필드 암호화 엔터프라이즈

릴리스 버전: Australia

업데이트 날짜 2026년 03월 12일

소요 시간: 8분

필드 암호화 엔터프라이즈 는 핵심 관리 프레임워크 (KMF)를 사용하여 인스턴스에서 필드와 첨부 파일의 암호화 및 암호 해독 방법을 사용자 지정하고 관리할 수 있습니다. 를 사용하려면 필드 암호화 엔터프라이즈구독이 필요합니다.

중요사항:

이 항목에서는 의 엔터프라이즈 버전 필드 암호화에 대해 설명합니다. 의 표준 버전 필드 암호화에 대한 자세한 내용이나 두 버전 간의 차이점에 대한 자세한 내용은 다음 문서를 참조하십시오 필드 암호화 탐색.

필드 암호화 엔터프라이즈 는 키 관리 기능을 전제로 필드 암호화 하며 이를 사용합니다 핵심 관리 프레임워크 . 필드 암호화 엔터프라이즈 는 애플리케이션 수준 필드 암호화를 위한 키 보호 및 키 수명주기 관리를 제공합니다. 모든 키는 궁극적으로 FIPS(Federal Information Processing Standards) 140-2-L3 HSM(하드웨어 보안 모듈)에 뿌리를 둔 키 래핑 계층 구조로 보호됩니다.

필드 암호화 엔터프라이즈 를 사용하면 NIST 800-57 프랙티스에 따라 지원되는 필드를 암호화하고 해독하는 방법을 관리할 수 있습니다. 또한 적절한 키 보호 및 관리를 위한 통합을 포함하여 최신 버전의 필드 수준 암호화를 사용합니다.

특히 필드 암호화 엔터프라이즈 암호화 모듈을 사용하여 KMF 서버 측 암호화를 보다 효과적으로 제어할 수 있습니다. KMF 키 계층 구조 및 봉투 암호화를 사용하여 적절한 데이터 암호화 키 보호를 검증합니다. 인스턴스는 사용자가 구성하는 암호화 모듈을 통해 데이터를 암호화합니다. 각 모듈에 대한 액세스 정책을 생성한 다음, 암호화 사양 및 액세스 정책을 구성하고 키 수명주기 관리 통제를 제어할 수 있습니다.

필드 암호화 엔터프라이즈 는 다음을 기반으로 모듈 액세스 정책을 지원합니다.

범위
역할
스크립트
자원 교환
시스템 사용자

자세한 내용은 모듈 액세스 정책 만들기 문서를 참조하십시오.

주:

지원되는 기능 필드 암호화 , 권리를 업그레이드하고 구독 필드 암호화 엔터프라이즈 하는 방법에 대한 자세한 내용은 다음 문서를 암호화 및 키 관리 구독 번들참조하십시오.

암호화 용어


용어	설명
그림 1. 키 관리	키 관리 지원 기본은 필드 암호화 엔터프라이즈 키 관리 프레임워크(KMF)입니다. 다음과 같은 역량을 확보합니다. 키 수명주기 관리 키 회전. 자세한 내용은 키 회전 문서를 참조하십시오. FIPS 140-2-L3 HSM(하드웨어 보안 모듈)을 사용한 키 보호 및 키 생성. 역할과 의무의 분리입니다. 프로덕션 및 비프로덕션 인스턴스와 같은 인스턴스 간 데이터 암호화 키의 보안 전송입니다. 키 래핑이 있는 고객 공급 키(CSK). 비결정적 암호화입니다. 대량 암호화/암호 해독. 키 액세스/사용 감사 자세한 내용은 키 관리 프레임워크 참조 문서를 참조하십시오.
그림 2. 고객이 제공한 키	고객 공급 키 지원 가장 큰 이점 필드 암호화 엔터프라이즈 중 하나는 암호화를 위해 고유한 키를 사용할 수 있다는 것입니다. 관리자는 에서 암호화ServiceNow AI Platform®를 위해 제공된 키 또는 자체 고객 제공 키(CSK)를 사용할 ServiceNow 수 있습니다. 또한 키 수명주기를 관리하고 키를 해지, 회전 및 비활성화할 시기를 결정할 수 있습니다. 고객이 제공한 키를 활성화하고 암호화 모듈을 만든 후 토큰 및 공용 임시 키를 다운로드합니다. 토큰과 공개 키를 사용하여 키를 래핑한 다음 인스턴스에 업로드합니다. 고객 제공 키를 사용하려면 및 필드 암호화 엔터프라이즈에서 고객이 제공한 키 사용를 참조하십시오키 유형을 선택하도록 필드 암호화 설정 구성.
그림 3. 필드 암호화	필드 암호화와 첨부 파일 암호화 모두 지원 필드 암호화와 첨부 파일 암호화 모두 암호화 모듈을 사용하고 암호화된 필드 구성을 통해 정책을 액세스합니다. 암호화된 필드 구성 양식은 열 또는 첨부 파일 암호화의 암호화 유형을 선택하는 데 사용됩니다. 자세한 내용 및 지원되는 필드 유형은 다음을 참조하십시오 암호화된 필드 구성 설정 .
그림 4. 비결정적 암호화	비결정적 암호화 지원 필드 암호화 엔터프라이즈 는 보안 강화를 위해 비결정적 암호화를 지원합니다. 시스템에서 동일한 데이터를 두 번 이상 암호화하는 경우 암호문은 매번 다릅니다. 비결정적 암호화는 CBC(Cipher Block Chaining)를 사용한 AES(Advanced Encryption Standard) 암호화와 함께 사용할 수 있습니다. 암호화 사양의 알고리즘 정의 단계에서 동일성 유지 옵션을 통해 이 기능을 사용하도록 설정할 수 있습니다. 암호화 모듈에 대한 암호화 사양을 생성하고 암호화 및 키를 생성하기 위한 알고리즘을 정의합니다. 암호화 작업에 사용되는 메커니즘을 정의하고 비결정적 암호화를 활성화하는 방법에 대한 자세한 내용은 을 참조하십시오 암호화 모듈 생성 .
그림 5. 자원 교환	자원 교환 필드 암호화 엔터프라이즈 암호화 API를 사용하여 KMF 기밀성, 무결성, 인증 및 부인 방지를 제공하는 안전한 방식으로 인스턴스 간 키를 키합니다. 자원 교환 는 KMF 안전한 방식으로 인스턴스 간에 자원을 교환할 수 있는 기능을 제공하는 기능입니다. 자세한 내용은 키 관리 프레임워크 자원 교환 문서를 참조하십시오.

주:

을 활성화필드 암호화 엔터프라이즈하지 않기로 선택하더라도 .필드 암호화 자세한 내용을 참조하십시오 필드 암호화 탐색 .

필드 암호화 엔터프라이즈 는 온 프레미스 고객을 지원합니다. 도메인 분리를 지원하지 않습니다.

추가 암호화된 필드 지원

의 필드 암호화 표준 버전은 5개의 암호화된 열로 제한됩니다. 필드 암호화 엔터프라이즈 는 암호화된 열을 무제한으로 지원합니다.

지원되는 필드 정보

암호화할 수 있는 필드 유형은 다음과 같습니다.

첨부 파일
날짜
날짜/시간
이메일
HTML
필기장
저널 입력
저널 목록
전화
문자열 텍스트
번역된 필드
번역된 HTML
번역된 텍스트
URL

첨부 파일 암호화

기본적으로 첨부 파일 암호화

을 사용하는 필드 암호화 고객은 활성 암호화된 필드 구성(EFC) 유형 Attachment이 있는 테이블에서 기본적으로 암호화된 첨부 파일을 가지고 있습니다.

EFC 구성에서 정의한 이 기본 암호화는 관리자가 이러한 테이블에 대해 업로드할 때 첨부 파일을 암호화해야 한다고 수동으로 선언할 필요가 없음을 의미합니다.

관리자는 사용자가 암호화되지 않은 파일을 첨부하지 못하도록 허용할 수 있습니다.

자세한 내용은 사용자가 암호화되지 않은 파일을 첨부하지 못하도록 방지 문서를 참조하십시오.

기본 암호화 옵트아웃

EFC 구성에 따라 첨부 파일을 기본적으로 암호화하지 않으려면 지원에 ServiceNow 문의하여 이 옵션을 옵트아웃할 수 있습니다.

이 기능을 옵트아웃하려면 지원과 함께 ServiceNow 지원 케이스를 생성하고 케이스 기록에 대한 설명에 다음 설명을 포함합니다.

"본인[고객 이름]은 첨부 파일에 권장되는 보안 베스트 프랙티스를 해제해 달라고 요청 ServiceNow 하고 있으며 [고객 회사]가 애플리케이션에서 ServiceNow 암호화되지 않은 첨부 파일 구성 및 사용과 관련된 추가 위험을 감수한다는 것을 이해합니다."

API 지원

필드 암호화 엔터프라이즈 는 다음 API를 사용하도록 설정합니다.

주:

다음 표에 설명된 API 동작은 최신 기본 시스템 패키지의 기본 구성을 나타냅니다. 이전 패키지 버전으로 작업하는 경우 다른 기능이 발생할 수 있습니다.

표 1. 필드 암호화 API
API	설명	매개변수	수익 유형
`changeEncryptionContext()`	첨부 파일을 암호화하는 데 사용되는 활성 EC(암호화 컨텍스트)를 업데이트합니다. KMF 암호화 모듈(CM)을 사용하여 CLE Starter 플러그인에서 CLE를 활성화하면 API는 EC에 대한 CM을 찾고 이를 사용하여 첨부 파일을 암호화합니다. 주: 이 API는 전역 범위에서만 사용할 수 있습니다.	sourceTable - 첨부 파일이 있는 테이블의 이름입니다. sourceID - 테이블 기록 시스템 ID입니다. attachmentID - sys_attachment 기록 시스템 ID입니다. newEncryptionContextID - 새 컨텍스트의 시스템 ID입니다.	부울
`changeCryptoModule()`	첨부 파일을 암호화하는 데 사용되는 활성 암호화 모듈을 업데이트합니다. 주: 이 API는 전역 범위에서만 사용할 수 있습니다.	sourceTable - 첨부 파일이 있는 테이블의 이름입니다. sourceID - 테이블 기록 시스템 ID입니다. attachmentID - sys_attachment 기록 시스템 ID입니다. newCryptoModuleId - 첨부 파일을 암호화하기 위한 새 암호화 모듈의 시스템 ID입니다.	부울
`disableEncryption()`	첨부 파일에서 활성 암호화를 비활성화합니다.	sourceTable – 첨부 파일이 포함된 테이블의 이름입니다. sourceID - 테이블 기록 시스템 ID입니다. attachmentID - sys_attachment 기록 시스템 ID입니다.	부울
`getDisplayValue()`	암호화된 필드의 일반 텍스트 표시 값을 반환합니다.		문자열
`getValue()`	glide_encryption.set_value_support_cle.disabled가 아니오일 때(MAP(모듈 액세스 정책) 필요) 암호화된 필드의 일반 텍스트 값을 반환합니다. glide_encryption.set_value_support_cle.disabled가 예일 경우 암호화된 필드의 암호화된 값을 반환합니다.		문자열
`setDisplayValue()`	표시를 위해 암호화된 데이터를 암호화된 필드에 삽입합니다.	이름 - 필드 이름입니다. 값 - 필드 값입니다.	부울
`setValue()`	시스템 속성으로 제어되는 암호화된 필드에 암호화된 데이터를 삽입합니다. glide_encryption.set_value_support_cle.disabled가 아니오(MAP 필요)일 때 데이터를 암호화합니다. glide_encryption.set_value_support_cle.disabled가 예일 때 예(MAP 필요 없음)로 설정할 때 암호화되지 않은 데이터를 씁니다.	이름 - 필드 이름입니다. 값 - 필드 값입니다.	부울

다음 스크립트는 인시던트 짧은 설명이 암호화된 경우의 API 변경 내용을 보여줍니다.


var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

필드 암호화 플러그인이 설치되면 glide_encryption.set_value_support_cle.disabled 는 기본적으로 false로 설정됩니다.

암호화된 텍스트 필드에서 getValue() 를 호출하면 암호화 모듈에 액세스할 수 있는 경우 일반 텍스트를 반환합니다. 그렇지 않으면 암호 텍스트 또는 null을 반환합니다.