vSphere 가상 시스템 암호화를 통해 환경을 보호하는 방법

vSphere 가상 시스템 암호화를 사용하면 암호화된 가상 시스템을 생성하고 기존 가상 시스템을 암호화할 수 있습니다. 중요한 정보가 포함되어 있는 모든 가상 시스템 파일이 암호화되므로 가상 시스템이 보호됩니다. 암호화 권한을 가진 관리자만 암호화 및 암호 해독 작업을 수행할 수 있습니다.

사용되는 키

암호화에는 두 가지 종류의 키가 사용됩니다.

ESXi 호스트는 가상 시스템과 디스크를 암호화하기 위해 내부 키를 생성하고 사용합니다. 이러한 키는 DEK(데이터 암호화 키)로 사용되는 XTS-AES-256 키입니다.
vCenter Server는 KMS에 키를 요청합니다. 이러한 키는 KEK(키 암호화 키)로 사용되는 AES-256 키입니다. vCenter Server는 키 자체가 아니라 각 KEK의 ID만 저장합니다.
ESXi는 KEK를 사용하여 내부 키를 암호화하고, 암호화된 내부 키를 디스크에 저장합니다. ESXi는 KEK를 디스크에 저장하지 않습니다. 호스트가 재부팅되면 vCenter Server는 해당하는 ID를 가진 KEK를 KMS에 요청하여 ESXi가 사용할 수 있도록 합니다. 그러면 ESXi는 필요에 따라 내부 키를 암호 해독합니다.

암호화 대상

vSphere 가상 시스템 암호화는 가상 시스템 파일, 가상 디스크 파일 및 코어 덤프 파일의 암호화를 지원합니다.

가상 시스템 파일: 대부분의 가상 시스템 파일, 특히 VMDK 파일에 저장되지 않는 게스트 데이터가 암호화됩니다. 이 파일 집합에는 NVRAM, VSWP 및 VMSN 파일을 비롯하여 다양한 파일이 포함되나 이에 국한되지 않습니다. vCenter Server가 KMS에서 검색하는 내부 키와 기타 암호가 포함되어 있는 VMX 파일의 암호화 번들을 잠금 해제합니다.; vSphere Client를 사용하여 암호화된 가상 시스템을 생성하는 경우 가상 시스템 파일과는 별개로 가상 디스크를 암호화 및 암호 해독할 수 있습니다. vSphere Web Client를 사용하여 암호화된 가상 시스템을 생성하는 경우에는 모든 가상 디스크가 기본적으로 암호화됩니다. 기존 가상 시스템을 암호화하는 것과 같은 기타 암호화 작업을 수행할 때는 두 클라이언트 모두에 대해 가상 시스템 파일과는 별개로 가상 디스크를 암호화 및 암호 해독할 수 있습니다.
참고: 암호화된 가상 디스크를 암호화되지 않은 가상 시스템과 연결할 수 없습니다.
가상 디스크 파일: 암호화된 VMDK(가상 디스크) 파일 내의 데이터는 스토리지 또는 물리적 디스크에 일반 텍스트로 기록되지 않습니다. 또한 네트워크를 통해 일반 텍스트로 전송되는 경우도 절대 없습니다. VMDK 설명자 파일은 대부분 일반 텍스트이지만 암호화된 번들에 KEK의 키 ID와 내부 키(DEK)가 포함됩니다.; vSphere API를 사용하면 새 KEK로 얕은 이중 암호화 작업을 수행하거나 새 내부 키로 깊은 이중 암호화 작업을 수행할 수 있습니다.

코어 덤프: 암호화 모드를 사용하도록 설정된 ESXi 호스트의 코어 덤프는 항상 암호화됩니다. vSphere 가상 시스템 암호화 및 코어 덤프의 내용을 참조하십시오.
참고: vCenter Server 시스템의 코어 덤프는 암호화되지 않습니다. vCenter Server 시스템에 대한 액세스를 보호합니다.

참고: vSphere 가상 시스템 암호화와 상호 운용될 수 있는 장치 및 기능과 관련된 몇 가지 제한 사항에 대한 자세한 내용은 가상 시스템 암호화 상호 운용성의 내용을 참조하십시오.

암호화되지 않는 대상

가상 시스템과 관련된 일부 파일은 암호화되지 않거나 부분적으로 암호화됩니다.

로그 파일: 로그 파일은 중요한 데이터가 포함되지 않기 때문에 암호화되지 않습니다.

가상 시스템 구성 파일: VMX 및 VMSD 파일에 저장되는 대부분의 가상 시스템 구성 정보는 암호화되지 않습니다.

가상 디스크 설명자 파일: 대부분의 가상 디스크 설명자 파일은 키 없이 디스크 관리 기능을 지원하기 위해 암호화되지 않습니다.

암호화 작업을 수행할 수 있는 사용자

암호화 작업 권한이 할당된 사용자만 암호화 작업을 수행할 수 있습니다. 이 권한 집합은 세분화되어 있습니다. 암호화 작업 권한의 내용을 참조하십시오. 기본 관리자 시스템 역할에는 모든 암호화 작업 권한이 포함됩니다. 암호화 관리자 없음이라는 새로운 역할은 암호화 작업 권한을 제외한 모든 관리자 권한을 지원합니다.

추가적인 사용자 지정 역할을 생성할 수도 있습니다. 예를 들면 사용자 그룹이 가상 시스템을 암호화할 수 있도록 허용하고 가상 시스템을 암호 해독하지 못하게 방지할 수 있습니다.

암호화 작업을 수행하는 방법

vSphere Client 및 vSphere Web Client는 여러 가지 암호화 작업을 지원합니다. 기타 작업은 vSphere API를 사용하여 수행할 수 있습니다.

표 1. 암호화 작업을 수행하기 위한 인터페이스
인터페이스	작업	정보
vSphere Client 또는 vSphere Web Client	암호화된 가상 시스템 생성 가상 시스템 암호화 및 암호 해독	본 설명서
vSphere Web Services SDK	암호화된 가상 시스템 생성 가상 시스템 암호화 및 암호 해독 가상 시스템의 깊은 이중 암호화 수행(다른 DEK 사용) 가상 시스템의 얕은 이중 암호화 수행(다른 KEK 사용)	"vSphere Web Services SDK 프로그래밍 가이드" "VMware vSphere API 참조"
crypto-util	암호화된 코어 덤프 암호 해독, 파일의 암호화 여부 확인 및 기타 관리 작업을 ESXi 호스트에서 직접 수행	명령줄 도움말. vSphere 가상 시스템 암호화 및 코어 덤프