MongoDB 데이터 암호화

사용 중 암호화는 PII 또는 PHI와 같이 가장 민감한 데이터가 포함된 것으로 분류된 문서 필드에 선택적으로 적용하는 것이 가장 좋습니다.

전송 중 및 미사용 암호화와 함께 클라이언트 사이드 필드 레벨 암호화를 사용하면 다양한 위협 모델에 대응하기 위한 심층 방어 보안 태세를 제공하는 보완적 접근 방식을 사용하여 데이터 수명 주기 전반에 걸쳐 데이터를 암호화할 수 있습니다.

• 전송 중 암호화는 네트워크를 통과하는 모든 데이터를 보호하지만 사용 중인 데이터나 미사용 데이터는 암호화하지 않습니다.
• 미사용 암호화는 저장된 모든 데이터를 보호하지만 사용 중인 데이터나 전송 중 데이터는 암호화하지 않습니다.
• 사용 중 암호화를 사용하면 가장 민감한 데이터가 일반 텍스트로 애플리케이션을 떠나지 않습니다. 클라이언트 사이드에서 암호화된 필드는 서버에서 해독할 수 없으며 쿼리가 처리되는 동안에도 전송 중, 미사용 및 사용 중에 암호화된 상태로 유지됩니다.

암호화 키는 원하는 클라우드 공급자에 저장할 수 있으며, 데이터와 동일한 클라우드 공급자에 있을 필요는 없습니다. 예를 들어 데이터를 Azure에 저장하되 암호화 키는 AWS KMS에 저장하거나, 데이터는 AWS에 저장하되 키는 GCP Cloud KMS에 저장할 수 있습니다. 이 접근 방식은 미사용 암호화 및 사용 중 암호화 기능 모두에 적용됩니다.

MongoDB Enterprise는 미사용 데이터 암호화를 위해 KMIP 지원 키 제공자를 지원합니다. 클라우드 제공 KMS(키 관리 시스템)는 지원되지 않습니다.

Queryable Encryption은 빠른 암호화된 검색 알고리즘을 사용하여 서버 사이드에 암호화된 데이터 구조를 추가함으로써 암호화된 데이터에 대한 동등 및 범위 쿼리를 처리할 수 있습니다. 데이터베이스가 쿼리 처리를 수행하므로, 추가적인 결과를 클라이언트로 다시 가져오거나 클라이언트 사이드 쿼리 처리를 위해 추가 애플리케이션 코드를 작성할 필요가 없습니다.

클라이언트 사이드 필드 레벨 암호화는 데이터를 데이터베이스에 삽입하기 전에 클라이언트 사이드에서 암호화하는 방식으로 관련 기능을 제공합니다. 쿼리는 동등 쿼리로 제한되며 동등성을 위해서는 결정론적 암호화를 사용해야 합니다.

Queryable Encryption은 8.0 릴리스부터 암호화된 데이터에 대한 동등 및 범위 쿼리를 지원합니다.

향후 릴리스에서는 접두사, 접미사 및 하위 문자열 쿼리 유형을 지원할 예정입니다.