데브러너 (DevRunner)

A.17 MySQL 9.5 FAQ: InnoDB Data-at-Rest Encryption

A.17.1. 사용이 허가된 사용자에 대해서는 데이터가 복호화됩니까?
A.17.2. InnoDB data-at-rest encryption과 관련된 오버헤드는 어느 정도입니까?
A.17.3. InnoDB data-at-rest encryption에서 사용되는 암호화 알고리즘은 무엇입니까?
A.17.4. InnoDB data-at-rest encryption 기능에서 제공하는 암호화 알고리즘 대신 제3자 암호화 알고리즘을 사용하는 것이 가능합니까?
A.17.5. index가 생성된 column도 암호화할 수 있습니까?
A.17.6. InnoDB data-at-rest encryption이 지원하는 data type 및 data length는 무엇입니까?
A.17.7. 네트워크 상에서도 데이터는 암호화된 상태로 유지됩니까?
A.17.8. database memory에는 평문 데이터가 저장됩니까, 아니면 암호화된 데이터가 저장됩니까?
A.17.9. 어떤 데이터를 암호화해야 하는지 어떻게 알 수 있습니까?
A.17.10. InnoDB data-at-rest encryption은 MySQL이 이미 제공하는 암호화 함수와 어떻게 다릅니까?
A.17.11. transportable tablespaces 기능은 InnoDB data-at-rest encryption과 함께 동작합니까?
A.17.12. compression은 InnoDB data-at-rest encryption과 함께 동작합니까?
A.17.13. 암호화된 table에 mysqldump를 사용할 수 있습니까?
A.17.14. master encryption key를 어떻게 변경(회전, 재키잉)합니까?
A.17.15. 평문 InnoDB tablespace에서 암호화된 InnoDB tablespace로 데이터를 어떻게 migration 합니까?


A.17.1.	사용이 허가된 사용자에 대해서는 데이터가 복호화됩니까?
	예. `InnoDB` data-at-rest encryption은 기존 애플리케이션에 영향을 주지 않고 데이터베이스 내에서 암호화를 투명하게 적용하도록 설계되었습니다. 암호화된 형식으로 데이터를 반환하면 대부분의 기존 애플리케이션이 동작하지 않게 됩니다. `InnoDB` data-at-rest encryption은 일반적으로 애플리케이션, 데이터베이스 트리거, 뷰에 대한 비용이 많이 드는 대규모 변경을 요구하는 기존 데이터베이스 암호화 솔루션과 관련된 오버헤드 없이 암호화의 이점을 제공합니다.
A.17.2.	`InnoDB` data-at-rest encryption과 관련된 오버헤드는 어느 정도입니까?
	추가적인 스토리지 오버헤드는 없습니다. 내부 벤치마크에 따르면, 성능 오버헤드는 한 자리 수 퍼센트의 차이에 해당합니다.
A.17.3.	`InnoDB` data-at-rest encryption에서 사용되는 암호화 알고리즘은 무엇입니까?
	`InnoDB` data-at-rest encryption은 블록 기반 암호화 알고리즘인 Advanced Encryption Standard (AES256)를 지원합니다. tablespace 키 암호화를 위해 Electronic Codebook (ECB) 블록 암호화 모드를 사용하고, 데이터 암호화를 위해 Cipher Block Chaining (CBC) 블록 암호화 모드를 사용합니다.
A.17.4.	`InnoDB` data-at-rest encryption 기능에서 제공하는 암호화 알고리즘 대신 제3자 암호화 알고리즘을 사용하는 것이 가능합니까?
	아니요, 다른 암호화 알고리즘을 사용하는 것은 불가능합니다. 제공되는 암호화 알고리즘은 폭넓게 인정되어 있습니다.
A.17.5.	index가 생성된 column도 암호화할 수 있습니까?
	`InnoDB` data-at-rest encryption은 모든 인덱스를 투명하게 지원합니다.
A.17.6.	`InnoDB` data-at-rest encryption이 지원하는 data type 및 data length는 무엇입니까?
	`InnoDB` data-at-rest encryption은 지원되는 모든 데이터 타입을 지원합니다. 데이터 길이에는 제한이 없습니다.
A.17.7.	네트워크 상에서도 데이터는 암호화된 상태로 유지됩니까?
	`InnoDB` data-at-rest 기능에 의해 암호화된 데이터는 tablespace 파일에서 읽어올 때 복호화됩니다. 따라서 데이터가 네트워크 상에 있을 때는 평문 형식입니다. 그러나 MySQL 네트워크 암호화를 사용해 네트워크 상의 데이터를 암호화할 수 있으며, 이는 데이터베이스로 오고 가는 데이터를 SSL/TLS를 사용해 암호화합니다.
A.17.8.	database memory에는 평문 데이터가 저장됩니까, 아니면 암호화된 데이터가 저장됩니까?
	`InnoDB` data-at-rest encryption에서는 메모리 내 데이터가 복호화된 상태이며, 이는 완전한 투명성을 제공합니다.
A.17.9.	어떤 데이터를 암호화해야 하는지 어떻게 알 수 있습니까?
	PCI-DSS 표준 준수는 신용카드 번호(Primary Account Number, 즉 'PAN')를 암호화된 형식으로 저장하도록 요구합니다. Breach Notification Law(예: CA SB 1386, CA AB 1950, 그리고 미국 내 43개 이상 주의 유사 법률)는 이름, 성, 운전면허 번호 및 기타 PII 데이터의 암호화를 요구합니다. 2008년 초 CA AB 1298은 PII 데이터에 의료 및 건강 보험 정보도 추가했습니다. 또한, 산업별 프라이버시 및 보안 표준이 특정 자산의 암호화를 요구할 수 있습니다. 예를 들어, 제약 연구 결과, 유전 탐사 결과, 금융 계약 또는 법 집행 정보원의 개인 데이터와 같은 자산은 암호화를 요구할 수 있습니다. 의료 산업에서는 환자 데이터, 건강 기록 및 X-ray 이미지의 프라이버시가 가장 중요합니다.
A.17.10.	`InnoDB` data-at-rest encryption은 MySQL이 이미 제공하는 암호화 함수와 어떻게 다릅니까?
	MySQL에는 데이터베이스 내에서 데이터를 수동으로 암호화하는 데 사용할 수 있는 대칭 및 비대칭 암호화 API가 있습니다. 그러나 애플리케이션은 암호화 키를 관리하고 API 함수를 호출해 필요한 암호화 및 복호화 작업을 수행해야 합니다. `InnoDB` data-at-rest encryption은 애플리케이션 변경을 필요로 하지 않으며, 엔드 유저에게 투명하고, 자동화된 내장 키 관리 기능을 제공합니다.
A.17.11.	transportable tablespaces 기능은 `InnoDB` data-at-rest encryption과 함께 동작합니까?
	예. 암호화된 file-per-table tablespace에 대해 지원됩니다. 자세한 내용은 Exporting Encrypted Tablespaces를 참조하십시오.
A.17.12.	compression은 `InnoDB` data-at-rest encryption과 함께 동작합니까?
	`InnoDB` data-at-rest encryption을 사용하는 고객은 compression의 전체 이점을 누릴 수 있는데, 그 이유는 compression이 데이터 블록이 암호화되기 전에 적용되기 때문입니다.
A.17.13.	암호화된 table에 `mysqldump`를 사용할 수 있습니까?
	예. 이러한 유틸리티는 논리적 백업을 생성하므로, 암호화된 테이블에서 덤프된 데이터는 암호화되어 있지 않습니다.
A.17.14.	master encryption key를 어떻게 변경(회전, 재키잉)합니까?
	`InnoDB` data-at-rest encryption은 2단계 키 메커니즘을 사용합니다. data-at-rest encryption이 사용될 때, 개별 tablespace 키는 기본 tablespace 데이터 파일의 헤더에 저장됩니다. tablespace 키는 master encryption key를 사용해 암호화됩니다. master encryption key는 tablespace encryption이 활성화될 때 생성되며, 데이터베이스 외부에 저장됩니다. master encryption key는 `ALTER INSTANCE ROTATE INNODB MASTER KEY` statement를 사용하여 회전하며, 이 statement는 새로운 master encryption key를 생성하고, 키를 저장하며, 키를 사용하도록 회전시킵니다.
A.17.15.	평문 `InnoDB` tablespace에서 암호화된 `InnoDB` tablespace로 데이터를 어떻게 migration 합니까?
	한 tablespace에서 다른 tablespace로 데이터를 전송하는 것은 필요하지 않습니다. `InnoDB` file-per-table tablespace의 데이터를 암호화하려면, `ALTER TABLE tbl_name ENCRYPTION = 'Y'`를 실행하십시오. 일반 tablespace 또는 `mysql` tablespace를 암호화하려면, `ALTER TABLESPACE tablespace_name ENCRYPTION = 'Y'`를 실행하십시오. 일반 tablespace에 대한 암호화 지원은 MySQL 8.0.13에서 도입되었습니다. `mysql` 시스템 tablespace에 대한 암호화 지원은 MySQL 8.0.16부터 사용할 수 있습니다.