OCI Vault를 사용하여 Oracle Integration Cloud에서 메시지 수준 암호화 구현
MLE(메시지 레벨 암호화)는 전송 중 메시지의 기밀성 및 무결성을 보호하는 데 사용되는 보안 기술입니다. 여기에는 암호화 알고리즘을 사용하여 의도한 수신자만 해독 키를 통해 읽을 수 있도록 메시지의 내용을 암호화하는 작업이 포함됩니다.
Rest API는 아키텍처별로 Stateless이므로 서버가 세션을 유지 관리하지 않으며 클라이언트에 대한 정보가 없습니다. 요청 시 클라이언트는 서버가 응답할 수 있도록 모든 정보를 전송해야 합니다. Rest API 및 보안 작업 시에는 인증, 권한 부여 및 기밀성에 중점을 둡니다.
인증 및 권한 부여의 경우 API 키, 기본 인증, JWT 토큰에서 oAuth까지 다양한 프로토콜 및 모범 사례가 있습니다. 기밀성을 위해 트래픽을 암호화하여 네트워크를 통한 통신 보안 프로세스인 TLS(전송 레벨 보안)를 사용으로 설정할 수 있습니다. 따라서 대부분의 Rest API는 단순한 HTTP가 아닌 HTTPS를 적용합니다. 이 모든 것에는 고유한 장단점이 있으며 즉시 Oracle Integration Cloud에서 지원됩니다.
네트워크 레벨 보안이 대부분의 요구 사항을 충족하지만, 개인 식별 정보 [PII], 신용 카드 번호, 은행 계좌 세부 정보, 의료 기록 등과 같은 민감한 정보가 포함된 경우와 같이 메시지 또는 페이로드 레벨 암호화를 시행해야 하는 경우가 있습니다. 따라서 많은 결제 게이트웨이(Visa, MasterCard, 정부 기관)가 민감한 데이터를 포함하는 Rest API에 MLE를 적용합니다.
Oracle Integration Cloud는 인증, 권한 부여 및 TLS를 충족하는 즉시 사용 가능한 기능을 제공합니다. MLE는 OCI Vault를 사용하여 수행할 수 있습니다.
구조
이 참조 아키텍처는 OCI Vault를 사용하여 Oracle Integration Cloud에서 MLE을 획득하는 방법을 보여줍니다.
OCI Vault는 암호화 키와 암호를 저장 및 관리하여 리소스에 안전하게 액세스할 수 있는 암호화 관리 서비스입니다. API를 통해 키를 관리하고 이러한 키를 사용하여 데이터를 서명, 암호화 및 해독할 수 있습니다.
암호화를 사용할 때는 데이터를 보호하기 위한 두 가지 기본 유형의 시스템이 있습니다.
- 대칭 암호화는 암호화 및 해독에 동일한(전용) 키를 사용합니다. 발신자와 수신자는 데이터 암호화 및 암호 해독에 사용되는 동일한 암호 키를 가져야 합니다. 즉, 누군가 키를 가로채는 경우 데이터를 해독할 수 있습니다.
- 반면에 비대칭 암호화는 공개 키와 개인 키의 두 가지 키를 사용합니다. 발신자는 수신자의 공개 키를 사용하여 데이터를 암호화하며 수신자는 개인 키를 사용하여 해독합니다. 개인 키는 비밀로 유지되며 공유되지 않으므로 대칭 암호화보다 훨씬 안전합니다.
대칭 암호화는 속도에 이점이 있지만 암호화와 해독에 동일한 키를 사용하므로 보안 수준이 낮습니다. 비대칭 암호화는 느리지만 해독에 사용되는 개인 키는 공유되지 않으며 수신자만 액세스할 수 있으므로 더 안전합니다.
OCI Vault는 이러한 키 구성 알고리즘을 지원합니다.
| 키 구성 알고리즘 | 설명 |
|---|---|
| AES(Advanced Encryption Standard) | AES 키는 데이터를 암호화하는 데 사용할 수 있는 대칭 키입니다. |
| RSA(Rivest-Shamir-Adleman) | RSA 키는 전송 중인 데이터를 암호화하고, 데이터에 서명하고, 서명된 데이터의 무결성을 확인하는 데 사용할 수 있는 공개 키 및 개인 키로 구성된 비대칭 키입니다. |
| ECDSA(타원 곡선 암호화 디지털 서명 알고리즘) | ECDSA 키는 데이터 서명 및 서명된 데이터의 무결성을 확인하는 데 사용할 수 있는 비대칭 키입니다. |
대칭 및 비대칭을 모두 사용해야 하는 경우도 있습니다. 예를 들어, 고객이 RSA 공개 키를 사용자와 공유합니다. AES 개인 키를 생성하고 사용하여 데이터를 암호화하고, 페이로드에서 전송하는 고객의 RSA 공개 키로 개인 키를 암호화합니다. 고객이 RSA 개인 키를 공유하지 않았으므로 먼저 AES 키를 해독한 다음 이를 사용하여 페이로드를 해독함으로써 데이터만 해독할 수 있습니다. 이 작업은 페이로드 크기가 RSA 키보다 크면 암호화할 수 있습니다.
OCI Vault에서는 고유의 마스터 암호화 키를 임포트하거나 생성할 수 있습니다. 가져온 키 자료를 사용하는 경우 OCI Vault가 키 자료의 복사본을 사용하도록 허용하면서 키 자료에 대한 책임이 유지됩니다. 키 가져오기에 대한 자세한 내용은 자세히 탐색을 참조하십시오.
OCI Vault는 Oracle Integration Cloud에서 사용할 수 있는 다양한 API를 제공합니다. 저장소 키 관리 API에 대한 자세히 탐색을 참조하십시오. 다음은 메시지 레벨 암호화 시나리오에서 일반적으로 사용되는 일부 API입니다.
| API | 설명 |
|---|---|
| 암호화 | 요청의 일부로 제공된 암호화 세부정보를 사용하여 데이터를 암호화합니다. |
| 해독 | 요청의 일부로 제공된 해독 세부정보를 사용하여 데이터를 해독합니다. |
| 서명 | 공용-전용 키 쌍(비대칭 키라고도 함)의 전용 키를 사용하여 메시지 또는 메시지 Digest에 대한 디지털 서명을 만듭니다. |
| 확인 | 데이터 서명에 사용된 동일한 비대칭 키의 공용 키를 사용하여 서명 작업에 의해 생성된 디지털 서명을 확인합니다. 서비스 외부에서 디지털 서명을 검증하려는 경우 비대칭 키의 공개 키를 사용하여 검증할 수 있습니다. |
Oracle Integration Cloud에서 작업할 때 요청을 Rest API로 전송하기 전에 페이로드를 암호화해야 하는 경우 OCI Vault를 사용할 수 있습니다. 대칭 암호로 작업하는 경우 AES 개인 키를 수신하고 OCI Vault에서 업로드한 다음 OCI Vault API를 사용하여 데이터를 암호화하고 이 암호화된 데이터를 Rest API로 보낼 수 있습니다. 비대칭 암호화가 필요한 경우 RSA 공개 키를 수신하고 OCI Vault에서 업로드한 다음 OCI Vault API를 사용하여 데이터를 암호화하고 이 암호화된 데이터를 Rest API로 전송할 수 있습니다. 마찬가지로 Oracle Integration Cloud에서 Rest API를 적용하여 페이로드를 암호화하려는 경우 키를 생성하고 클라이언트와 공유하며 OCI Vault API를 사용하여 데이터를 해독하고 확인할 수 있습니다. 또한 비대칭 암호화와 대칭 암호화를 모두 사용해야 하는 경우 두 키를 결합할 수 있습니다.
다음 다이어그램은 이 참조 구조를 보여줍니다.
구조에는 다음과 같은 구성 요소가 있습니다.
- Oracle Integration Cloud
Oracle Integration Cloud(OIC)는 조직이 온프레미스 및 클라우드에서 다양한 애플리케이션, 서비스 및 데이터 소스를 통합할 수 있도록 지원하는 포괄적인 도구 및 서비스 세트를 제공합니다. OIC는 Oracle Fusion, Salesforce, SAP, Workday 등 널리 사용되는 다양한 애플리케이션과 통합하기 위해 사전 구축된 커넥터를 비롯하여 다른 애플리케이션 및 서비스와 통합하기 위한 맞춤형 커넥터를 비롯한 다양한 기능을 제공합니다. 또한 통합 설계, 테스트 및 배포를 위한 직관적인 시각적 인터페이스를 제공하여 사용자가 코딩 기술 없이 복잡한 통합 워크플로우를 쉽게 생성할 수 있습니다.
- Oracle Cloud Infrastructure Vault
OCI Vault는 Oracle Cloud Infrastructure(OCI)가 제공하는 안전하고 확장 가능한 키 관리 서비스입니다. OCI 리소스 및 애플리케이션을 보호하는 데 사용되는 암호화 키 및 암호를 관리하기 위한 중앙화된 위치를 제공합니다. OCI Vault는 키 생성 및 저장, 키 보안 배포, 암호화, 해독 등의 다양한 기능을 제공합니다. 유저는 자체 키를 관리하거나 OCI 관리 키를 사용할 수 있습니다. 또한 사용자는 키를 정기적으로 교체하여 보안을 극대화할 수 있습니다.
OCI Vault는 또한 저장소 및 키를 관리할 수 있는 다양한 Rest API 세트를 제공합니다.
고려 사항
이 참조 아키텍처를 구현할 때는 다음 사항을 고려하십시오.
- 보안
Oracle Cloud Infrastructure Identity and Access Management(IAM) 정책을 사용하여 클라우드 리소스에 액세스할 수 있는 사용자 및 수행할 수 있는 작업을 제어할 수 있습니다. IAM 유저 및 그룹에 대한 최소 권한 액세스를 리소스 유형에 할당합니다.
- 서비스 제한
토폴로지에 사용되는 OCI 서비스의 제한 및 할당량을 고려합니다. 추가 탐색을 참조하십시오.