Watson OpenScale에서 데이터 보호 | IBM Cloud Pak for Data as a Service

기계 번역된 주제 영어 버전으로 전환할 수 있음

본 문서의 가장 정확하고 최신 버전은 영어(원본) 버전을 참조하십시오. IBM은 자동으로 기계 번역된 컨텐츠를 사용하여 발생하는 피해 또는 손실에 대해 책임을 지지 않습니다.

영어 버전 문서로 돌아가기

Watson OpenScale에서 데이터 보호

Watson OpenScale을 사용할 때 데이터를 안전하게 관리하려면 어떤 데이터가 저장되고 암호화되는지 정확히 알아야 합니다. 또한 저장된 개인 데이터를 삭제하는 방법을 알고 있어야 합니다. 고객이 관리하는 키를 사용한 데이터 암호화는 Watson OpenScale에서 키 보호를 사용하여 지원됩니다.

BYOK(사용자 고유 키 사용)의 개념

BYOK(사용자 고유 키 사용) 또는 BYOE(사용자 고유 암호화 사용)는 클라우드 서비스 클라이언트가 자신의 암호화 소프트웨어 및 키를 관리할 수 있는 인프라 및 메소드를 말합니다. 이 인프라는 저장된 데이터와 이동 중인 데이터를 모두 보호하는 보안 계층을 추가합니다.

데이터 저장 및 암호화 방식

IBM Key Protect for IBM Cloud 를 사용하면 무단 액세스 또는 부주의한 직원 릴리스로부터 민감한 데이터를 보호하여 컴플라이언스 감사 표준을 충족할 수 있습니다. 암호화 키에 대한 사용자 액세스 요청의 필수 제어를 제공하고 작성부터 애플리케이션 사용, 키 아카이브 및 키 삭제까지 키의 전체 라이프사이클을 관리합니다. IBM Cloud™에서 PaaS (Platform as a Service) 로 제공되는 Key Protect 는 보안 IBM 데이터 센터 내에 있는 FIPS 140-2 Level 3인증 (Federal Information Processing Standard) HSM (Hardware Security Module) 디바이스를 사용하는 암호화 키를 프로비저닝하고 저장합니다.

민감한 데이터 보호

저장된 데이터 (저장된 경우) 및 이동 중인 데이터 (전송된 경우) 에 상위 레벨의 암호화 보호 및 제어를 추가할 수 있습니다. IBM® Key Protect for IBM Cloud™와의 통합을 통해 높은 수준의 암호화 보호를 사용합니다.

IBM Cloud에 저장하는 데이터는 정지 중에 무작위로 생성되는 키를 사용하여 암호화됩니다. 암호화 키를 제어해야 하는 경우 Key Protect를 통합할 수 있습니다. 이 프로세스는 일반적으로 BYOK(Bring Your Own Key)라고 합니다. Key Protect를 사용하면 암호화 키를 작성, 가져오기 및 관리할 수 있습니다. 키에 액세스 정책을 지정하거나 사용자 또는 서비스 ID를 키에 지정하거나 특정 서비스에만 키 액세스 권한을 부여할 수 있습니다. 처음 20개의 키는 무료로 제공됩니다.

고객 관리 키 정보

Watson OpenScale은 봉투 암호화를 사용하여 고객 관리 키를 구현합니다. 엔벨로프 암호화는 하나의 암호화 키로 다른 암호화 키를 암호화하는 것을 나타냅니다. 실제 데이터를 암호화하는 데 사용되는 키를 DEK(Data Encryption Key)라고 합니다. DEK 자체는 저장되지 않지만 랩핑된 DEK를 작성하도록 키 암호화 키(KEK)라고 하는 두 번째 키로 랩핑됩니다. 데이터를 복호화하기 위해 랩핑된 DEK를 랩핑 해제하여 DEK를 확보합니다. 이 프로세스는 KEK에 대한 액세스를 통해서만 가능하며, 이 경우 KEK는 Key Protect에 저장되는 루트 키입니다.

Key Protect 키는 FIPS 140-2레벨 3인증 클라우드 기반 하드웨어 보안 모듈(HSM)에 의해 보안됩니다.

고객 관리 키 사용

Watson 프리미언 서비스와 Key Protect 통합은 IBM Cloud 콘솔에서 다음 단계를 포함합니다.

Key Protect의 인스턴스를 작성합니다.
Key Protect 인스턴스에 루트 키를 추가합니다.
Watson 서비스의 모든 인스턴스에 Key Protect 액세스 권한을 부여합니다.
Watson 서비스 데이터를 암호화합니다.

고객 관리 키에 대한 작업

user_preferences 호출을 통해 API를 사용하여 Watson OpenScale 을 IBM Key Protect for IBM Cloud 와 통합할 수 있습니다. 다음 매개변수가 적용됩니다.

HTTP 메소드: PUT
URL: https://aiopenscale.cloud.ibm.com/openscale/{service-instance-id}/v2/user_preferences/user_root_key_crn
페이로드: {"user_root_key_crn": crn_from_step_1}

케이스 1: 초기 설정 중 Key Protect

Watson OpenScale 인스턴스를 프로비저닝하십시오.
인스턴스를 프로비저닝한 후이지만 다른 구성을 수행하기 전에, 다음 단계를 완료해야 합니다.
1. IBM Key Protect for IBM Cloud 인스턴스를 프로비저닝하고 인스턴스 CRN 값을 확보하십시오.
2. Watson OpenScale /v2/user_preferences에 대한 API 호출을 작성하고 {"user_root_key_crn": crn_from_step_1} 변수를 지정하십시오.
데이터베이스 구성이 작성되는 DataMart를 작성하십시오.
구성 서비스는 user_root_key_crn 특성에 의해 지정된 IBM Key Protect for IBM Cloud에 대한 API 호출을 작성합니다. 서비스는 랩핑 및 랩핑되지 않는 양식 두 가지로 새 암호화 키를 리턴합니다. 랩핑되지 않은 키를 사용하여 데이터베이스 비밀번호를 암호화하십시오. 랩핑된 키 양식은 인스턴스 특성에서 지속됩니다. 데이터베이스 비밀번호를 복호화하려면 랩핑된 키 양식을 사용하여 캐시로부터 또는 IBM Key Protect for IBM Cloud에 대한 IBM 호출을 통해 랩핑되지 않은 키 양식을 얻으십시오. 그런 다음 랩핑되지 않은 키를 사용하여 복호화가 완료됩니다.

케이스 2: 설정 후 Key Protect

Watson OpenScale 인스턴스를 프로비저닝하십시오.
인스턴스를 프로비저닝한 후, 자동 설정을 실행하거나 수동 구성을 수행하여 시스템을 초기화하십시오. 이 시나리오에서는 사용자의 키 보호 루트 키로 암호화되지 않은 비밀번호를 사용하여 데이터베이스 구성을 작성합니다.
구성 후 IBM Key Protect for IBM Cloud 의 인스턴스를 프로비저닝하고 자원의 고유 ID로 사용되는 인스턴스 클라우드 자원 이름 CRN 값을 가져와야 합니다.
Watson OpenScale /v2/user_preferences에 대한 API 호출을 작성하고 {"user_root_key_crn": crn_from_step_1} 변수를 지정하십시오. user_root_key_crn 변수를 지정하면 IBM Key Protect for IBM Cloud를 사용하여 모든 인스턴스 시크릿이 자동으로 다시 암호화됩니다. user_root_key_crn 변수를 삭제하면 글로벌 키를 사용하여 모든 인스턴스 시크릿이 자동으로 다시 암호화됩니다. 실제 재암호화는 이전 사례 사례 1과 동일합니다.

Watson OpenScale 인스턴스 삭제

Watson OpenScale 데이터 유지 정책은 서비스가 삭제된 후 데이터가 저장되는 기간을 설명합니다. 데이터 보존 정책은 IBM Cloud 용어 및 주의사항에서 찾을 수 있는 Watson OpenScale 서비스 설명에 포함되어 있습니다.

자세한 내용은 다음 주제를 참조하십시오.

시작하기 튜토리얼.

IBM Key Protect for IBM Cloud는 IBM Cloud 서비스 사이에서 앱에 대해 암호화된 키를 프로비저닝하는 데 도움이 됩니다. 이 튜토리얼은 Key Protect 대시보드를 사용하여 기존 암호 키를 작성 및 추가하는 방법을 보여주므로 하나의 중앙 위치에서 데이터 암호화를 관리할 수 있습니다.
서비스 통합.

IBM Key Protect for IBM Cloud는 많은 IBM Cloud 서비스와 통합하여 해당 서비스에 대해 고객 관리 키를 사용한 암호화를 가능하게 합니다. 고객 관리 암호화 키를 사용한 암호화를 BYOK(Bring Your Own Key)라고도 합니다.
IBM Cloud Object Storage와의 통합.

IBM Key Protect for IBM Cloud 및 IBM® Cloud Object Storage는 함께 작업하여 저장된 데이터의 보안을 소유하는 데 도움을 줍니다. IBM Key Protect 서비스를 사용하여 IBM® Cloud Object Storage 리소스에 고급 암호화를 추가하는 방법을 학습하십시오.
서비스 프로비저닝.

IBM Cloud 콘솔이나 IBM Cloud CLI를 사용하여 IBM Key Protect for IBM Cloud의 인스턴스를 작성할 수 있습니다.

상위 주제: 정보 보안