암호화 옵션#

plans-img 모든 플랜 에서 사용 가능

deployment-img 자체 호스팅 배포

Mattermost는 전송 중 암호화 및 저장 시 암호화 기능을 제공합니다. 이 페이지에서는 적절한 암호화 보안을 설정하는 방법을 안내합니다.

GDPR에는 암호화가 필수는 아니지만, 데이터 침해에 대한 추가적인 보호 수단으로 사용할 수 있습니다.

전송 중 암호화#

Mattermost는 Mattermost 클라이언트 애플리케이션과 Mattermost 서버 간의 모든 데이터 전송에 2048비트 RSA와 함께 AES-256을 포함한 TLS 암호화를 지원합니다. Mattermost 서버에 TLS를 설정하거나 NGINX와 같은 프록시를 설치하고 프록시에 TLS를 설정할 수 있습니다. 자세한 내용은 설정 가이드 를 참조하세요.

Active Directory/LDAP 연결은 TLS 또는 stunnel로 선택적으로 보안 설정할 수 있습니다.

통화 연결은 다음 조합으로 보안이 설정됩니다:

  • TLS: 기존 WebSocket 채널이 시그널링 경로를 보호하는 데 사용됩니다.

  • DTLS v1.2 (필수): 초기 키 교환에 사용됩니다. TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 알고리즘을 지원합니다.

  • SRTP (필수): 모든 미디어 패킷(음성 또는 화면 공유를 포함하는 패킷)을 암호화하는 데 사용됩니다. AEAD_AES_128_GCMAES128_CM_HMAC_SHA1_80 알고리즘을 지원합니다.

Gossip 암호화 (실험적)#

고가용성 모드에서 Mattermost는 Cornell University의 연구자들이 개발한 SWIM 프로토콜 에 설명된 원칙을 기반으로 하는 gossip 프로토콜을 사용할 때 클러스터 데이터의 전송 중 암호화를 지원합니다. gossip 프로토콜은 네트워크 전반에 걸쳐 데이터 일관성을 보장하기 위해 노드가 무작위로 정보를 교환하는 분산 시스템의 통신 메커니즘입니다. 이는 분산되어 있고 확장 가능하며 내결함성이 있어 수많은 노드가 있는 시스템에 이상적입니다. 정보는 소셜 gossip과 유사한 방식으로 퍼지며, 네트워크가 일관된 상태로 수렴할 때까지 노드가 주기적으로 무작위 피어에게 업데이트를 “gossiping”합니다. 분산 데이터베이스, 블록체인 네트워크 및 피어투피어 시스템에서 널리 사용되는 이 프로토콜은 구현이 간단하고 노드 장애에 강인합니다. 그러나 대규모 네트워크에서는 중복성과 전파 지연이 발생할 수 있습니다.

암호화는 기본적으로 AES-256을 사용하며 구성할 수 없습니다. 그러나 Systems 테이블의 ClusterEncryptionKey 행에 값을 수동으로 설정할 수 있습니다. 키는 base64로 변환된 바이트 배열입니다. AES-128, AES-192 또는 AES-256을 선택하려면 각각 16, 24 또는 32바이트 길이로 설정할 수 있습니다.

저장 시 암호화#

저장 시 암호화는 인프라 내의 자체 서버에 있는 Mattermost 데이터베이스에 적용된 하드웨어 및 소프트웨어 디스크 암호화 솔루션을 통해 메시지에 사용할 수 있습니다. 최종 사용자의 메시지 기록 검색 및 규정 준수 보고를 가능하게 하기 위해 Mattermost는 데이터베이스 내부 암호화를 제공하지 않습니다.

데이터베이스와 파일 저장소 모두 소프트웨어 또는 하드웨어 디스크 암호화 솔루션을 사용하여 보안을 설정할 수 있습니다. LUKS(Linux), BitLocker(Windows)와 같은 전체 디스크 암호화 방법이나 Transparent Data Encryption(TDE)과 같은 데이터베이스 특정 솔루션을 사용할 수 있습니다. 외부 암호화 저장 시스템과의 통합이 지원됩니다.

또한 로컬 저장소 또는 MinIO를 통한 저장에 사용되는 서버에 적용된 하드웨어 및 소프트웨어 디스크 암호화 솔루션을 통해 저장된 파일에 저장 시 암호화를 사용할 수 있습니다.

데이터베이스#

저장 시 암호화는 인프라 내의 자체 서버에 있는 Mattermost 데이터베이스에 적용된 하드웨어 및 소프트웨어 디스크 암호화 솔루션을 통해 메시지에 사용할 수 있습니다. 디스크 수준의 암호화 옵션에 대한 자세한 내용은 PostgreSQL 데이터베이스 문서를 참조하세요.

파일 저장소#

로컬 저장소 또는 Minio를 통한 저장의 경우, 서버에 적용된 하드웨어 및 소프트웨어 디스크 암호화 솔루션을 통해 저장된 파일에 저장 시 암호화를 사용할 수 있습니다.

Amazon의 독점 S3 시스템의 경우, Mattermost enterprise-badge에서 Amazon S3 관리형 키를 사용한 서버 측 암호화 를 통해 저장 시 암호화를 사용할 수 있습니다.