Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Virtual Trusted Platform Module 정보

vTPM(Virtual Trusted Platform Module)은 물리적 신뢰 플랫폼 모듈(TPM) 2.0 칩의 소프트웨어 기반 표현입니다. vTPM 기능을 사용하면 가상 머신에 TPM 2.0 가상 암호화 프로세서를 추가할 수 있습니다. Google Cloud VMware Engine은 vTPM을 지원합니다.

기본 키 프로바이더, Cloud Key Management Service 또는 외부 KMS를 사용하여 vTPM을 만들 수 있습니다. vTPM을 만들기 전에 vCenter에서 키 제공업체를 기본 키 제공업체로 구성하는 것이 좋습니다.

VM에 vTPM 추가

VM에 'Trusted Platform Module' 가상 기기를 추가하여 VM에 vTPM을 추가할 수 있습니다. 자세한 내용은 vSphere 가상 TPM (vTPM) 질문과 답변을 참고하세요.

워크로드 VM의 vTPM 및 VM 암호화

워크로드 VM은 가상 신뢰 플랫폼 모듈 (vTPM) 내에 저장된 내부 시드를 사용하여 워크로드 데이터를 암호화합니다. vTPM을 추가하면 시스템에서 기본적으로 VM 홈 파일을 암호화하지만 가상 머신 디스크 (VMDK)는 포함하지 않습니다. VMDK를 암호화하려면 별도로 암호화해야 합니다.

데이터 저장소 및 기본 요건

시스템은 다른 VM 메타데이터와 함께 VM의 홈 디렉터리에 있는 NVRAM 파일에 vTPM 데이터를 저장합니다. vTPM을 사용하려면 다음 요구사항을 충족해야 합니다.

키 제공업체 구성: vTPM 기능에는 VM 암호화가 필요하므로 키 제공업체를 구성해야 합니다. VM 암호화는 VM의 홈 디렉터리에 있는 vTPM 데이터를 보호합니다.

vTPM으로 VM의 키를 다시 지정하기 위한 주요 고려사항

vTPM 기기가 있는 VM의 키를 다시 지정하면 VM의 홈 디렉터리에 있는 vTPM 데이터를 보호하는 암호화 키만 업데이트됩니다. 인스턴스화 후에는 vTPM 내에서 시드를 변경할 수 없습니다.

VM에 vTPM 기기를 추가하면 기기에서 내부 시드를 생성합니다. 게스트 운영체제에서 실행되는 애플리케이션은 이 시드를 사용하여 보안 비밀 또는 암호화 키를 생성하여 애플리케이션 데이터를 보호할 수 있습니다.
별도로 VM에서 vTPM을 사용 설정하려면 외부 키 제공업체를 사용하는 VM 파일 암호화가 필요합니다. VMDK 암호화는 선택사항이며 기본적으로 사용 중지되어 있습니다.
외부 키 제공업체의 암호화 키는 VM 파일(및 암호화를 사용 설정한 경우 VMDK)을 암호화합니다. 이 키는 vTPM 기기에 저장된 시드 또는 애플리케이션이 해당 시드를 사용하여 생성하는 키와는 별개입니다.
외부 키 제공업체를 vCenter의 기본 키 제공업체로 구성해야 합니다.
vTPM 기기가 있는 VM을 다시 암호화하면 외부 키 프로바이더의 새 암호화 키를 사용하여 VM 파일 (및 암호화를 사용 설정한 경우 VMDK)이 다시 암호화됩니다. 이 작업은 vTPM 기기에 저장된 시드 또는 보안 비밀에 영향을 미치지 않습니다.

암호화된 가상 머신 요구사항

기본 Google-owned and managed key 프로바이더 또는 Cloud Key Management Service를 사용하여 VM의 암호화 키를 관리할 수 있습니다.

프라이빗 클라우드의 VM에 VM 암호화 (또는 vTPM)를 사용 설정하고 KMS를 사용하여 암호화 키를 관리하는 경우 KMS 키를 순환한 후 각 VM을 다시 암호화 (얕은 열쇠 배열 변경)해야 합니다.

얕은 키 다시 지정은 키 암호화 키 (KEK)만 대체하고 VM의 데이터 암호화 키 (DEK)는 변경하지 않습니다. 일반적으로 vSphere Client에서 다시 암호화 작업을 사용하여 얕은 키 다시 지정을 트리거합니다.

이 작업 중에 시스템은 새 KEK를 사용하여 기존 DEK를 다시 래핑 (다시 암호화)합니다. 이 프로세스는 디스크의 실제 데이터를 다시 쓰는 대신 암호화된 DEK가 포함된 작은 키 번들만 업데이트하므로 빠릅니다. 자세한 내용은 다음 VMware 문서를 참고하세요.

암호화된 VM의 키를 다시 지정하지 못할 경우의 위험

순환된 (이전) KMS 키 버전을 삭제하기 전에 암호화된 VM의 키를 다시 지정하지 못하면 다음과 같은 문제가 발생할 수 있습니다.

vMotion 실패: KMS 키 순환 후 VM 열쇠 배열 변경을 수행하기 전에 대상 호스트를 재부팅하거나 클러스터에 추가하면 ESXi 호스트가 vMotion 중에 VM DEK를 복호화할 수 없습니다.
전원 켜기 실패: 호스트가 재부팅되거나 로컬 키 캐시를 지우면 KMS에서 키를 다시 가져올 수 없습니다. KMS에서 필요한 키를 삭제한 경우 호스트가 DEK를 복호화할 수 없으므로 암호화된 VM을 켤 수 없습니다.

워크로드 VM에서 키 다시 지정 작업을 실행하는 단계

vSphere Client에서 VM을 마우스 오른쪽 버튼으로 클릭합니다.
VM 정책 > 다시 암호화 를 선택합니다.
대화상자가 나타나면 다시 암호화 요청을 확인합니다.
작업이 완료될 때까지 기다립니다.
KMS 키 순환 후 재부팅하거나 클러스터에 추가한 호스트로 VM을 마이그레이션하여 열쇠 배열 변경을 확인합니다.