열 수준 암호화 엔터프라이즈 는 CLE(Column Level Encryption)를 전제로 하며 키 관리 기능을 완벽하게 Key Management Framework 지원합니다. 열 수준 암호화 엔터프라이즈 은 애플리케이션 수준 필드 암호화를 위한 키 보호 및 키 수명주기 관리를 제공합니다. 모든 키는 궁극적으로 FIPS 140-2-L3 HSM(하드웨어 보안 모듈)에 뿌리를 둔 키 래핑 계층 구조로 보호됩니다.

열 수준 암호화 엔터프라이즈를 사용하면 NIST 800-57 프랙티스에 따라 지원되는 필드를 암호화하고 해독하는 방법을 관리할 수 있습니다. 또한 적절한 키 보호 및 관리를 위한 통합을 포함하여 최신 버전의 필드 수준 암호화를 사용합니다.

특히 열 수준 암호화 엔터프라이즈 암호화 모듈을 활용하여 KMF 서버 측 암호화를 더 잘 제어할 수 있습니다. KMF 키 계층 구조 및 봉투 암호화를 사용하여 적절한 데이터 암호화 키 보호를 보장합니다. 인스턴스는 사용자가 구성하는 암호화 모듈을 통해 데이터를 암호화합니다. 각 모듈에 대한 액세스 정책을 생성한 다음, 암호화 사양 및 액세스 정책을 구성하고 키 수명 주기 관리 제어를 제어할 수 있습니다.

열 수준 암호화 엔터프라이즈 은 다음을 기반으로 모듈 액세스 정책을 지원합니다.

암호화 용어

용어	설명
	키 관리 지원 KMF(Key Management Framework)의 열 수준 암호화 엔터프라이즈 기본입니다. 다음과 같은 기능을 얻을 수 있습니다. 키 수명 주기 관리. 키 회전. 자세한 내용은 키 회전 문서를 참조하십시오. FIPS 140-2-L3 HSM(하드웨어 보안 모듈)을 통한 키 보호 및 키 생성. 역할과 의무의 분리. 프로덕션 인스턴스와 비프로덕션 인스턴스와 같은 인스턴스 간 데이터 암호화 키의 보안 전송입니다. 키 래핑이 있는 CSK(고객 제공 키) 비결정적 암호화. 대량 암호화/복호화. 키 액세스/사용 감사. 자세한 내용은 키 관리 프레임워크 이해 문서를 참조하십시오.
	고객 제공 키 지원 의 열 수준 암호화 엔터프라이즈 가장 큰 이점 중 하나는 암호화에 자체 키를 사용할 수 있다는 것입니다. 관리자는 에서 암호화Now Platform®를 위해 제공된 키 또는 자체 CSK(고객 제공 키)를 사용할 ServiceNow 수 있습니다. 또한 키 수명 주기를 관리하고 키를 해지, 교체 및 비활성화할 시기를 결정할 수 있습니다. 고객이 제공한 키를 활성화하고 암호화 모듈을 만든 후 토큰 및 공개 임시 키를 다운로드합니다. 토큰과 퍼블릭 키를 사용하여 키를 래핑한 다음 인스턴스에 업로드합니다. 고객이 제공한 키를 사용하려면 및 고객 제공 키의 속성 구성를 참조하십시오키 유형을 선택하도록 필드 암호화 설정 구성.
	필드 암호화 및 첨부 파일 암호화 모두 지원 필드 암호화와 첨부 파일 암호화는 모두 암호화된 필드 구성을 통해 암호화 모듈과 액세스 정책을 활용합니다. 암호화된 필드 구성 양식은 열 또는 첨부 파일 암호화의 암호화 유형을 선택하는 데 사용됩니다. 자세한 내용 및 지원되는 필드 유형은 문서를 참조하십시오 암호화된 필드 구성 설정 .
	비결정적 암호화 지원 열 수준 암호화 엔터프라이즈 보안 강화를 위해 비결정적 암호화를 지원합니다. 시스템이 동일한 데이터를 두 번 이상 암호화하는 경우 암호 텍스트는 매번 다릅니다. 비결정적 암호화는 CBC(Cipher Block Chaining)를 사용한 AES 암호화에서 사용할 수 있습니다. 암호화 사양의 알고리즘 정의(Algorithm Definition) 단계에서 같음 보존(Equality Preserving) 옵션을 통해 이 기능을 활성화할 수 있습니다. 암호화 모듈에 대한 암호화 사양을 생성하고 암호화 알고리즘을 정의한 후 키를 생성합니다. 암호화 작업에 사용되는 메커니즘을 정의하고 비결정적 암호화를 사용하도록 설정하는 방법에 대한 자세한 내용은 을 참조하십시오 암호화 모듈 생성 .
	자원 교환 열 수준 암호화 엔터프라이즈 는 암호화 API를 사용하여 KMF 기밀성, 무결성, 인증 및 부인 방지를 제공하는 안전한 방식으로 인스턴스 간에 키를 구성합니다. 자원 교환 는 KMF 인스턴스 간에 자원을 안전하게 교환할 수 있는 기능을 제공합니다. 자세한 내용은 키 관리 프레임워크 자원 교환 문서를 참조하십시오.

추가 모듈 및 모듈 접근 정책 지원

의 표준 버전은 열 수준 암호화 5개의 모듈과 MAP(모듈 액세스 정책)으로 제한됩니다. 열 수준 암호화 엔터프라이즈 는 더 많은 수의 모듈과 MAP을 지원합니다.

지원되는 필드 정보

첨부 파일 암호화

기본적으로 첨부 파일 암호화

Column Level Encryption을 사용하는 고객은 활성 EFC(암호화된 필드 구성) 유형 Attachment이 있는 테이블에서 기본적으로 암호화된 첨부 파일을 가지고 있습니다.

EFC 구성에 의해 정의된 이 기본 암호화는 관리자가 이러한 테이블의 업로드 시 첨부 파일을 암호화해야 한다고 수동으로 선언할 필요가 없음을 의미합니다.

기본 암호화 옵트아웃

EFC 구성에 따라 기본적으로 첨부 파일을 암호화하지 않으려면 지원팀에 ServiceNow 문의하여 이 옵션을 옵트아웃할 수 있습니다.

이 기능을 옵트아웃하려면 지원하는 지원 케이스 ServiceNow 를 생성하고 케이스 기록에 대한 코멘트에 다음 진술을 포함합니다.

"본인(고객 이름)은(는) 첨부 파일에 대한 권장 보안 모범 사례를 해제하도록 요청 ServiceNow 하고 있으며 [고객 회사]가 애플리케이션에서 ServiceNow 암호화되지 않은 첨부 파일의 구성 및 사용과 관련된 추가 위험을 부담한다는 것을 이해합니다."

API 지원

열 수준 암호화 엔터프라이즈는 setDisplayValue() 및 setValue() API를 업데이트하여 암호화된 필드에 암호화된 데이터를 삽입할 수 있도록 합니다. 또한 getDisplayValue() 및 getValue() 가 일반 텍스트 값을 반환할 수 있도록 합니다.

다음 스크립트는 인시던트 짧은 설명이 암호화되었을 때 이러한 API 변경 사항을 보여줍니다.

var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

getValue()를 사용하여 암호화된 텍스트를 가져올 때 스크립트는 더 이상 암호문을 반환하지 않습니다. 스크립트는 사용자가 암호화 모듈에 액세스할 수 있다고 가정하여 일반 텍스트를 반환합니다. 사용자가 암호화 모듈에 액세스할 수 없는 경우 getValue() 는 암호문을 반환합니다.