열 수준 암호화 엔터프라이즈 는 CLE(열 수준 암호화)를 전제로 하며 키 관리 기능을 완벽하게 핵심 관리 프레임워크 지원합니다. 열 수준 암호화 엔터프라이즈 애플리케이션 수준 필드 암호화를 위한 키 보호 및 키 수명 주기 관리를 제공합니다. 모든 키는 궁극적으로 FIPS 140-2-L3 HSM(하드웨어 보안 모듈)에 뿌리를 둔 키 래핑 계층 구조로 보호됩니다.

열 수준 암호화 엔터프라이즈NIST 800-57 프랙티스에 따라 지원되는 필드를 암호화하고 해독하는 방법을 관리할 수 있는 기능을 제공합니다. 또한 적절한 키 보호 및 관리를 위한 통합을 포함하여 최신 버전의 필드 수준 암호화를 사용합니다.

특히 열 수준 암호화 엔터프라이즈 암호화 모듈을 활용하여 KMF 서버 측 암호화를 더 잘 제어할 수 있습니다. KMF 키 계층 구조 및 봉투 암호화를 사용하여 적절한 데이터 암호화 키 보호를 보장합니다. 인스턴스는 사용자가 구성하는 암호화 모듈을 통해 데이터를 암호화합니다. 각 모듈에 대한 액세스 정책을 생성한 다음 암호화 사양 및 액세스 정책을 구성하고 키 수명 주기 관리 제어를 제어할 수 있습니다.

열 수준 암호화 엔터프라이즈 은 다음을 기반으로 모듈 접근 정책을 지원합니다.

암호화 용어

용어	설명
	키 관리 지원 그 기본 열 수준 암호화 엔터프라이즈 은 키 관리 프레임워크(KMF)입니다. 다음과 같은 역량을 확보합니다. 주요 수명주기 관리. 키 회전입니다. 자세한 내용은 키 회전 문서를 참조하십시오. FIPS 140-2-L3 HSM(하드웨어 보안 모듈)을 통한 키 보호 및 키 생성. 역할과 의무의 분리. 프로덕션 및 비프로덕션 인스턴스와 같은 인스턴스 간 데이터 암호화 키의 안전한 전송입니다. 키 래핑이 있는 CSK(고객 제공 키) 비결정적 암호화. 대량 암호화/암호 해독. 키 액세스/사용 감사. 자세한 내용은 키 관리 프레임워크 이해 문서를 참조하십시오.
	고객 공급 키 지원 가장 열 수준 암호화 엔터프라이즈 큰 이점 중 하나는 암호화에 자신의 키를 사용할 수 있다는 것입니다. 관리자는 에서 암호화를 위해 제공된 키 또는 사용자 고유의 CSK(고객 제공 키)를 Now Platform®사용할 ServiceNow 수 있습니다. 또한 키 수명 주기를 관리하고 키를 해지, 교체 및 비활성화할 시기를 결정할 수 있습니다. 고객 제공 키를 사용하도록 설정하고 암호화 모듈을 만든 후 토큰 및 공개 임시 키를 다운로드합니다. 토큰과 공개 키를 사용하여 키를 래핑한 다음 인스턴스에 업로드합니다. 고객이 제공한 키를 사용하려면 및 열 수준 암호화 엔터프라이즈에 고객 제공 키 사용 를 참조하십시오키 유형을 선택하도록 필드 암호화 설정 구성.
	필드 암호화 및 첨부 파일 암호화 모두 지원 필드 암호화와 첨부 파일 암호화는 모두 암호화된 필드 구성을 통해 암호화 모듈과 액세스 정책을 활용합니다. 암호화된 필드 구성 양식은 열 또는 첨부 파일 암호화의 암호화 유형을 선택하는 데 사용됩니다. 자세한 내용 및 지원되는 필드 유형은 을 참조하십시오 암호화된 필드 구성 설정 .
	비결정적 암호화 지원 열 수준 암호화 엔터프라이즈 보안 강화 를 위해 비결정적 암호화를 지원합니다. 시스템이 동일한 데이터를 두 번 이상 암호화하는 경우 암호 텍스트는 매번 다릅니다. CBC(Cipher Block Chaining)를 사용한 AES 암호화에서는 비결정적 암호화를 사용할 수 있습니다. 암호화 사양의 알고리즘 정의 단계에서 같음 보존 옵션을 통해 이 기능을 사용하도록 설정할 수 있습니다. 암호화 모듈에 대한 암호화 사양을 만들고 암호화 알고리즘을 정의한 후 키를 생성합니다. 을 클릭하여 암호화 작업에 사용되는 메커니즘을 정의하고 비결정적 암호화를 사용하도록 설정하는 방법에 대한 자세한 내용을 확인합니다 암호화 모듈 작성 .
	자원 교환 열 수준 암호화 엔터프라이즈 는 암호화 API를 KMF 사용하여 안전한 방식으로 인스턴스 간에 키를 생성함으로써 기밀성, 무결성, 인증 및 부인 방지를 제공합니다. 자원 교환 는 KMF 인스턴스 간에 자원을 안전하게 교환할 수 있는 기능을 제공하는 기능입니다. 자세한 내용은 키 관리 프레임워크 자원 교환 문서를 참조하십시오.

추가 모듈 및 모듈 접근 정책 지원

표준 버전은 열 수준 암호화 5개의 모듈과 MAP(모듈 접근 정책)로 제한됩니다. 열 수준 암호화 엔터프라이즈 는 더 많은 수의 모듈과 MAP을 지원합니다.

지원되는 필드 정보

첨부 파일 암호화

기본적으로 첨부 파일 암호화

열 수준 암호화를 사용하는 고객은 활성 EFC(암호화된 필드 구성) 유형이 있는 테이블에서 기본적으로 암호화된 첨부 파일을 가지고 있습니다 Attachment.

EFC 구성에 의해 정의된 이 기본 암호화는 관리자가 이러한 테이블의 업로드 시 첨부 파일을 암호화해야 한다고 수동으로 선언할 필요가 없음을 의미합니다.

관리자는 사용자가 암호화되지 않은 파일을 첨부하지 못하도록 할 수 있습니다.

자세한 내용은 사용자가 암호화되지 않은 파일을 첨부하지 못하도록 방지 문서를 참조하십시오.

기본 암호화 옵트아웃

EFC 구성에 따라 첨부 파일을 기본적으로 암호화하지 않으려면 지원팀에 문의하여 이 옵션을 옵트아웃할 수 있습니다 ServiceNow .

이 기능을 옵트아웃하려면 지원이 포함된 ServiceNow 지원 케이스를 생성하고 케이스 기록의 코멘트에 다음 진술을 포함합니다.

"나[고객 이름]은(는) 첨부 파일에 대해 권장되는 보안 베스트 프랙티스를 해제하도록 요청 ServiceNow 하고 있으며, [고객 회사]가 애플리케이션에서 ServiceNow 암호화되지 않은 첨부 파일의 구성 및 사용과 관련된 추가 위험을 부담한다는 것을 이해합니다."

API 지원

열 수준 암호화 엔터프라이즈 는 암호화된 필드에 암호화된 데이터를 삽입할 수 있도록 setDisplayValue() 및 setValue() API를 업데이트합니다. 또한 getDisplayValue() 및 getValue() 가 일반 텍스트 값을 반환할 수 있도록 합니다.

다음 스크립트는 인시던트 짧은 설명이 암호화될 때 이러한 API 변경 사항을 보여줍니다.

var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

getValue()를 사용하여 암호화된 텍스트를 가져올 때 스크립트는 더 이상 암호 텍스트를 반환하지 않습니다. 스크립트는 사용자가 암호화 모듈에 액세스할 수 있다고 가정하여 일반 텍스트를 반환합니다. getValue() 는 암호화 모듈에 액세스할 수 없는 사용자에 대한 암호문을 반환합니다.