Fortanix KMS를 사용하여 vSAN 암호화 구성

vSAN 암호화를 사용하여 저장 데이터를 암호화하는 한 가지 옵션은 Fortanix 키 관리 서비스(KMS)를 사용하는 것입니다.

시작하기 전에

  • Google Cloud 프로젝트를 만들거나 기존 프로젝트를 사용합니다.
  • n1-standard-4 이상의 가상 머신(VM) 인스턴스가 3개 이상 있는지 확인합니다.

Google Cloud에 Fortanix KMS 배포

VPC 네트워크 만들기

보안상의 이유로 새 Virtual Private Cloud(VPC) 네트워크를 만듭니다. 방화벽 규칙을 추가하거나 다른 액세스 제어 방법을 사용하여 액세스 권한이 있는 사용자를 제어할 수 있습니다. 프로젝트에 기본 VPC 네트워크가 있더라도 이를 사용하지 마세요. 대신 명시적으로 만든 방화벽 규칙만 적용되도록 다른 서브넷 IP 범위로 자체 VPC 네트워크를 직접 만듭니다.

VM 인스턴스 템플릿 만들기

  1. 인스턴스 템플릿 만들기의 단계를 따라 새 인스턴스 템플릿을 만듭니다.
  2. 머신 유형에서 n1-standard-4(vCPU 4개, 메모리 15GB) 이상을 선택합니다.
    1. 부팅 디스크 필드에서 Ubuntu 16.04 LTS + 200GB SSD를 선택합니다.

관리형 인스턴스 그룹 만들기

관리형 인스턴스 그룹 만들기의 단계를 사용하여 이전 단계에서 만든 인스턴스 템플릿을 사용하는 관리형 인스턴스 그룹을 만듭니다.

  • 자동 확장을 사용 중지합니다.
  • 인스턴스 수에서 원하는 Fortanix KMS 클러스터 노드 수를 입력합니다.

상태 확인 만들기

상태 확인 만들기 페이지에서 포트 443을 확인합니다. 만들기를 클릭하여 상태 확인을 만듭니다.

내부 TCP 부하 분산기 만들기

  1. 부하 분산기 만들기 페이지의 내부 방향 또는 내부 전용 필드에서 VM 사이에서만 분산을 선택합니다.
  2. 계속을 클릭하여 내부 부하 분산기를 새로 만듭니다.
  3. 왼쪽 패널에서 백엔드 구성을 선택합니다.
    1. 만든 새 VPC 네트워크를 선택합니다.
    2. 생성한 관리형 인스턴스 그룹을 선택합니다.
  4. 왼쪽 패널에서 프런트엔드 구성을 선택합니다.
    1. 만든 새 VPC 네트워크를 선택합니다.
    2. 내부 IP에서 내부 IP 주소를 예약합니다.
    3. 포트 번호에서 포트 443, 4445, 5696을 노출합니다.

외부 부하 분산기 만들기

  1. 부하 분산기 만들기 페이지의 내부 방향 또는 내부 전용 아래에서 인터넷 트래픽을 VM으로 분산 옵션을 선택합니다.
  2. 계속을 클릭합니다.
  3. 왼쪽 패널에서 백엔드 구성을 선택합니다.
    1. 리전 선택
    2. 생성한 관리형 인스턴스 그룹을 선택합니다.
    3. 생성된 상태 확인을 선택합니다.
  4. 왼쪽 패널에서 프런트엔드 구성을 선택합니다.
    1. 만든 VPC 네트워크를 선택합니다.
    2. IP 필드에 공개 IP 주소를 예약합니다.
    3. 포트 번호에서 포트 443, 4445, 5696을 노출합니다.

방화벽 규칙 추가

기본적으로 암시적 인그레스 거부 VPC 네트워크 방화벽 규칙은 VPC 네트워크의 VM에 대한 원치 않는 수신 연결을 차단합니다.

수신되는 연결을 허용하려면 VM에 대해 방화벽 규칙을 설정합니다. VM에 수신되는 연결이 설정되면 이 연결을 통한 양방향 트래픽이 허용됩니다.

동일한 네트워크에서 지정된 포트에 대한 외부 액세스를 허용하거나 VM 간 액세스를 제한하는 방화벽 규칙을 만들 수 있습니다.

포트 443, 4445, 5696을 허용하는 방화벽 규칙을 추가합니다. 만든 VPC 네트워크를 선택하고 보안 요구사항에 따라 소스 IP를 제한합니다.

DNS 만들기

Cloud DNS를 사용하여 내부 및 외부 부하 분산기의 DNS를 만들 수 있습니다. 이 페이지에서 sdkms.vpc.gcloud는 VPC 네트워크에서 연결할 수 있는 Fortanix KMS의 엔드포인트이고 sdkms.external.gcloud는 인터넷에서 연결할 수 있는 엔드포인트입니다.

Fortanix KMS 다운로드 및 설치

각 VM 인스턴스에 Fortanix KMS 소프트웨어를 설치합니다. 자세한 내용은 Fortanix Self-Defending KMS 설치 가이드를 참조하세요. Google Cloud와 호환되는 설치 패키지의 경우 Fortanix 지원팀에 문의하세요.

UI/KMIP 액세스 구성

UI는 sdkms.external.gcloud 명령어를 사용하여 액세스할 수 있습니다. sdkms.vpc.gcloud를 사용하여 VMware의 키 관리 상호 운용성 프로토콜(KMIP)에 액세스할 수 있습니다.

비공개 서비스 액세스 설정

VMware Engine에 대한 비공개 서비스 액세스를 설정하고 VPC 네트워크를 프라이빗 클라우드에 연결합니다. 자세한 내용은 비공개 서비스 액세스 설정을 참조하세요.

vCenter 및 Fortanix KMS 간의 신뢰 설정

  1. Fortanix KMS에서 새 앱을 구성합니다.
  2. 애플리케이션 페이지에서 방금 만든 앱의 사용자 인증 정보 보기를 클릭합니다. 그런 다음 사용자 이름/비밀번호 탭을 선택하고 사용자 이름과 비밀번호를 입력하여 vCenter에서 KMS를 구성합니다.
  3. vCenter의 키 관리 서버에서 내부 IP sdkms.vpc.gcloud를 구성합니다.
  4. vCenter에서 Fortanix KMS를 신뢰하도록 만듭니다.
    1. vCenter 구성 탭에서 나열된 Fortanix KMS를 클릭합니다.
    2. 신뢰 설정을 클릭한 후 vCenter를 신뢰할 수 있는 KMS로 지정을 클릭합니다.
    3. Trust(트러스트)를 클릭합니다.
  5. Fortanix KMS에서 vCenter를 신뢰하도록 만듭니다.
    1. 트러스트 설정을 클릭한 후 KMS에서 vCenter를 신뢰하도록 만들기를 클릭합니다.
    2. 방법 선택에서 vCenter 인증서를 클릭합니다.
    3. vCenter 인증서 다운로드에서 다운로드를 클릭한 다음 완료를 클릭합니다.
  6. vSAN 암호화 사용 설정
    1. vSphere 클라이언트에서 클러스터 > vSAN > 서비스로 이동합니다.
    2. vSAN 암호화 사용 설정

Fortanix KMS는 vSAN 암호화 및 vCenter VM 암호화에 사용할 수 있습니다. 변조 방지 감사 로그는 애플리케이션에서 수행된 모든 암호화 작업을 캡처합니다. VSAN 암호화의 경우, 새 보안 키는 KMIP 프로토콜을 사용하여 Fortanix KMS에 생성됩니다.