외부 키 관리 서비스(EKMS)를 사용하면 플랫폼 내에서 데이터를 보호하는 암호화 키를 직접 제어할 수 있습니다.ServiceNow 인프라 내에 키를 저장하는 대신 전용 키 관리 시스템에서 키를 생성, 저장 및 관리할 수 있습니다. 이 접근 방식을 사용하면 중요한 데이터에 대한 제어를 유지하면서 클라우드 기반 엔터프라이즈 서비스를 채택할 수 있습니다.

보안 이벤트에 즉시 대응할 수 있도록 생성, 교대 및 해지를 포함한 주요 수명주기 작업에 대한 권한을 유지합니다. 이를 통해 시스템에서 키를 제거하여 데이터에 암호화적으로 액세스할 수 없게 만들 수 있습니다.

지원되는 제공자

현재 for EKMS필드 암호화 AWS Key Management Service(AWS KMS)를 지원합니다. 향후 릴리스에는 추가 키 관리 제공자에 대한 지원이 포함될 예정입니다.

주요 제한 사항

• 인스턴스당 하나의 EKMS 구성만 생성할 수 있습니다.
• 다중 지역 키는 지원되지 않습니다.
• AWS KMS 키는 대칭 키여야 합니다.

EKMS 작동 방식

EKMS 는 키 래핑 체인을 사용하여 데이터를 보호합니다. 시각적 표현은 아래의 EKMS 키 래핑 다이어그램을 참조하십시오. EKMS가 구성된 경우:

1. 인스턴스에 KEK(키 암호화 키)가 생성됩니다. EKMS의 경우 이 키를 EKEK(외부 키 암호화 키)라고 합니다.
2. EKEK는 사용자 인스턴스에 고유하고 ServiceNow 관리 하드웨어 보안 모듈(HSM)에 안전하게 저장되는 내부 IRK(인스턴스 루트 키)로 래핑됩니다.
3. IRK로 래핑된 EKEK는 AWS에서 관리하는 AWS KMS 키로 다시 래핑됩니다.
4. 래핑된 EKEK는 외부 인스턴스 키 테이블에 저장됩니다.
5. 암호화 모듈에 대한 데이터 암호화 키(DEK)는 EKEK에 의해 래핑되고 모듈 키 테이블에 저장됩니다. DEK는 필드 데이터를 암호화하는 것입니다.
6. 필드 데이터는 암호화 모듈의 DEK를 사용하여 암호화됩니다.

이 아키텍처를 사용하면 인스턴스가 외부 AWS 키에 액세스하지 않고는 데이터를 해독하기 위해 직접 액세스할 수 없습니다.

키 상태 동기화

EKMS 상태 검사 백그라운드 작업은 30분마다 실행되어 AWS 키 상태를 인스턴스와 동기화합니다. 동기화를 통해 AWS의 키 상태 변경 사항(활성화됨, 비활성화됨, 삭제 보류 중, 삭제됨)이 EKMS 구성의 키 상태에 반영됩니다. security_admin 역할을 가진 사용자는 com.glide.encryption.ekms.scheduler.health_check_interval 시스템 속성을 수정하여 이 빈도를 변경할 수 있습니다. 동기화 빈도 변경을 참조하십시오.

필드 암호화 엔터프라이즈 앱과의 통합

EKMS암호화 모듈을 통해 (FEE)와 필드 암호화 엔터프라이즈 통합됩니다. 암호화 모듈은 외부 AWS KMS 키를 사용하여 암호화 키를 래핑하고 암호화된 필드 구성은 암호화할 데이터를 지정합니다.

접근 통제

모듈 접근 정책(MAP)은 암호화된 데이터를 일반 텍스트로 볼 수 있는 사용자 역할을 결정합니다. 적절한 역할 할당이 없는 사용자는 테이블에 액세스할 수 있더라도 보호된 정보를 해독하고 볼 수 없습니다.

시작

활성화 정보

을 활성화외부 키 관리 서비스하려면 먼저 플랫폼 또는 ServiceNow 볼트에 암호화 대한 구독을 구매해야 합니다.

ServiceNow 플랫폼 암호화 구독 번들은 및 를 클라우드 암호화포함하는 필드 암호화 엔터프라이즈 그룹 상업용 권리입니다.

필드 암호화 엔터프라이즈 는 Starter의 필드 암호화 무제한 라이센스입니다. 필드 암호화 엔터프라이즈 com.glide.field.encryption.enterprise 플러그인을 활성화하여 사용할 수 있습니다. 자세한 내용은 암호화 및 키 관리 구독 번들을 참조하십시오.

플러그인을 필드 암호화 엔터프라이즈 설치한 후에는 "플랫폼 암호화 외부 키 관리"라는 플러그인을 설치 EKMS 합니다. 플러그인 ID가 com.glide.encryption.external_kms입니다. 자세한 내용은 외부 키 관리 서비스 활성화를 참조하십시오.