열 수준 암호화 엔터프라이즈

릴리스 버전: Australia

업데이트 날짜 2026년 03월 12일

소요 시간: 9분

열 수준 암호화 엔터프라이즈 는 핵심 관리 프레임워크 (KMF)를 사용하여 인스턴스에서 필드와 첨부 파일의 암호화 및 암호 해독 방법을 사용자 지정하고 관리할 수 있습니다. 를 사용하려면 열 수준 암호화 엔터프라이즈구독이 필요합니다.

중요사항:

릴리스 열 수준 암호화 부터 Zurich (CLE) 및 열 수준 암호화 엔터프라이즈 (CLEE)는 향후 사용 중단을 준비 중입니다. 숨겨지고 새 인스턴스에서 더 이상 활성화되지 않지만 지원은 계속됩니다. 필드 암호화 이 필드 암호화 엔터프라이즈 기능에 대한 최신 경험을 제공합니다.

자세한 내용은 Now Support 지식베이스의 사용 중단 프로세스 [KB0867184] 문서를 참조하십시오.

열 수준 암호화 엔터프라이즈 는 키 관리 기능을 전제로 열 수준 암호화 하며 이를 사용합니다 핵심 관리 프레임워크 . 열 수준 암호화 엔터프라이즈 는 애플리케이션 수준 필드 암호화를 위한 키 보호 및 키 수명주기 관리를 제공합니다. 모든 키는 궁극적으로 FIPS(Federal Information Processing Standards) 140-2-L3 HSM(하드웨어 보안 모듈)에 뿌리를 둔 키 래핑 계층 구조로 보호됩니다.

중요사항:

이 항목에서는 의 엔터프라이즈 버전 열 수준 암호화에 대해 설명합니다. 의 표준 버전 열 수준 암호화에 대한 자세한 내용이나 두 버전 간의 차이점에 대한 자세한 내용은 다음 문서를 참조하십시오 필드 암호화 탐색.

필드 암호화 엔터프라이즈 를 사용하면 NIST 800-57 프랙티스에 따라 지원되는 필드를 암호화하고 해독하는 방법을 관리할 수 있습니다. 또한 적절한 키 보호 및 관리를 위한 통합을 포함하여 최신 버전의 필드 수준 암호화를 사용합니다.

특히 열 수준 암호화 엔터프라이즈 암호화 모듈을 사용하여 KMF 서버 측 암호화를 보다 효과적으로 제어할 수 있습니다. KMF 키 계층 구조 및 봉투 암호화를 사용하여 적절한 데이터 암호화 키 보호를 검증합니다. 인스턴스는 사용자가 구성하는 암호화 모듈을 통해 데이터를 암호화합니다. 각 모듈에 대한 액세스 정책을 생성한 다음, 암호화 사양 및 액세스 정책을 구성하고 키 수명주기 관리 통제를 제어할 수 있습니다.

열 수준 암호화 엔터프라이즈 는 다음을 기반으로 모듈 액세스 정책을 지원합니다.

범위
역할
스크립트
자원 교환
시스템 사용자

자세한 내용은 모듈 액세스 정책 만들기 문서를 참조하십시오.

주:

지원되는 기능 열 수준 암호화 , 권리를 업그레이드하고 구독 열 수준 암호화 엔터프라이즈 하는 방법에 대한 자세한 내용은 다음 문서를 암호화 및 키 관리 구독 번들참조하십시오.

암호화 용어


용어	설명
그림 1. 키 관리	키 관리 지원 기본은 열 수준 암호화 엔터프라이즈 키 관리 프레임워크(KMF)입니다. 다음과 같은 역량을 확보합니다. 키 수명주기 관리 키 회전. 자세한 내용은 키 회전 문서를 참조하십시오. FIPS 140-2-L3 HSM(하드웨어 보안 모듈)을 사용한 키 보호 및 키 생성. 역할과 의무의 분리입니다. 프로덕션 및 비프로덕션 인스턴스와 같은 인스턴스 간 데이터 암호화 키의 보안 전송입니다. 키 래핑이 있는 고객 공급 키(CSK). 비결정적 암호화입니다. 대량 암호화/암호 해독. 키 액세스/사용 감사 자세한 내용은 키 관리 프레임워크 참조 문서를 참조하십시오.
그림 2. 고객이 제공한 키	고객 공급 키 지원 가장 큰 이점 열 수준 암호화 엔터프라이즈 중 하나는 암호화를 위해 고유한 키를 사용할 수 있다는 것입니다. 관리자는 에서 암호화ServiceNow AI Platform®를 위해 제공된 키 또는 자체 고객 제공 키(CSK)를 사용할 ServiceNow 수 있습니다. 또한 키 수명주기를 관리하고 키를 해지, 회전 및 비활성화할 시기를 결정할 수 있습니다. 고객이 제공한 키를 활성화하고 암호화 모듈을 만든 후 토큰 및 공용 임시 키를 다운로드합니다. 토큰과 공개 키를 사용하여 키를 래핑한 다음 인스턴스에 업로드합니다. 고객 제공 키를 사용하려면 및 필드 암호화 엔터프라이즈에서 고객이 제공한 키 사용를 참조하십시오키 유형을 선택하도록 필드 암호화 설정 구성.
그림 3. 열 수준 암호화	필드 암호화와 첨부 파일 암호화 모두 지원 필드 암호화와 첨부 파일 암호화 모두 암호화 모듈을 사용하고 암호화된 필드 구성을 통해 정책을 액세스합니다. 암호화된 필드 구성 양식은 열 또는 첨부 파일 암호화의 암호화 유형을 선택하는 데 사용됩니다. 자세한 내용 및 지원되는 필드 유형은 다음을 참조하십시오 암호화된 필드 구성 설정 .
그림 4. 비결정적 암호화	비결정적 암호화 지원 열 수준 암호화 엔터프라이즈 는 보안 강화를 위해 비결정적 암호화를 지원합니다. 시스템에서 동일한 데이터를 두 번 이상 암호화하는 경우 암호문은 매번 다릅니다. 비결정적 암호화는 CBC(Cipher Block Chaining)를 사용한 AES(Advanced Encryption Standard) 암호화와 함께 사용할 수 있습니다. 암호화 사양의 알고리즘 정의 단계에서 동일성 유지 옵션을 통해 이 기능을 사용하도록 설정할 수 있습니다. 암호화 모듈에 대한 암호화 사양을 생성하고 암호화 및 키를 생성하기 위한 알고리즘을 정의합니다. 암호화 작업에 사용되는 메커니즘을 정의하고 비결정적 암호화를 활성화하는 방법에 대한 자세한 내용은 을 참조하십시오 암호화 모듈 생성 .
그림 5. 자원 교환	자원 교환 열 수준 암호화 엔터프라이즈 암호화 API를 사용하여 KMF 기밀성, 무결성, 인증 및 부인 방지를 제공하는 안전한 방식으로 인스턴스 간 키를 키합니다. 자원 교환 는 KMF 안전한 방식으로 인스턴스 간에 자원을 교환할 수 있는 기능을 제공하는 기능입니다. 자세한 내용은 키 관리 프레임워크 자원 교환 문서를 참조하십시오.

주:

을 활성화필드 암호화 엔터프라이즈하지 않기로 선택하더라도 .필드 암호화 자세한 내용을 참조하십시오 열 수준 암호화 탐색 .

필드 암호화 엔터프라이즈 는 온 프레미스 고객을 지원합니다. 도메인 분리를 지원하지 않습니다.

추가 암호화된 필드 지원

의 열 수준 암호화 표준 버전은 5개의 암호화된 열로 제한됩니다. 열 수준 암호화 는 암호화된 열을 무제한으로 지원합니다.

지원되는 필드 정보

암호화할 수 있는 필드 유형은 다음과 같습니다.

첨부 파일
날짜
날짜/시간
이메일
HTML
필기장
저널 입력
저널 목록
전화
문자열 텍스트
번역된 필드
번역된 HTML
번역된 텍스트
URL

첨부 파일 암호화

기본적으로 첨부 파일 암호화

을 사용하는 열 수준 암호화 고객은 활성 암호화된 필드 구성(EFC) 유형 Attachment이 있는 테이블에서 기본적으로 암호화된 첨부 파일을 가지고 있습니다.

EFC 구성에서 정의한 이 기본 암호화는 관리자가 이러한 테이블에 대해 업로드할 때 첨부 파일을 암호화해야 한다고 수동으로 선언할 필요가 없음을 의미합니다.

관리자는 사용자가 암호화되지 않은 파일을 첨부하지 못하도록 허용할 수 있습니다.

자세한 내용은 사용자가 암호화되지 않은 파일을 첨부하지 못하도록 방지 문서를 참조하십시오.

기본 암호화 옵트아웃

EFC 구성에 따라 첨부 파일을 기본적으로 암호화하지 않으려면 지원에 ServiceNow 문의하여 이 옵션을 옵트아웃할 수 있습니다.

이 기능을 옵트아웃하려면 지원과 함께 ServiceNow 지원 케이스를 생성하고 케이스 기록에 대한 설명에 다음 설명을 포함합니다.

"본인[고객 이름]은 첨부 파일에 권장되는 보안 베스트 프랙티스를 해제해 달라고 요청 ServiceNow 하고 있으며 [고객 회사]가 애플리케이션에서 ServiceNow 암호화되지 않은 첨부 파일 구성 및 사용과 관련된 추가 위험을 감수한다는 것을 이해합니다."

API 지원

열 수준 암호화 는 다음 API를 사용하도록 설정합니다.

주:

다음 표에 설명된 API 동작은 최신 기본 시스템 패키지의 기본 구성을 나타냅니다. 이전 패키지 버전으로 작업하는 경우 다른 기능이 발생할 수 있습니다.

표 1. 필드 암호화 API
API	설명	매개변수	수익 유형
`changeEncryptionContext()`	첨부 파일을 암호화하는 데 사용되는 활성 EC(암호화 컨텍스트)를 업데이트합니다. KMF 암호화 모듈(CM)을 사용하여 CLE Starter 플러그인에서 CLE를 활성화하면 API는 EC에 대한 CM을 찾고 이를 사용하여 첨부 파일을 암호화합니다. 주: 이 API는 전역 범위에서만 사용할 수 있습니다.	sourceTable – 첨부 파일이 있는 테이블의 이름 sourceID - 테이블 기록 시스템 ID입니다. attachmentID - sys_attachment 기록 시스템 ID입니다. newEncryptionContextID - 새 컨텍스트의 시스템 ID입니다.	부울
`changeCryptoModule()`	첨부 파일을 암호화하는 데 사용되는 활성 암호화 모듈을 업데이트합니다. 주: 이 API는 전역 범위에서만 사용할 수 있습니다.	sourceTable - 첨부 파일이 있는 테이블의 이름입니다. sourceID - 테이블 기록 시스템 ID입니다. attachmentID - sys_attachment 기록 시스템 ID입니다. newCryptoModuleId - 첨부 파일을 암호화하기 위한 새 암호화 모듈의 시스템 ID입니다.	부울
`disableEncryption()`	첨부 파일에서 활성 암호화를 비활성화합니다.	sourceTable – 첨부 파일이 포함된 테이블의 이름입니다. sourceID - 테이블 기록 시스템 ID입니다. attachmentID - sys_attachment 기록 시스템 ID입니다.	부울
`getDisplayValue()`	암호화된 필드의 일반 텍스트 표시 값을 반환합니다.		문자열
`getValue()`	glide_encryption.set_value_support_cle.disabled가 아니오일 때(MAP(모듈 액세스 정책) 필요) 암호화된 필드의 일반 텍스트 값을 반환합니다. glide_encryption.set_value_support_cle.disabled가 예일 경우 암호화된 필드의 암호화된 값을 반환합니다.		문자열
`setDisplayValue()`	표시를 위해 암호화된 데이터를 암호화된 필드에 삽입합니다.	이름 - 필드 이름입니다. 값 - 필드 값입니다.	부울
`setValue()`	시스템 속성으로 제어되는 암호화된 필드에 암호화된 데이터를 삽입합니다. glide_encryption.set_value_support_cle.disabled가 아니오(MAP 필요)일 때 데이터를 암호화합니다. glide_encryption.set_value_support_cle.disabled가 예일 때 예(MAP 필요 없음)로 설정할 때 암호화되지 않은 데이터를 씁니다.	이름 - 필드 이름입니다. 값 - 필드 값입니다.	부울

다음 스크립트는 인시던트 짧은 설명이 암호화된 경우의 API 변경 내용을 보여줍니다.


var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

필드 암호화 플러그인이 설치되면 glide_encryption.set_value_support_cle.disabled 는 기본적으로 false로 설정됩니다.

암호화된 텍스트 필드에서 getValue() 를 호출하면 암호화 모듈에 액세스할 수 있는 경우 일반 텍스트를 반환합니다. 그렇지 않으면 암호 텍스트 또는 null을 반환합니다.