TLS Cipher Suite 요구 사항의 변경 사항

최고 수준의 전송 계층 보안(TLS)을 제공하기 위한 지속적인 노력의 일환으로 Snowflake는 트래픽 관리를 위한 Snowflake의 Envoy로 마이그레이션 에서 설명한 바와 같이 커넥터, 드라이버 또는 SQL API 클라이언트가 사용하는 모든 엔드포인트를 오픈 소스 Envoy 프록시 기반의 새로운 로드 밸런싱 스택으로 마이그레이션하고 있습니다.

이 마이그레이션은 대부분의 고객에게 투명하게 진행될 것으로 예상되지만, 고객별 구성에 따라 조치가 필요할 수 있는 두 가지 변경 사항이 있습니다.

  1. TLS 서버 측 구현의 변경 사항.

  2. TLS 1.3 활성화하기 및 취약한 TLS 1.2 Cipher Suite 사용 중단.

자세한 내용은 다음과 같습니다.

  1. 리전이 Envoy를 사용하여 TLS 종료로 전환되는 경우, 사용자 지정 보안 공급자 구성을 사용하는 일부 Snowflake Java 기반 클라이언트에서 TLS 연결 설정에 문제가 발생할 수 있습니다. 이런 유형의 구성은 매우 드뭅니다. 연결 문제를 줄이려면 Java 클라이언트는 java.security 파일에서 타원 곡선 암호(ECC)를 지원하는 보안 공급자(예: SunEC 또는 BouncyCastleProvider)가 활성화되어 있는지 확인해야 합니다. SunEC 는 기본적으로 활성화되어 있습니다.

    클라이언트가 호환성을 위해 구성되었는지 확인하는 방법에 대한 자세한 내용은 Snowflake 기술 자료 문서 Envoy 마이그레이션 업데이트 를 참조하십시오.

  2. 리전이 Envoy로 마이그레이션되면 TLS 1.3을 자동으로 사용할 수 있으며, 사용 가능한 클라이언트는 이 최신 버전의 TLS를 사용하여 연결을 협상하기 시작합니다. TLS 1.2는 계속 지원됩니다.

    우선 최대한 많은 고객을 위해 이전 버전과의 호환성을 유지할 수 있도록 다음 TLS 1.2 Cipher Suite는 멀티테넌트 리전에서 계속 지원됩니다.

    강력한 Cipher Suite(선호됨, 클라이언트가 지원하는 경우 항상 사용됨):

    • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    약한 Cipher Suite(이전 버전과의 호환성을 위해, US Gov 리전에서는 사용할 수 없음)

    • TLS_RSA_WITH_AES_128_GCM_SHA256

    • TLS_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA256

    TLS 1.3이 활성화된 후 약 한 달 후:

    1. 이 기간 동안 TLS 1.3 또는 위의 선호 TLS 1.2 Cipher Suite로만 연결되는 것으로 관찰된 계정과 새로 생성된 모든 계정의 경우, 공용 IP 주소를 사용하여 Snowflake에 연결할 때 강력한 Cipher Suite인 TLS 1.3 또는 TLS 1.2를 의무적으로 사용하도록 할 예정입니다. 취약한 TLS 1.2 Cipher Suite는 더 이상 옵션으로 제공되지 않습니다.

    2. 위의 취약한 목록에 있는 TLS 1.2 Cipher Suite로 연결되는 것으로 확인된 계정의 경우, 클라이언트 측에서 TLS 1.3 또는 강력한 TLS 1.2 Cipher Suite로 업그레이드할 것을 권장하는 대상 통신이 전송됩니다. 이러한 계정은 대상 알림을 받은 후 최대 3개월 동안 레거시 Cipher Suite를 계속 사용할 수 있습니다.

    3. 3개월의 알림 기간이 지나면 공용 IP 및 Private Link / Private Service Connect 액세스 모두에 대해 강력한 TLS 1.2 Cipher Suite 또는 TLS 1.3 Cipher Suite 중 하나를 선택해야 합니다.

현재로서는 아무런 조치가 필요하지 않지만, 이 정보는 업그레이드가 필요한 대상 통신에 앞서 고객이 TLS 클라이언트의 구현을 선제적으로 업그레이드할 수 있도록 제공됩니다.

TLS 1.3은 더 빠른 TLS 핸드셰이크와 더 간단하고 안전한 Cipher Suite를 비롯한 여러 가지 개선 사항을 제공합니다. 이러한 변경 사항을 통해 성능이 향상되고 더 강력한 보안이 제공됩니다. TLS 1.3 호환 클라이언트로 업그레이드하는 것을 적극 권장합니다.

이러한 변경 사항은 언제 적용됩니까?

TLS 서버 구현의 변경 사항은 2024년 7월부터 모든 클라우드와 리전에 걸쳐 점진적으로 적용되고 있으며 현재 진행 중입니다.

영향을 받는 고객은 계정/리전에서 취약한 TLS Cipher Suite가 비활성화되기 전에 대상 알림을 받게 되며, 이 작업은 2025년 3월 1일 이전에 전 세계에서 완료될 예정입니다.

참조: 1727

언어: 한국어