키 제공자를 설정한 후 필요한 권한이 있는 사용자는 암호화된 가상 시스템과 디스크를 생성할 수 있습니다. 또한 이러한 사용자는 기존의 가상 시스템을 암호화하고, 암호화된 가상 시스템의 암호를 해독하며, 가상 시스템에 vTPM(신뢰할 수 있는 가상 플랫폼 모듈)을 추가할 수도 있습니다.
키 제공자 유형에 따라 프로세스 흐름에 키 서버, vCenter Server 및 ESXi 호스트가 포함될 수 있습니다.
표준 키 제공자 암호화 프로세스 흐름
- 사용자가 암호화된 가상 시스템 생성과 같은 암호화 작업을 수행하는 경우 vCenter Server는 기본 키 서버에서 새 키를 요청합니다. 이 키가 KEK로 사용됩니다.
- vCenter Server가 키 ID를 저장하고 ESXi 호스트에 키를 전달합니다. ESXi 호스트가 클러스터의 일부인 경우 vCenter Server가 KEK를 클러스터 내 각 호스트에 전송합니다.
키 자체는 vCenter Server 시스템에 저장되어 있지 않습니다. 키 ID만 알려져 있습니다.
- ESXi 호스트는 가상 시스템과 해당 디스크에 대한 내부 키(DEK)를 생성합니다. 내부 키를 메모리에만 유지하고 KEK를 사용하여 내부 키를 암호화합니다.
암호화되지 않은 내부 키는 디스크에 저장되지 않습니다. 암호화된 데이터만 저장됩니다. KEK는 키 서버에서 전송되므로 호스트는 계속 동일한 KEK를 사용합니다.
- ESXi 호스트는 암호화된 내부 키를 사용하여 가상 시스템을 암호화합니다.
KEK가 있고 암호화된 키 파일에 액세스할 수 있는 모든 호스트는 암호화된 가상 시스템 또는 디스크에 대한 작업을 수행할 수 있습니다.
신뢰할 수 있는 키 제공자 암호화 프로세스 흐름
vSphere 신뢰 기관 암호화 프로세스 흐름에는 vSphere 신뢰 기관 서비스, 신뢰할 수 있는 키 제공자, vCenter Server 및 ESXi 호스트가 포함됩니다.
신뢰할 수 있는 키 제공자를 사용하여 가상 시스템을 암호화하는 것은 표준 키 제공자를 사용할 때의 가상 시스템 암호화 사용자 환경과 동일합니다. vSphere 신뢰 기관에서의 가상 시스템 암호화는 가상 시스템 암호화 시점을 결정하기 위해 가상 시스템 암호화 스토리지 정책 또는 vTPM 디바이스의 존재 여부에 계속 의존합니다. vSphere Client에서 가상 시스템을 암호화할 때에는 여전히 기본 구성된 키 제공자(vSphere 6.5 및 6.7에서는 KMS 클러스터라고 함)를 사용합니다. 또한 유사한 방식으로 API를 사용하여 키 제공자를 수동으로 지정할 수 있습니다. vSphere 6.5용으로 추가된 기존의 암호화 권한은 vSphere 신뢰 기관과 관련하여 여전히 vSphere 7.0에서도 유효합니다.
신뢰할 수 있는 키 제공자에 대한 암호화 프로세스에는 표준 키 제공자의 경우와 다른 몇 가지 중요한 차이점이 있습니다.
-
신뢰 기관 관리자는 vCenter Server 인스턴스에 대해 키 서버를 설정할 때 정보를 직접 지정하지 않으며 키 서버 신뢰를 설정하지 않습니다. 대신, vSphere 신뢰 기관에서 신뢰할 수 있는 호스트가 사용할 수 있는 신뢰할 수 있는 키 제공자를 게시합니다.
- vCenter Server는 더 이상 키를 ESXi 호스트로 푸시하지 않으며 대신 각각의 신뢰할 수 있는 키 제공자를 단일 최상위 키로 처리할 수 있습니다.
- 신뢰할 수 있는 호스트만 신뢰 기관 호스트의 암호화 작업을 요청할 수 있습니다.
vSphere Native Key Provider 암호화 프로세스 흐름
vSphere Native Key Provider는 7.0 업데이트 2 릴리스부터 vSphere에 포함됩니다. vSphere Native Key Provider를 구성하면 vCenter Server에서 기본 키를 클러스터의 모든 ESXi 호스트로 푸시합니다. 마찬가지로 vSphere Native Key Provider를 업데이트하거나 삭제하면 변경 내용이 클러스터의 호스트로 푸시됩니다. 암호화 프로세스 흐름은 신뢰할 수 있는 키 제공자가 작동하는 방식과 유사합니다. 차이점은 vSphere Native Key Provider의 경우 키를 생성하고 이를 기본 키로 래핑한 다음 다시 전달하여 암호화를 수행한다는 것입니다.
키 서버의 사용자 지정 특성
KMIP(Key Management Interoperability Protocol)는 벤더 특정 목적에 사용할 사용자 지정 특성의 추가를 지원합니다. 사용자 지정 특성을 사용하면 키 서버에 저장된 키를 보다 구체적으로 식별할 수 있습니다. vCenter Server는 가상 시스템 키 및 호스트 키에 대해 다음과 같은 사용자 지정 특성을 추가합니다.
| 사용자 지정 특성 | 값 |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
vCenter Server 버전 |
x-Component |
가상 시스템 |
x-Name |
가상 시스템 이름(ConfigInfo 또는 ConfigSpec에서 수집) |
x-Identifier |
가상 시스템의 인스턴스 UUID(ConfigInfo 또는 ConfigSpec에서 수집) |
| 사용자 지정 특성 | 값 |
|---|---|
x-Vendor |
VMware, Inc. |
x-Product |
VMware vSphere |
x-Product_Version |
vCenter Server 버전 |
x-Component |
ESXi 서버 |
x-Name |
호스트 이름 |
x-Identifier |
호스트의 하드웨어 UUID |
vCenter Server는 키 서버에서 키를 생성할 때 x-Vendor, x-Product 및 x-Product_Version 특성을 추가합니다. 키를 사용하여 가상 시스템 또는 호스트를 암호화할 때 vCenter Server는 x-Component, x-Identifier 및 x-Name 특성을 설정합니다. 키 서버 사용자 인터페이스에서 이러한 사용자 지정 특성을 볼 수 있습니다. 키 서버 벤더에 확인하십시오.
호스트 키와 가상 시스템 키에는 각각 6개의 사용자 지정 특성이 있습니다. x-Vendor, x-Product 및 x-Product_Version은 두 키 모두에 대해 동일할 수 있습니다. 이러한 특성은 키가 생성될 때 설정됩니다. 키의 대상이 가상 시스템인지 아니면 호스트인지에 따라 x-Component, x-Identifier 및 x-Name 특성이 추가될 수 있습니다.
키 오류
키 서버에서 ESXi 호스트로 키를 전송하는 동안 오류가 발생하면 vCenter Server는 이벤트 로그에 다음 이벤트에 대한 메시지를 생성합니다.
- 호스트 연결 또는 호스트 지원 문제로 ESXi 호스트에 키를 추가하지 못했습니다.
- 키 서버에 키가 없어서 키 서버에서 키를 가져오지 못했습니다.
- 키 서버 연결로 인해 키 서버에서 키를 가져오지 못했습니다.
암호화된 가상 시스템 암호 해독
나중에 암호화된 가상 시스템의 암호를 해독하려는 경우 스토리지 정책을 변경합니다. 가상 시스템과 모든 디스크에 대한 스토리지 정책을 변경할 수 있습니다. 개별 구성 요소의 암호를 해독하려는 경우 먼저 선택한 디스크의 암호를 해독한 후 VM 홈에 대한 스토리지 정책을 변경하여 가상 시스템의 암호를 해독합니다. 각 구성 요소의 암호 해독에 두 키가 모두 필요합니다. 암호화된 가상 시스템 또는 가상 디스크 암호 해독의 내용을 참조하십시오.
