다음을 통해 공유

FIPS 140-2 규격 모드에서 SQL Server 2014를 사용하기 위한 지침

  • 아티클

이 문서에서는 연방 정보 처리 표준 게시 140-2(FIPS 140-2)에 대한 지침과 FIPS 140-2 규격 모드에서 Microsoft SQL Server 2014를 사용하는 방법에 대해 설명합니다.

원래 제품 버전: SQL Server 2014
원본 KB 번호: 3141890

참고

  • "FIPS 140-2 규격", "FIPS 140-2 규정 준수" 및 "FIPS 140-2 규격 모드"라는 용어는 사용 및 명확성을 위해 여기에 정의되어 있습니다. 이러한 용어는 인식되거나 정의된 정부 용어가 아닙니다. 미국 캐나다 정부는 FIPS 140-2와 같은 표준에 대해 암호화 모듈의 유효성 검사를 인식하지만 지정되거나 규칙적인 방식으로 암호화 모듈을 사용하지는 않습니다. 이 문서에서는 201을 SQL Server 의미에서 "FIPS 140-2 규격", "FIPS 140-2 규정 준수" 및 "FIPS 140-2 규격 모드"를 사용합니다. 4는 암호화되거나 해시된 데이터를 2014년 SQL Server 가져오거나 내보내는 모든 인스턴스에서 FIPS 140-2 유효성 검사된 알고리즘 인스턴스 및 해시 함수만 사용합니다. 또한 이는 SQL Server 2014가 FIPS 140-2 유효성 검사 암호화 모듈에 필요한 경우 안전한 방식으로 키를 관리한다는 것을 의미합니다. 키 관리 프로세스에는 키 생성 및 키 스토리지도 모두 포함됩니다.

  • 여기서 "인증됨"을 사용하여 알고리즘의 instance FIPS 140-2 유효성이 검사되었거나 운영 체제에 FIPS 140-2 유효성이 검사된 알고리즘 인스턴스가 포함되어 있음을 의미합니다.

FIPS란?

FIPS(연방 정보 처리 표준)는 다음 두 정부 기관에서 개발한 표준입니다.

  • 미국 국립표준기술원(NIST)
  • 캐나다의 CSE(Communications Security Establishment)

FIPS 표준은 미국 및 캐나다의 연방 정부가 운영하는 IT 시스템에서 사용하도록 권장되거나 의무화됩니다.

FIPS 140-2란?

FIPS 140-2는 "암호화 모듈에 대한 보안 요구 사항"이라는 제목의 문입니다. 사용할 수 있는 암호화 알고리즘 및 해시 알고리즘 및 암호화 키를 생성하고 관리하는 방법을 지정합니다. 알고리즘을 포함하는 일부 하드웨어, 소프트웨어 및 프로세스는 FIPS 140-2 인증으로 간주될 수 있습니다. 올바른 알고리즘을 호출하는 다른 하드웨어, 소프트웨어 및 프로세스는 FIPS 140-2 규격일 수 있습니다.

FIPS 140-2-규격과 FIPS 140-2 인증의 차이점은 무엇인가요?

SQL Server 2014는 FIPS 140-2를 준수하는 방식으로 구성하고 실행할 수 있습니다. 이러한 방식으로 SQL Server 2014를 구성하려면 FIPS 140-2 인증된 운영 체제 또는 인증된 암호화 모듈을 제공하는 운영 체제에서 SQL Server 2014를 실행해야 합니다.

규정 준수와 인증의 차이는 미묘하지 않습니다. 알고리즘을 인증할 수 있습니다. FIPS 140-2의 승인된 목록에 나열되어 있기 때문에 알고리즘을 사용하기에는 충분하지 않습니다. 대신 인증된 알고리즘의 instance 사용해야 합니다. 즉, instance 정부의 유효성을 검사합니다. 인증에는 미국 또는 캐나다 정부가 승인한 평가 랩의 테스트 및 확인이 필요합니다. Windows Server 2012 이상 버전 및 Windows 8 이상 버전에는 허용되는 각 알고리즘의 인증된 instance 포함되어 있습니다. 가장 중요한 것은 이러한 각 알고리즘에 대한 호출은 인증된 instance 제공합니다.

FIPS 140-2 규격일 수 있는 애플리케이션 제품은 무엇입니까?

암호화 또는 해시를 수행하고 인증된 버전의 Windows에서 실행되는 모든 애플리케이션은 승인된 알고리즘의 인증된 인스턴스만 사용하고 키 생성 및 키 관리 요구 사항을 준수하여 준수할 수 있습니다. 다음 방법 중 하나를 사용하여 이 작업을 수행할 수 있습니다.

  • 키 생성 및 키 관리에 Windows 함수 사용
  • 애플리케이션 내에서 키 생성 및 키 관리 요구 사항을 준수합니다.

FIPS 규격 애플리케이션에는 비준수 알고리즘 또는 프로세스가 사용되는 영역이 포함될 수 있습니다. 예를 들어 시스템 내에 유지되는 일부 내부 프로세스와 인증된 알고리즘 instance 추가로 암호화해야 하는 일부 외부 데이터가 허용됩니다.

SQL Server 2014는 항상 FIPS 140-2 규격인가요?

아니요. SQL Server 2014는 암호화를 위해 CryptoAPI를 사용하거나 FIPS 140-2 규정 준수가 필요한 모든 instance 해시하여 호출되는 FIPS 140-2 인증 알고리즘 인스턴스만 사용하는 방식으로 구성하고 실행할 수 있으므로 FIPS 140-2 규격일 수 있습니다.

SQL Server 2014를 FIPS 140-2 규격으로 구성하려면 어떻게 해야 할까요?

운영 체제 요구 사항

다음 운영 체제 중 하나를 기반으로 하는 서버에 SQL Server 2014를 설치합니다.

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Windows 시스템 관리 요구 사항

FIPS 모드는 SQL Server 2014가 시작되기 전에 설정해야 합니다. SQL Server 시작 시 설정을 읽습니다. FIPS 모드를 설정하려면 다음 단계를 수행합니다.

  1. Windows 시스템 관리자 권한으로 Windows에 로그온합니다.
  2. 시작을 클릭합니다.
  3. 제어판을 클릭합니다.
  4. 관리 도구를 클릭합니다. (다음 단계에서는 아이콘 보기로 전환해야 할 수 있습니다.)
  5. 로컬 보안 정책을 클릭합니다. 로컬 보안 설정 창이 나타납니다.
  6. 탐색 창에서로컬 정책을 클릭한 다음 보안 옵션을 클릭합니다.
  7. 오른쪽 창에서 시스템 암호화: 암호화, 해시 및 서명에 FIPS 규격 알고리즘을 두 번 클릭합니다.
  8. 표시되는 대화 상자에서 사용을 클릭한 다음 적용을 클릭합니다.
  9. 확인을 클릭합니다.
  10. 로컬 보안 설정 창을 닫습니다.

SQL Server 관리자 요구 사항

SQL Server 서비스(Service Broker 또는 데이터베이스 미러링에 대해 엔드포인트가 구성된 경우)가 시작할 때 FIPS 모드가 사용하도록 설정되어 있음을 감지하면 SQL Server SQL Server 오류 로그에 다음 메시지를 기록합니다.

Service Broker 전송이 FIPS 규정 준수 모드에서 실행되고 있습니다.

또한 Windows 이벤트 로그에 기록된 다음 메시지를 찾을 수 있습니다.

데이터베이스 미러링 전송이 FIPS 호환 모드에서 실행되고 있습니다.

이러한 메시지를 검색하여 서버가 FIPS 모드에서 실행 중인지 확인할 수 있습니다.

  • 대화 보안(서비스 간)의 경우 FIPS 모드를 사용하는 경우 암호화는 AES(Advanced Encryption Standard)의 FIPS 인증 instance 사용합니다. FIPS 모드를 사용하지 않도록 설정하면 암호화에서 RC4를 사용합니다.

  • FIPS 모드에서 서비스 브로커 엔드포인트를 구성할 때 관리자는 서비스 브로커에 대해 "AES"를 지정해야 합니다. 엔드포인트가 RC4로 구성된 경우 SQL Server 오류가 발생합니다. 따라서 전송 계층이 시작되지 않습니다.

SQL Server 2014는 FIPS 140-2 호환 모드에서 어떻게 작동하나요?

  • Windows의 FIPS 모드가 켜져 있는 경우 사용자가 암호화 또는 해시 여부 및 수행 방법에 대해 선택할 수 없는 모든 영역에서 SQL Server 2014는 FIPS 140-2를 준수하여 실행됩니다. (SQL Server 2014는 Windows에서 CryptoAPI를 사용하고 알고리즘의 인증된 인스턴스만 사용합니다.)

  • Windows의 FIPS 모드가 켜져 있는 경우 사용자가 암호화를 사용할지 여부를 선택할 수 있는 모든 영역에서 SQL Server 2014는 FIPS 140-2 호환 암호화만 사용하도록 설정하거나 암호화를 사용하도록 설정하지 않습니다.

  • 소프트웨어 개발자를 위한 중요한 정보: 개발자 또는 사용자가 암호화 또는 해시를 위해 자체 코드를 작성하는 모든 영역에서 CryptoAPI(따라서 인증된 인스턴스만)만 사용하고 FIPS 140-2에서 허용하는 알고리즘만 지정하도록 지시해야 합니다. FIPS 140-2 승인된 암호화 알고리즘의 공식 NIST(국립 표준 기술 연구소) 목록은 암호화 모듈 유효성 검사 프로그램의 부속서 A, C 및 D로 이동합니다.

FIPS 140-2 규격 모드에서 SQL Server 2014를 실행하면 어떤 영향이 있나요?

  • 더 강력한 암호화를 사용하면 프로세스가 FIPS 140-2 규격으로 운영되지 않을 때 덜 강력한 암호화가 허용되는 프로세스의 성능에 작은 영향을 미칠 수 있습니다.

  • SSIS(UseEncryption=True)에 대한 암호화를 선택하면 사용 가능한 암호화가 FIPS 규정 준수와 호환되지 않으며 허용되지 않는다는 오류 메시지가 생성됩니다. 즉, 메시지 프로세스의 암호화가 수행되지 않습니다.

  • 레거시 DTS와 함께 암호화를 사용하는 것은 FIPS 140-2를 준수하지 않습니다. DTS의 경우 Windows의 FIPS 모드가 선택되어 있지 않습니다. 따라서 준수 상태를 유지하기 위해 암호화를 선택하지 않는 것은 사용자의 책임입니다.

  • 대부분의 SQL Server 2014 암호화 및 해시 프로세스는 이미 FIPS 140-2 규격이므로 완전한 규정 준수(즉, Windows의 FIPS 모드가 켜져 있는 경우)에서 실행하면 제품의 사용 또는 성능에 거의 또는 전혀 영향을 미치지 않습니다.

FIPS 140-2에 대한 자세한 내용은 어디에서 확인할 수 있나요?

FIPS 140-2 표준에 대한 자세한 내용은 다음 NIST 게시를 참조하세요.

암호화 모듈에 대한 보안 요구 사항

타사 정보 고지 사항

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 안정성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.