vm-support 번들을 생성할 때와 같이 나중에 문제를 방지하려면 가상 시스템 암호화 모범 사례를 따르십시오.
일반 모범 사례
문제를 방지하려면 다음과 같은 일반적인 모범 사례를 따르십시오.
- vCenter Server Appliance 가상 시스템은 암호화하지 마십시오.
- ESXi 호스트에서 오류가 발생하면 가능한 한 빨리 지원 번들을 검색합니다. 암호를 사용하는 지원 번들을 생성하거나 코어 덤프의 암호를 해독하려는 경우 호스트 키를 사용할 수 있어야 합니다. 호스트가 재부팅되면 호스트 키가 변경될 수 있고 사용자는 더 이상 해당 호스트 키를 사용하여 암호를 사용하는 지원 번들을 생성하거나 지원 번들의 코어 덤프 암호를 해독할 수 없습니다.
- 키 제공자 이름을 주의하여 관리합니다. 키 제공자 이름이 이미 사용 중인 키 서버에 대해 변경되면 해당 키 서버의 키로 암호화된 모든 VM은 전원 켜기 또는 등록 중에 잠긴 상태로 전환됩니다. 이 경우 키 서버를 vCenter Server에서 제거하고 처음에 사용한 키 제공자 이름과 함께 키 서버를 추가합니다.
- VMX 파일 및 VMDK 설명자 파일을 편집하지 마십시오. 이러한 파일에는 암호화 번들이 포함되어 있습니다. 변경하면 가상 시스템을 복구할 수 없고 복구 문제를 수정하지 못할 수 있습니다.
- vSphere 가상 시스템 암호화 프로세스는 데이터를 스토리지에 쓰기 전에 호스트의 데이터를 암호화합니다. 이러한 방식으로 가상 시스템을 암호화할 때 중복 제거, 압축, 복제 등과 같은 백엔드 스토리지 기능의 효율성이 영향을 받을 수 있습니다.
- vSphere 가상 시스템 암호화 및 게스트 내 암호화(BitLocker, dm-crypt 등)와 같은 여러 암호화 계층을 사용하는 경우 암호화 프로세스가 CPU 및 메모리 리소스를 추가로 사용하기 때문에 전반적인 가상 시스템 성능이 영향을 받을 수 있습니다.
- vSphere 가상 시스템 암호화로 암호화된 가상 시스템의 복제된 복사본이 복구 사이트의 암호화 키에 액세스할 수 있는지 확인합니다. 표준 키 제공자의 경우 이 사항은 vSphere 외부에서 키 관리 시스템 설계의 일부로 처리됩니다. vSphere Native Key Provider의 경우 네이티브 키 제공자 키의 백업 복사본이 존재하고 손실로부터 보호되는지 확인합니다. 자세한 내용은 vSphere Native Key Provider 백업의 내용을 참조하십시오.
- 암호화에는 많은 CPU가 사용됩니다. AES-NI는 암호화 성능을 크게 개선합니다. BIOS에서 AES-NI를 사용하도록 설정하십시오.
암호화된 코어 덤프의 모범 사례
문제를 진단하기 위해 코어 덤프를 검사할 때 문제를 방지할 수 있도록 다음 모범 사례를 따릅니다.
- 코어 덤프에 대한 정책을 설정합니다. 코어 덤프는 키 등 중요한 정보를 포함할 수 있기 때문에 암호화됩니다. 코어 덤프의 암호를 해독하는 경우 이를 중요한 정보로 간주하십시오. ESXi 코어 덤프에는 ESXi 호스트의 키와 호스트에 있는 가상 시스템의 키가 포함될 수 있습니다. 코어 덤프 암호를 해독한 후에는 호스트 키를 변경하고 암호화된 가상 시스템을 이중 암호화하는 것이 좋습니다. 두 작업 모두 vSphere API를 사용하여 수행할 수 있습니다.
자세한 내용은 vSphere 가상 시스템 암호화 및 코어 덤프 항목을 참조하십시오.
- vm-support 번들을 수집할 때 항상 암호를 사용합니다. vSphere Client에서 지원 번들을 생성할 때 또는 vm-support 명령을 사용하여 암호를 지정할 수 있습니다.
암호는 암호에 기반한 키를 사용하기 위해 내부 키를 사용하는 코어 덤프를 이중 암호화합니다. 나중에 지원 번들에 포함되었을 수도 있는 암호화된 코어 덤프의 암호를 해독하는 데 이 암호를 사용할 수 있습니다. 암호화되지 않은 코어 덤프 및 로그는 암호 옵션 사용의 영향을 받지 않습니다.
- vm-support 번들 생성 동안 지정하는 암호는 vSphere 구성 요소에서 지속되지 않습니다. 지원 번들용 암호를 추적하는 것은 사용자의 책임입니다.
- 호스트 키를 변경하기 전에 암호를 사용하는 vm-support 번들을 생성합니다. 나중에 이 암호를 사용하여 이전 호스트 키로 암호화되었을 수 있는 코어 덤프에 액세스할 수 있습니다.
키 수명주기 관리 모범 사례
- 키 서버 가용성을 보장하는 정책을 갖추는 것은 사용자의 책임입니다.
키 서버를 사용할 수 없는 경우 vCenter Server가 키 서버에서 키를 요청하도록 요구하는 가상 시스템 작업은 불가능합니다. 즉, 실행 중인 가상 시스템은 계속 실행되며 해당 가상 시스템의 전원을 켜고, 끄고, 재구성할 수 있습니다. 하지만 해당 가상 시스템을 키 정보가 없는 호스트에 재배치할 수 없습니다.
대부분의 키 서버 솔루션에는 고가용성 기능이 포함되어 있습니다. vSphere Client 또는 API를 사용하여 키 제공자 및 연결된 키 서버를 지정할 수 있습니다.
참고: 버전 7.0 업데이트 2부터는 키 서버가 일시적으로 오프라인 상태이거나 사용할 수 없는 경우에도 암호화된 가상 시스템과 가상 TPM이 계속 작동할 수 있습니다. ESXi 호스트는 암호화 키를 계속 유지하여 암호화 및 vTPM 작업을 계속할 수 있습니다. 키 지속성 개요의 내용을 참조하십시오. - 기존 가상 시스템에 대한 키가 활성 상태가 아닌 경우 키를 추적하고 업데이트 적용을 수행하는 것은 사용자의 책임입니다.
KMIP 표준은 키에 대해 다음 상태를 정의합니다.
- 활성 전
- 활성
- 비활성화됨
- 손상됨
- 제거됨
- 제거됨 손상됨
vSphere 가상 시스템 암호화는 암호화에 활성 키만 사용합니다. 키가 활성 전인 경우 vSphere 가상 시스템 암호화가 이를 활성화시킵니다. 키 상태가 비활성화됨, 손상됨, 제거됨, 제거됨 손상됨인 경우 해당 키로 가상 시스템 또는 디스크를 암호화할 수 없습니다.
키가 다른 상태인 경우 해당 키를 사용하는 가상 시스템은 계속 작동합니다. 복제 또는 마이그레이션 작업의 성공 여부는 키가 이미 호스트에 있는지 여부에 따라 다릅니다.- 키가 대상 호스트에 있으면 키 서버에서 키가 활성 상태가 아니어도 작업이 성공합니다.
- 필요한 가상 시스템 및 가상 디스크 키가 대상 호스트에 없으면 vCenter Server는 키 서버에서 키를 가져와야 합니다. 키 상태가 비활성화됨, 손상됨, 제거됨, 제거됨 손상됨인 경우 vCenter Server는 오류를 표시하고 작업은 실패합니다.
키가 이미 호스트에 있으면 복제 또는 마이그레이션 작업이 성공합니다. vCenter Server가 키 서버에서 키를 끌어와야 할 경우 작업이 실패합니다.
키가 활성 상태가 아닌 경우 API를 사용하여 작업 키를 재생성합니다. "vSphere Web Services SDK 프로그래밍 가이드" 를 참조하십시오.
- 특정 시간 이후에 키가 회수되고 롤오버되도록 키 순환 정책을 개발합니다.
- 신뢰할 수 있는 키 제공자: 신뢰할 수 있는 키 제공자의 기본 키를 변경합니다.
- vSphere Native Key Provider: vSphere Native Key Provider의
key_id
를 변경합니다.
백업 및 복원 모범 사례
- 모든 백업 아키텍처가 지원되지는 않습니다. 가상 시스템 암호화 상호 운용성의 내용을 참조하십시오.
- 복원 작업에 대한 정책을 설정합니다. 백업은 항상 일반 텍스트 형식이므로 복원이 완료된 즉시 가상 시스템을 암호화하도록 계획합니다. 복원 작업의 일부로 가상 시스템이 암호화되도록 지정할 수 있습니다. 가능한 경우 복원 프로세스의 일부로 가상 시스템을 암호화하여 중요한 정보의 노출을 방지합니다. 가상 시스템과 관련된 디스크에 대한 암호화 정책을 변경하려면 디스크에 대한 스토리지 정책을 변경합니다.
- VM 홈 파일이 암호화되어 있기 때문에 복원 시 암호화 키를 사용할 수 있는지 확인합니다.
성능 모범 사례
- 암호화 성능은 CPU 및 스토리지 속도에 따라 다릅니다.
- 기존 가상 시스템을 암호화하면 생성 중인 가상 시스템을 암호화하는 것보다 더 많은 시간이 소요됩니다. 가능하면 가상 시스템 생성 시 암호화하십시오.
스토리지 정책 모범 사례
스토리지 정책을 사용자 지정하는 자세한 내용은 "vSphere 스토리지" 설명서를 참조하십시오.
암호화 키 제거 모범 사례
클러스터에서 암호화 키를 제거하려면 암호화된 가상 시스템을 삭제, 등록 취소 또는 다른 vCenter Server로 이동한 후 클러스터에서 ESXi 호스트를 재부팅합니다.