이전 페이지|다음 페이지

암호화

소개
시작 시 다시 로드 파일의 온디스크 암호화
개요
핵심 사항
백업 저장소 라이브러리 암호화
추가 정보
SASHDAT 파일의 온디스크 암호화
개요
핵심 사항
암호화 설정 보호
SASHDAT 라이브러리 암호화
추가 정보

소개

SAS Visual Analytics는 플랫폼 레벨 기능을 사용하여 전송 중이거나 디스크에 있는 민감한 데이터를 암호화합니다. 자세한 내용은 SAS Intelligence Platform: Security Administration GuideEncryption Model을 참조하십시오.
이 항목에서는 SAS Visual Analytics가 디스크에 쓰는 데이터의 AES 암호화를 시작하는 방법을 설명합니다.

시작 시 다시 로드 파일의 온디스크 암호화

개요

시작 시 다시 로드 백업 저장소의 데이터에 대한 보호를 강화하려면 백업 저장소를 메타데이터에 연결하고, 해당하는 보안 라이브러리에 암호화를 활성화합니다.
주의:
물리적인 데이터를 메타데이터에 바인딩하는 것은 고급 기술입니다.
암호화를 구성하기 전에 SAS Guide to Metadata-Bound LibrariesOverview of Metadata-Bound Libraries를 참조하고 다음과 같은 핵심 사항을 검토하십시오.

핵심 사항

  • In-Memory 데이터에 대한 액세스는 해당하는 백업 저장소 파일의 암호화 여부에 영향을 받지 않습니다. 암호화된 백업 저장소 파일은 암호화되지 않은 백업 저장소 파일보다 읽기 및 쓰기 속도가 느립니다.
  • 메타데이터에 바인딩된 각 백업 저장소는 다음과 같이 메타데이터에 두 번 표시됩니다.
    • 그 중 하나는 특정 LASR 라이브러리의 백업 저장소로 할당되는 기존 라이브러리입니다.
    • 다른 하나는 물리적 백업 저장소가 바인딩되는 보안 라이브러리입니다.
    암호화된 백업 저장소에서 읽거나 데이터를 기록하려면 기존 라이브러리 및 보안 라이브러리 둘 모두에 대해 충분한 메타데이터 계층 권한이 있어야 합니다.
  • 암호(암호화 키 값)는 프로모션되지 않습니다. 보안 라이브러리를 처음 가져온 후에는 타겟 환경에서 암호를 다시 적용해야 합니다. 자세한 내용은 SAS Intelligence Platform: System Administration GuidePromoting Secured Data Folders, Secured Library Objects, and Secured Table Objects를 참조하십시오.
  • AES를 사용하려면 SAS/SECURE가 설치되어 있고 사용 가능해야 합니다. 자세한 내용은 Encryption in SASSAS/SECURE를 참조하십시오.

백업 저장소 라이브러리 암호화

  1. 시작 시 다시 로드를 지원하고 민감한 데이터를 포함할 LASR 라이브러리의 백업 저장소를 식별하거나 생성합니다. 자세한 내용은 시작 시 다시 로드 활성화 방법을 참조하십시오.
    주: 백업 저장소는 메타데이터에 등록되어 있고 데이터 공급자 라이브러리로 LASR 라이브러리에 할당된 호스트 디렉터리입니다.
  2. 다음과 같은 권한을 가진 사용자로 SAS Management Console에 로그인합니다.
    • 타겟 디렉터리의 호스트 계층 제어:
      • Windows에서는 디렉터리에 대한 모든 제어 권한을 가지고 있어야 합니다.
      • UNIX에서는 디렉터리의 소유자여야 합니다.
    • 보안 라이브러리 폴더에 대한 메타데이터 계층 액세스. 일반적으로 SAS 관리자 그룹은 필요한 액세스 권한을 갖습니다.
  3. 폴더 탭에서 시스템선택보안 라이브러리로 이동한 후 마우스 오른쪽 버튼을 클릭하고 새로 만들기선택보안 라이브러리를 선택합니다.
    주: 또는 먼저 보안 라이브러리 폴더를 생성한 후 이 폴더 안에 새로운 보안 라이브러리를 생성할 수 있습니다. 보안 라이브러리를 여러 개 생성할 때, 폴더를 하나 이상 생성하여 각 보안 라이브러리가 상위 폴더로부터 유효 권한을 상속하는 편이 효율적입니다. 각 보안 테이블은 상위 보안 라이브러리의 유효 권한을 상속합니다. 자세한 내용은 Object Creation, Location, and Inheritance를 참조하십시오.
  4. 일반 페이지에서 이름과 설명을 입력합니다. 다음을 클릭합니다.
  5. 연결 데이터 페이지에 다음과 같은 정보를 지정합니다.
    1. SAS Application Server를 선택합니다. 라이브러리 경로에서 찾아보기를 클릭한 후 타겟 디렉터리를 선택합니다.
    2. 라이브러리 암호를 입력하고 다시 한번 확인합니다.
      주의:
      라이브러리 암호를 잊어버리면 라이브러리의 바인딩을 해제하거나 수정할 수 없습니다.
      입력한 암호는 반드시 기억해 두십시오.
      주: 암호는 유효한 SAS 이름이어야 합니다. (암호는 문자나 밑줄로 시작해야 합니다. 암호는 문자, 밑줄 및 숫자를 포함할 수 있습니다. 암호는 대소문자를 구분하지 않습니다. 또한 8자보다 길면 안 됩니다.) 더 길고 복잡한 암호를 생성하려면 여러 암호 지정 체크 박스를 선택하고 암호를 여러 개 지정하십시오.
    3. 암호화 필요 체크 박스와 해당하는 라디오 버튼을 선택합니다. 이 설정을 사용하면 다음과 같은 파일이 암호화됩니다.
      • 디렉터리에 이미 있는 암호화되지 않은 모든 테이블
      • 시작 시 다시 로드에 포함된 가져오기를 수행하는 동안 나중에 디렉터리에 추가되는 테이블
      • 나중에 SAS 코드를 통해 디렉터리에 직접 추가되는 테이블 (호스트 복사 유틸리티를 사용하여 테이블을 디렉터리에 추가하지 마십시오.)
    4. 암호화 유형 체크 박스와 해당하는 AES 라디오 버튼을 선택합니다.
    5. 첫 번째 암호화 키 필드는 비워 둡니다. 비어 있거나, 암호화되지 않은 파일만 포함된 디렉터리에 대해 보안 라이브러리를 생성할 때는 이 필드를 사용할 수 없습니다.
      새로운 암호화 키암호화 키 확인 필드에 값을 입력합니다. 다음은 상세 정보입니다.
      • 여기에 입력하는 값을 기억해 두어야 합니다.
      • 입력하는 값은 AES가 타겟 테이블을 암호화할 때 이용할 실제 키를 생성하는 데 사용되는 암호의 역할을 합니다.
      • 입력하는 값은 저장 시 자동으로 따옴표로 묶이기 때문에 대소문자를 구분합니다. (값을 입력할 때 따옴표를 포함하지 마십시오.) 자세한 내용은 SAS Data Set Options: ReferenceENCRYPTKEY=를 참조하십시오.
    6. 마침을 클릭합니다. 메시지가 표시되면 를 클릭하여 로그를 검토합니다.
  6. 새로운 보안 라이브러리의 메타데이터 계층 액세스를 검토 및 조정합니다.
    1. 새로운 보안 라이브러리를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
      주: 폴더 레벨에서 권한을 관리하려면 적절한 보안 라이브러리 폴더에서 마우스 오른쪽 버튼을 클릭하십시오.
    2. 인증 탭에서 다음 방식 중 한 가지를 사용합니다.
      • PUBLIC, SASUSERS 또는 Visual Analytics Users와 같이 광범위한 그룹에 모든 권한을 부여합니다. 이 간단한 방법을 사용하면 온디스크 암호화를 제공하는 용도로만 보안 라이브러리가 사용됩니다.
      • 보다 선택적이고 제한적인 방법으로 권한을 부여합니다. 이 고급 방법을 사용하면 온디스크 암호화뿐 아니라 인증 제약 조건을 강화하는 용도로 보안 라이브러리가 사용됩니다. 자세한 내용은 Permissions for Metadata-Bound Data를 참조하십시오. 다음은 몇 가지 예입니다.
        • 시작 시 다시 로드에 포함되는 테이블을 가져오려는 사용자는 해당하는 보안 라이브러리 개체에 대해 테이블 생성 권한을 가지고 있어야 합니다.
          주: 이름이 동일한 테이블이 메타데이터에 바인딩된 백업 저장소에 이미 있으면 사용자에게 해당하는 보안 테이블 개체에 대한 테이블 변경 권한도 있어야 합니다.
        • 시작 시 다시 로드를 사용하여 테이블을 다시 로드하려면 SAS LASR Analytic Server의 시작을 트리거하는 사용자에게 해당하는 보안 테이블 개체에 대한 메타데이터 읽기 및 선택 권한이 있어야 합니다.
  7. 결과를 확인하는 방법:
    • Data Builder, Explorer 또는 Designer에서 포함된 테이블을 가져옵니다. 예를 들어, AES 암호화된 백업 저장소를 대상으로 시작 시 다시 로드를 지원하는 LASR 라이브러리에 로컬 파일을 가져옵니다.
    • AES 암호화된 백업 저장소에서 시작 시 다시 로드를 지원하는 LASR 라이브러리에 연결된 SAS LASR Analytic Server를 Administrator에서 중지했다가 시작합니다.
    • SAS 코드에서 백업 저장소 라이브러리를 대상으로 CONTENTS 프로시저를 실행합니다. 이 프로시저 출력에는 테이블이 암호화되었는지의 여부가 표시됩니다.
    • 추가적인 확인 방법은 Validating a Metadata-Bound Library를 참조하십시오.

추가 정보

이 항목은 사용자가 작업을 시작하기 위한 것입니다. 대체 방법과 관련 작업에 대한 자세한 내용은 SAS Guide to Metadata-Bound LibrariesImplementation of Metadata-Bound Libraries를 참조하십시오.
예를 들면, 다음과 같습니다.

SASHDAT 파일의 온디스크 암호화

개요

SASHDAT 파일의 보호를 강화하려면 SASHDAT 엔진을 사용하는 라이브러리에 대해 온디스크 AES 암호화를 활성화합니다.
주의:
SASHDAT 파일을 암호화하면 데이터 가용성과 메모리 사용량에 심각한 영향이 있을 수 있습니다.
암호화를 구성하기 전에 다음 섹션을 검토하십시오.

핵심 사항

  • In-Memory 데이터에 대한 액세스는 해당하는 SASHDAT 파일에 대한 암호화 여부의 영향을 받지 않습니다. 암호화된 SASHDAT 파일은 암호화되지 않은 SASHDAT 파일보다 읽기 및 쓰기 속도가 느립니다.
  • 암호화된 SASHDAT 파일은 SAS LASR Authorization Service에서 인증한 요청(signer라고도 함)에 대해서만 제공됩니다. 인증된 요청에 대해 Authorization Service는 암호화 암호를 메타데이터에서 검색하여 SASHDAT 엔진에 제공합니다. 이렇게 하면 SASHDAT 엔진이 필요에 따라 데이터를 암호화하고 암호화 해제할 수 있습니다. 다음은 이와 관련된 요구 사항입니다.
    • 연결된 데이터 서버의 연결 개체에 인증 서비스가 활성화되어 있어야 합니다. SAS Visual Analytics에서는 SASHDAT 파일의 암호화를 서명자가 항상 관리합니다.
    • 암호화된 SASHDAT 라이브러리에서 연결된 데이터를 추가, 삭제 또는 로드하는 사용자는 읽기 권한을 가지고 있어야 합니다.
    • 환경 내에서 각 Hadoop 서버의 호스트 이름은 고유해야 합니다. Hadoop 서버 내에서 각 SASHDAT 라이브러리의 호스트 경로는 고유해야 합니다.
  • 암호화된 SASHDAT 파일은 로드될 때 항상 매핑되지 않은 메모리를 사용합니다. 암호화된 SASHDAT 파일에서 로드되는 LASR 테이블에 대해서는 메모리 매핑을 사용할 수 없습니다.
  • 암호화된 SASHDAT 파일은 로드될 때 항상 압축이 해제됩니다.
    주: 압축 기능을 사용하면 암호화된 SASHDAT 파일에 사용되는 디스크 공간을 절약할 수 있습니다. 하지만 암호화된 SASHDAT 파일은 압축해도 메모리를 절약할 수 없습니다. 암호화된 파일을 로드하려면 먼저 암호화를 해제해야 하는데, 암호화를 해제하기 위해서는 데이터의 압축부터 풀어야 합니다.
  • SASHDAT 암호화 설정에 대한 변경 사항은 기존 SASHDAT 파일에는 영향을 주지 않습니다.
  • SASHDAT 암호화 구성을 중앙에서 관리하려면 서버 레벨에서 암호화 설정을 지정하고, 이 설정을 상속하도록 연결된 각 라이브러리를 구성합니다.
  • 암호(암호화 키 값)는 프로모션되지 않습니다. 암호화된 SASHDAT 라이브러리나 서버를 처음 가져온 후에는 SAS Management Console을 사용하여 타겟 환경에 암호를 다시 적용해야 합니다.
    주: 소스 환경과 타겟 환경 모두 동일한 물리적 데이터 인스턴스를 참조할 때는 데이터가 암호화된 상태로 남아 있기 때문에 데이터를 복사하고 바꿀 필요가 없습니다.
  • SASHDAT 파일을 암호화하려면 다음과 같은 요건이 충족되어야 합니다.
    • SAS TKGrid Encryption Extension이 설치되어 있고 사용 가능해야 합니다. 자세한 내용은 SAS High-Performance Analytics Infrastructure: Installation and Configuration Guide를 참조하십시오.
    • AES를 사용하려면 SAS/SECURE가 설치되어 있고 사용 가능해야 합니다. 자세한 내용은 Encryption in SASSAS/SECURE를 참조하십시오.

암호화 설정 보호

SASHDAT 암호화 설정을 보호하려면 SASHDAT 라이브러리에 대한 메타데이터 쓰기 액세스를 제한해야 합니다.
메타데이터 쓰기 액세스를 제한해야 하는 이유는 암호화된 SASHDAT 라이브러리에 대한 메타데이터 쓰기 액세스 권한을 가진 사용자는 누구나 해당 VA.Encryption.Enabled 확장 속성을 수정할 수 있기 때문입니다. 이 속성은 내부용으로만 사용해야 합니다. 어떤 사용자도 VA.Encryption.Enabled 속성을 직접 설정, 수정 또는 삭제할 수 없습니다. 대신 무제한 사용자는 아래의 지침에 따라 라이브러리의 옵션 탭에서 설정을 관리할 수 있습니다.
주: 메타데이터 쓰기 액세스를 제한하면 부작용이 있습니다. 라이브러리에 대한 메타데이터 쓰기 액세스 권한이 없는 사용자는 해당 라이브러리에서 테이블을 등록하거나 테이블을 삭제할 수 없습니다.
예를 들어, 보호 수준을 극대화하려면 암호화된 SASHDAT 라이브러리의 인증 탭에서 메타데이터 쓰기 권한에 대한 명시적인 거부를 PUBLIC 그룹에 부여할 수 있습니다. 이렇게 설정하면 무제한 사용자만 라이브러리에 대한 메타데이터 쓰기 액세스 권한을 갖게 됩니다. 따라서 해당 라이브러리에 SASHDAT 테이블 메타데이터를 추가하거나 제거하는 작업은 무제한 사용자만이 수행할 수 있습니다.

SASHDAT 라이브러리 암호화

  1. 빈 타겟 디렉터리를 참조하는 SASHDAT 라이브러리를 식별합니다.
    주: 다음은 기존 SASHDAT 라이브러리에 대한 지침입니다. SASHDAT 엔진을 사용하는 새로운 라이브러리를 생성하려면 SAS Intelligence Platform: Data Administration Guide를 참조하십시오.
  2. SAS Management Console에 무제한 사용자로 로그인합니다(예: sasadm@saspw).
  3. 라이브러리에서 암호화 옵션을 설정하고 메타데이터 계층 권한을 조정합니다.
    1. 플러그인 탭에서 데이터 라이브러리 관리자 노드와 라이브러리 노드를 차례로 펼칩니다. 타겟 라이브러리를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
    2. 옵션 탭에서 설정을 다음과 같이 변경합니다.
      1. 암호화 사용 필드에서 라디오 버튼을 선택합니다.
        그렇지 않고, 라이브러리가 연결된 데이터 서버에서 암호화 설정을 상속하도록 하려면 서버에서 상속 라디오 버튼을 선택합니다. 그런 다음 데이터 서버의 옵션 탭에 암호화가 활성화되어 있는지 확인합니다. 상속된 설정은 동적입니다. 즉, 서버 레벨 변경 사항은 서버 레벨 설정을 상속하도록 구성된 모든 관련 라이브러리에 영향을 줍니다.
      2. 새로운 암호화 키암호화 키 확인 필드에 값을 입력합니다.
        주의:
        암호를 잊어버렸을 때는, 암호화된 데이터에 대한 모든 액세스 권한을 사용할 수 없습니다.
        여기에 입력하는 암호를 기억해 두어야 합니다.
        다음은 상세 정보입니다.
        • 입력하는 값은 AES가 타겟 테이블을 암호화할 때 이용할 실제 키를 생성하는 데 사용되는 암호의 역할을 합니다.
        • 입력하는 값은 저장 시 자동으로 따옴표로 묶이기 때문에 대소문자를 구분합니다. (값을 입력할 때 따옴표를 포함하지 마십시오.) 자세한 내용은 SAS Data Set Options: ReferenceENCRYPTKEY=를 참조하십시오.
    3. 인증 탭에서 암호화된 라이브러리에 데이터를 추가하거나, 암호화된 라이브러리에서 데이터를 로드하거나 암호화된 라이브러리에서 데이터를 삭제하는 사용자에게 읽기 권한을 부여합니다. 대부분, 다음과 같은 그룹에 읽기 권한을 부여하면 충분합니다.
      • Visual Analytics 데이터 관리자
      • Visual Data Builder 관리자
      주: 암호화되지 않은 SASHDAT 라이브러리에 대해서는 읽기 권한이 요구되거나 강제 적용되지 않습니다.
      주: 읽기 권한을 라이브러리에 직접 부여하는 대신 상위 폴더에 부여할 수 있습니다.
    4. 인증 탭에서 메타데이터 쓰기 액세스 권한이 제한되어 있는지 확인합니다. 자세한 내용은 암호화 설정 보호를 참조하십시오.
    5. 확인을 클릭합니다.
  4. 연결된 서버의 연결 개체에서 LASR Authorization Service를 활성화합니다.
    주의:
    LASR Authorization Service가 활성화되어 있지 않으면 추가한 테이블이 암호화되지 않으며, 암호화된 테이블을 사용할 수 없습니다.
    1. 플러그인 탭에서 서버 관리자를 펼치고 타겟 데이터 서버를 선택합니다.
    2. 오른쪽 영역에서 서버의 연결 개체를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
    3. 옵션 탭에서 LASR 인증 서비스 사용 체크 박스가 선택되었는지 확인합니다.
  5. 결과를 확인하는 방법:
    • SASHDAT 라이브러리에 테이블을 추가합니다.
    • SASHDAT 라이브러리의 테이블을 SAS LASR Analytic Server에 로드합니다.
    • 배치된 HDFS에 있는 SASHDAT 파일에서는 Administrator의 HDFS 탭에서 각 테이블의 암호화 속성을 검토합니다. 자세한 내용은 HDFS 탭 정보를 참조하십시오.
    • SAS 코드에서 SASHDAT 라이브러리를 대상으로 CONTENTS 프로시저를 실행합니다. 이 프로시저 출력에는 테이블이 암호화되었는지의 여부가 표시됩니다.

추가 정보

암호를 업데이트하는 방법:
  1. 타겟 디렉터리에 현재 테이블이 포함되어 있을 때, 해당 테이블을 다른 위치로 이동합니다.
    한 가지 방법으로, 기존 테이블을 메모리에 로드한 다음 물리적 테이블 및 해당하는 메타데이터 정의를 모두 삭제할 수 있습니다.
    주의:
    테이블 메타데이터를 삭제하면 영향을 받는 모든 개체(예: 명시적 및 행 레벨 권한)를 수동으로 복구하거나 다시 생성해야 합니다.
  2. SAS Management Console에 무제한 사용자로 로그인합니다(예: sasadm@saspw). 적절한 서버 또는 라이브러리에서 새로운 암호화 키암호화 키 확인 필드에 새로운 값을 입력합니다.
  3. 1단계에서 테이블을 이동했을 때는 타겟 디렉터리로 테이블을 다시 이동합니다. 테이블은 타겟 디렉터리에 다시 기록될 때 새로운 암호화 키(업데이트된 암호에서 생성)를 사용하여 암호화됩니다.
    1단계에서 테이블을 배치된 HDFS 또는 NFS 마운트 MapR에서 로드했을 때는 Data Builder를 사용하여 테이블을 다시 타겟 디렉터리에 저장할 수 있습니다.
자세한 내용은 SAS LASR Analytic Server: Reference GuideData Encryption을 참조하십시오.
이전 페이지|다음 페이지|페이지 위
Copyright © SAS Institute Inc. All Rights Reserved.
최종 업데이트: 2018년 10월 24일 (수)