vSAN 암호화 정보

vSAN 저장 데이터를 암호화하려면 키 관리 시스템(KMS)이 필요합니다. 기본적으로 Google Cloud VMware Engine의 vSAN 데이터 암호화용 키 관리는 추가 비용 없이 새 프라이빗 클라우드에 Cloud Key Management Service를 사용합니다.

다음 지원되는 공급업체에서 vSAN 저장 데이터 암호화를 위해 외부 KMS를 배포할 수 있습니다. 이 페이지에서는 vSAN 암호화 동작을 설명하고 외부 KMS를 사용하여 VMware Engine의 가상 머신 저장 데이터를 암호화하는 방법을 요약합니다.

서드 파티 KMS 솔루션을 사용하는 경우 필요한 라이선스를 제공해야 합니다.

vSAN 데이터 암호화

기본적으로 VMware Engine은 기본 클러스터와 나중에 프라이빗 클라우드에 추가하는 클러스터의 데이터에 vSAN 암호화를 사용 설정합니다. vSAN 저장 데이터 암호화는 암호화 후 클러스터의 로컬 물리적 디스크에 저장되는 데이터 암호화 키 (DEK)를 사용합니다. ESXi 호스트는 FIPS 140-2 Level 1 규정 준수 AES-256비트 암호화 키인 DEK를 자동으로 생성합니다.Google-owned and managed key 제공업체에서 제공하는 키 암호화 키 (KEK)는 DEK를 암호화합니다.

저장 데이터의 vSAN 암호화를 중지하면 Google Cloud VMware Engine의 서비스별 약관을 위반할 수 있으므로 중지하지 않는 것이 좋습니다. 클러스터에서 저장 데이터의 vSAN 암호화를 중지하면 VMware Engine 모니터링 로직에서 알림이 발생합니다. 이 알림은 서비스 약관 위반이 방지되도록 Cloud Customer Care 기반 작업을 트리거하여 영향을 받는 클러스터에서 vSAN 암호화를 다시 사용 설정합니다.

마찬가지로 외부 KMS를 구성하는 경우 vCenter Server에서 Cloud Key Management Service의 키 제공업체 구성을 삭제하지 않는 것이 좋습니다.

기본 키 제공업체

VMware Engine은 새 프라이빗 클라우드에서 vCenter Server를 구성하여 Google-owned and managed key 제공업체에 연결합니다. VMware Engine은 리전당 키 제공자의 인스턴스를 하나씩 만들고 키 제공자는 Cloud KMS를 사용하여 KEK를 암호화합니다. VMware Engine은 키 제공자를 완벽하게 관리하고 모든 리전에서 가용성이 높도록 구성합니다.

Google-owned and managed key 제공자는 vCenter Server (vSphere 7.0 업데이트 2 이상 버전)에서 기본 키 제공자를 보완하며, 프로덕션 환경에 권장되는 접근 방법입니다. 기본 키 제공자는 VMware Engine의 vSphere 클러스터에서 실행되는 vCenter Server 내에서 프로세스로 실행됩니다. VMware는 vCenter Server를 호스팅하는 클러스터를 암호화하는 데 기본 키 제공자를 사용하지 않을 것을 권장합니다. 대신 Google 관리하는 기본 키 제공자 또는 외부 KMS를 사용하는 것이 좋습니다.

키 순환

기본 키 제공업체를 사용하는 경우 KEK 순환은 사용자 책임입니다. vSphere에서 KEK를 순환하려면 VMware 문서 새 저장 데이터 암호화 키 생성을 참조하세요.

vSphere에서 키를 순환하는 여러 방법을 알아보려면 다음 VMware 리소스를 참조하세요.

• vSAN Management API

암호화된 가상 머신 요구사항

기본Google-owned and managed key 프로바이더 또는 Cloud Key Management Service를 사용하여 VM의 암호화 키를 관리할 수 있습니다.

프라이빗 클라우드의 VM에 VM 암호화 (또는 vTPM)를 사용 설정하고 KMS를 사용하여 암호화 키를 관리하는 경우 KMS 키를 순환한 후 각 VM을 다시 암호화 (얕은 키 재설정)해야 합니다.

얕은 키 재설정은 키 암호화 키 (KEK)만 대체하고 VM의 데이터 암호화 키 (DEK)는 변경하지 않습니다. 일반적으로 vSphere 클라이언트에서 다시 암호화 작업을 사용하여 얕은 키 재설정을 트리거합니다.

이 작업 중에 시스템은 새 KEK를 사용하여 기존 DEK를 다시 래핑 (다시 암호화)합니다. 이 프로세스는 디스크에 실제 데이터를 다시 쓰지 않고 암호화된 DEK가 포함된 작은 키 번들만 업데이트하므로 빠릅니다. 자세한 내용은 다음 VMware 문서를 참고하세요.

• 새 암호화 키 생성
• 가상 머신 재암호화

암호화된 VM의 키를 다시 설정하지 않을 경우의 위험

순환된 (이전) KMS 키 버전을 삭제하기 전에 암호화된 VM의 키를 다시 지정하지 않으면 다음과 같은 문제가 발생할 수 있습니다.

• vMotion 실패: KMS 키 순환 후 VM 열쇠 배열 변경을 수행하기 전에 대상 호스트를 재부팅하거나 클러스터에 추가하면 ESXi 호스트가 vMotion 중에 VM DEK를 복호화할 수 없습니다.
• 전원 켜기 실패: 호스트가 재부팅되거나 로컬 키 캐시를 지우면 KMS에서 키를 다시 획득할 수 없습니다. KMS에서 필수 키를 삭제한 경우 호스트가 DEK를 복호화할 수 없으므로 암호화된 VM의 전원을 켤 수 없습니다.

워크로드 VM에서 키 재설정 작업을 실행하는 단계

1. vSphere Client에서 VM을 마우스 오른쪽 버튼으로 클릭합니다.
2. VM 정책 > 다시 암호화를 선택합니다.
3. 대화상자가 나타나면 다시 암호화 요청을 확인합니다.
4. 작업이 완료될 때까지 기다립니다.
5. KMS 키 순환 후 재부팅했거나 클러스터에 추가한 호스트로 VM을 이전하여 키 재설정을 확인합니다.

지원되는 공급업체

활성 KMS를 전환하려면 KMIP 1.1을 준수하고 VMware에서 vSAN에 대한 인증을 받은 서드 파티 KMS 솔루션을 선택할 수 있습니다. 다음 공급업체는 VMware Engine으로 KMS 솔루션의 유효성을 검사했으며 배포 가이드 및 지원 문을 게시했습니다.

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

구성 안내는 다음 문서를 참조하세요.

• Fortanix KMS를 사용하여 vSAN 암호화 구성
• CipherTrust Manager를 사용하여 vSAN 암호화 구성
• HyTrust KeyControl을 사용하여 vSAN 암호화 구성

지원되는 공급업체 사용

외부 KMS를 배포할 때마다 동일한 기본 단계가 필요합니다.

• Google Cloud 프로젝트를 만들거나 기존 프로젝트를 사용합니다.
• 새 Virtual Private Cloud(VPC)를 만들거나 기존 VPC 네트워크를 선택합니다.
• 선택한 VPC 네트워크를 VMware Engine 네트워크에 연결합니다.

그런 다음 Compute Engine VM 인스턴스에 KMS를 배포합니다.

1. Compute Engine VM 인스턴스를 배포하는 데 필요한 IAM 권한을 설정합니다.
2. Compute Engine에 KMS를 배포합니다.
3. vCenter 및 Fortanix KMS 간의 신뢰 설정
4. vSAN 데이터 암호화 사용 설정

다음 섹션에서는 지원되는 공급업체를 이용하는 프로세스를 간략하게 설명합니다.

IAM 권한 설정

특정 Google Cloud 프로젝트 및 VPC 네트워크에 Compute Engine VM 인스턴스를 배포하고 VPC 네트워크를 VMware Engine에 연결하고 VPC 네트워크의 방화벽 규칙을 구성하려면 충분한 권한이 있어야 합니다.

프로젝트 소유자와 네트워크 관리자 역할을 갖는 IAM 주 구성원은 할당된 IP 범위를 만들고 비공개 연결을 관리할 수 있습니다. 역할에 대한 자세한 내용은 Compute Engine IAM 역할을 참조하세요.

Compute Engine에 키 관리 서버 배포

일부 KMS 솔루션은 Google Cloud Marketplace의 어플라이언스 폼 팩터에서 사용할 수 있습니다. VPC 네트워크나 Google Cloud 프로젝트에서 OVA를 직접 가져와 이러한 어플라이언스를 배포할 수 있습니다.

소프트웨어 기반 KMS의 경우 KMS 공급업체에서 권장하는 구성 (vCPU 수, vMem, 디스크)을 사용하여 Compute Engine VM 인스턴스를 배포합니다. 게스트 운영체제에 KMS 소프트웨어를 설치합니다. VMware Engine 네트워크에 연결된 VPC 네트워크에서 Compute Engine VM 인스턴스를 만듭니다.

vCenter 및 Fortanix KMS 간의 신뢰 설정

Compute Engine에 KMS를 배포한 후 KMS에서 암호화 키를 검색하도록 VMware Engine vCenter를 구성합니다.

암호화 키를 검색하려면 다음을 실행하여 vCenter와 KMS 간에 신뢰를 설정하세요.

1. vCenter에서 인증서를 생성합니다.
2. KMS에서 생성된 토큰이나 키를 사용하여 인증서에 서명합니다.
3. 서명된 인증서를 vCenter에 업로드합니다.
4. vCenter Server 구성 페이지에서 연결 상태를 확인합니다.

vSAN 데이터 암호화 사용 설정

vCenter에서 기본 CloudOwner 사용자는 vSAN 데이터 암호화를 사용 설정하고 관리할 권한이 있습니다.

외부 KMS에서 다시 기본Google-owned and managed key 프로바이더로 전환하려면 VMware 문서 표준 키 프로바이더 구성 및 관리에서 제공하는 키 프로바이더를 변경하는 단계를 따르세요.

다음 단계

• vSAN KMS 연결 상태 확인 알아보기
• vSAN 7.0 암호화 알아보기