 암호화 키로 암호화됩니다. 애플리케이션은 DEK를 사용하여 데이터를 암호화하고 암호화된 DEK를 데이터와 함께 저장할 수 있습니다. 애플리케이션에서 데이터를 암호 해독하려면 암호화된 DEK의 Key Management API에 암호 해독을 호출하여 DEK를 검색해야 합니다. DEK를 사용하여 로컬에서 데이터를 암호 해독할 수 있습니다.

  • 봉투 암호화를 사용하는 이유는 무엇입니까? 데이터를 Vault—Key Management로 보내 직접 암호화하지 않는 이유는 무엇입니까?

    Key Management는 최대 4KB의 데이터를 직접 암호화하는 것을 지원합니다. 또한 봉투 암호화는 상당한 성능 이점을 제공할 수 있습니다. Key Management API를 사용하여 데이터를 직접 암호화하는 경우 네트워크를 통해 전송되어야 합니다. 봉투 암호화는 훨씬 더 작은 DEK의 요청과 전달만 네트워크를 통해 이동하므로 네트워크 부하를 줄입니다. DEK는 애플리케이션에서 로컬로 사용되거나 OCI 서비스를 암호화하므로 전체 데이터 블록을 보낼 필요가 없습니다.

    고가용성 및 재해 복구

  • Oracle이 한 지역에서 키의 고가용성을 어떻게 제공합니까?

    Oracle은 노드 및 HSM 클러스터를 사용하여 해당 키가 생성된 동일한 지역에 키 복제본을 저장하므로 키 관리를 위해 99.9% SLA 및 99.99% SLO를 제공할 수 있습니다. Oracle PaaS 및 IaaS Public Cloud Services 핵심 문서를 참조하십시오.

  • 키를 생성한 곳과 다른 지역에서 내 키를 전송하고 사용할 수 있습니까?

    예. Key Management는 가상 개인 자격 증명 모음에 대해 지역 간 백업 및 복원을 지원하므로 생성된 지역과 다른 지역에서 키를 사용할 수 있습니다. 백업 및 복원은 실제 키 자료를 내보내지 않고 키 자료를 나타내는 바이너리 개체이므로 FIPS 요구 사항을 충족합니다. 복원 작업은 OCI 관리 HSM에서만 수행할 수 있습니다.

    청구

  • Vault—Key Management 사용 요금은 어떻게 부과됩니까?

    생성된 자격 증명 모음 유형에 따라 요금이 부과됩니다.

    기본적으로 자격 증명 모음은 키 버전에 따라 요금이 부과됩니다. 소프트웨어 보호 키는 무료이지만 HSM 보호 키에는 키 버전당 50센트가 부과됩니다 (처음 20개의 키 버전은 무료).

    그러나 가상 개인 자격 증명 모음(단일 테넌트 HSM)을 생성하는 경우 시간당 요금이 부과됩니다. 가격은 자격 증명 모음 생성 시점부터 시작하여 자격 증명 모음 삭제가 예약될 때까지 계속됩니다. 가상 개인 자격 증명 모음 내의 키 버전에 대해서는 요금이 부과되지 않습니다.

    자세한 내용은 Oracle Cloud Security 가격을 참조하십시오.

  • 내 키를 삭제할 예정인 경우 이에 대한 요금이 부과됩니까?

    아니요, 삭제가 예약된 키에 대해서는 요금이 청구되지 않습니다. 키 삭제를 취소하면 청구가 재개됩니다.

    보안

  • Oracle 직원이 내 키 자료에 액세스할 수 있습니까?

    아니요.

  • 내 Vault—Key Management 내에서 생성되는 키는 어떻게 보호됩니까?

    해당 서비스가 보호 모드 HSM을 사용하여 키를 생성하도록 요청하면 Key Management가 키와 모든 후속 키 버전을 HSM에 저장합니다. HSM에서 일반 텍스트 키 자료를 보거나 내보낼 수 없습니다. 보호 모드 소프트웨어를 사용하면 키는 Key Management 서버에 저장되지만 사용되지 않을 때는 HSM의 루트 키로 보호됩니다.

    IAM 정책을 통해 권한을 부여하는 사용자, 그룹 또는 서비스만 Key Management를 호출하여 해당 키를 통해 데이터를 암호화하거나 암호 해독할 수 있습니다.

  • Vault—-Key Management에서 생성한 키를 내보낼 수 있습니까?

    예. 보호 모드 소프트웨어로 키를 생성하는 경우 키 자료를 일반 텍스트로 내보낼 수 있습니다. 그러나 보호 모드 HSM으로 키를 생성하는 경우 키가 HSM을 벗어나지 않으므로 키 자료를 내보낼 수 없습니다. 동일한 또는 다른 지역으로 복원하기 위해 키 자료를 백업할 수 있습니다. 그러나 해당 백업은 키 자료에 대한 액세스를 제공하지 않습니다.