vSAN 암호화 정보

vSAN 저장 데이터를 암호화하려면 키 관리 시스템(KMS)이 필요합니다. 기본적으로 Google Cloud VMware Engine의 vSAN 데이터 암호화용 키 관리는 추가 비용 없이 새로 생성된 프라이빗 클라우드에 Cloud Key Management Service를 사용합니다.

대신 다음 지원되는 공급업체 중 하나에서 vSAN 저장 데이터 암호화를 위해 외부 KMS를 배포할 수도 있습니다. 이 페이지에서는 vSAN 암호화 동작을 설명하고 외부 KMS를 사용하여 VMware Engine의 가상 머신 저장 데이터를 암호화하는 방법을 요약합니다.

vSAN 데이터 암호화

기본적으로 VMware Engine은 기본 클러스터와 나중에 프라이빗 클라우드에 추가된 클러스터의 데이터에 vSAN 암호화를 사용 설정합니다. vSAN 저장 데이터 암호화는 암호화 후 클러스터의 로컬 물리적 디스크에 저장되는 데이터 암호화 키(DEK)를 사용합니다. DEK는 ESXi 호스트에서 자동으로 생성되는 FIPS 140-2 규정 준수 AES-256 비트 암호화 키입니다. Google 관리 키 제공업체에서 제공하는 키 암호화 키(KEK)는 DEK를 암호화하는 데 사용됩니다.

저장 데이터의 vSAN 암호화를 중지하는 것이 좋습니다. Google Cloud VMware Engine의 서비스별 약관을 위반할 수 있기 때문입니다. 클러스터에서 저장 데이터의 vSAN 암호화를 중지하면 VMware Engine 모니터링 로직에서 알림이 발생합니다. 이 알림은 서비스 약관 위반이 방지되도록 Cloud Customer Care 기반 작업을 트리거하여 영향을 받는 클러스터에서 vSAN 암호화를 다시 사용 설정합니다.

마찬가지로 외부 KMS를 구성하는 경우 vCenter Server에서 Cloud Key Management Service의 키 제공업체 구성을 삭제하지 않을 것을 적극 권장합니다.

기본 키 제공업체

VMware Engine은 새로 생성된 프라이빗 클라우드에서 vCenter Server를 구성하여 Google 관리 키 제공자에 연결합니다. VMware Engine은 리전당 키 제공자의 인스턴스를 하나씩 만들고 키 제공자는 KEK 암호화에 Cloud KMS를 사용합니다. VMware Engine은 키 제공자를 완벽하게 관리하고 모든 리전에서 가용성이 높도록 구성합니다.

Google 관리 키 제공자는 vCenter Server(vSphere 7.0 업데이트 2 이상 버전)에서 기본 키 제공자를 보완하며, 프로덕션 환경에 권장되는 접근 방법입니다. 기본 키 제공자는 VMware Engine의 vSphere 클러스터에서 실행되는 vCenter Server 내에서 프로세스로 실행됩니다. VMware는 vCenter Server를 호스팅하는 클러스터를 암호화하는 데 기본 키 제공자를 사용하지 않을 것을 권장합니다. 대신 Google 관리하는 기본 키 제공자 또는 외부 KMS를 사용하는 것이 좋습니다.

키 순환

기본 키 제공업체를 사용하는 경우 KEK 순환은 사용자 책임입니다. vSphere에서 KEK를 순환하려면 VMware 문서 새 저장 데이터 암호화 키 생성을 참조하세요.

vSphere에서 키를 순환하는 여러 방법을 알아보려면 다음 VMware 리소스를 참조하세요.

• GitHub의 PowerCLI 예시 스크립트
• vSAN Management API

지원되는 공급업체

활성 KMS를 전환하려면 KMIP 1.1을 준수하고 VMware에서 vSAN에 대한 인증을 받은 타사 KMS 솔루션을 선택할 수 있습니다. 다음 공급업체는 VMware Engine으로 KMS 솔루션의 유효성을 검사했으며 배포 가이드 및 지원 문을 게시했습니다.

• Thales CipherTrust Manager
• HyTrust KeyControl
• Fortanix Self Defending KMS

구성 안내는 다음 문서를 참조하세요.

• Fortanix KMS를 사용하여 vSAN 암호화 구성
• CipherTrust Manager를 사용하여 vSAN 암호화 구성
• HyTrust KeyControl을 사용하여 vSAN 암호화 구성

지원되는 공급업체 사용

외부 KMS를 배포할 때마다 동일한 기본 단계가 필요합니다.

• Google Cloud 프로젝트를 만들거나 기존 항목을 사용합니다.
• 새 Virtual Private Cloud(VPC)를 만들거나 기존 VPC 네트워크를 선택합니다.
• 비공개 서비스 액세스를 사용하여 선택된 VPC 네트워크를 VMware Engine 서비스에 연결합니다.

그런 다음 Compute Engine VM 인스턴스에 KMS를 배포합니다.

1. Compute Engine VM 인스턴스를 배포하는 데 필요한 IAM 권한을 설정합니다.
2. Compute Engine에 KMS를 배포합니다.
3. vCenter 및 Fortanix KMS 간의 신뢰 설정
4. vSAN 데이터 암호화 사용 설정

다음 섹션에서는 지원되는 공급업체를 이용하는 프로세스를 간략하게 설명합니다.

IAM 권한 설정

특정 Google Cloud 프로젝트 및 VPC 네트워크에 Compute Engine VM 인스턴스를 배포하고 VPC 네트워크를 VMware Engine에 연결하고 VPC 네트워크의 방화벽 규칙을 구성하려면 충분한 권한이 있어야 합니다.

프로젝트 소유자와 네트워크 관리자 역할을 갖는 IAM 주 구성원은 할당된 IP 범위를 만들고 비공개 연결을 관리할 수 있습니다. 역할에 대한 자세한 내용은 Compute Engine IAM 역할을 참조하세요.

Compute Engine에 키 관리 서버 배포

일부 KMS 솔루션은 Google Cloud Marketplace의 어플라이언스 폼 팩터에서 사용할 수 있습니다. VPC 네트워크나 Google Cloud 프로젝트에서 OVA를 직접 가져와 이러한 어플라이언스를 배포할 수 있습니다.

소프트웨어 기반 KMS의 경우 KMS 공급업체의 권장 구성(vCPU 수, vMem, 디스크)을 사용하여 Compute Engine VM 인스턴스를 배포합니다. 게스트 운영체제에 KMS 소프트웨어를 설치합니다. 비공개 서비스 액세스를 사용하여 VMware Engine에 연결된 VPC에서 Compute Engine VM 인스턴스를 만듭니다.

vCenter 및 Fortanix KMS 간의 신뢰 설정

Compute Engine에 KMS를 배포한 후 KMS에서 암호화 키를 검색하도록 VMware Engine vCenter를 구성합니다.

먼저 vCenter에 KMS 연결 세부정보를 추가합니다. 그 다음 vCenter와 KMS 간에 신뢰를 설정합니다. vCenter와 KMS 간에 신뢰를 설정하려면 다음을 수행합니다.

1. vCenter에서 인증서를 생성합니다.
2. KMS에서 생성된 토큰이나 키를 사용하여 서명합니다.
3. 이 인증서를 vCenter에 제공하거나 업로드합니다.
4. vCenter 서버 구성 페이지에서 KMS 설정 및 상태를 확인하여 연결 상태를 확인합니다.

vSAN 데이터 암호화 사용 설정

vCenter에서 기본 CloudOwner 사용자는 vSAN 데이터 암호화를 사용 설정하고 관리할 권한이 있습니다.

외부 KMS에서 다시 기본 Google 관리 키 공급업체로 전환하려면 VMware 문서 표준 키 공급업체 구성 및 관리에서 제공하는 키 제공업체를 변경하는 단계를 수행합니다.

다음 단계

• vSAN KMS 연결 상태 확인 알아보기
• vSAN 7.0 암호화 알아보기