신뢰할 수 있는 인프라를 구성하고 관리하는 방법을 알려면 vSphere 신뢰 기관 프로세스 흐름을 이해하는 것이 필수적입니다.

vSphere 신뢰 기관를 구성하는 방법

vSphere 신뢰 기관는 기본적으로 활성화되어 있지 않습니다. 환경에서 수동으로 vSphere 신뢰 기관을 구성해야 합니다. vSphere 신뢰 기관 구성의 내용을 참조하십시오.

vSphere 신뢰 기관를 구성할 때 증명 서비스에서 허용하는 ESXi 소프트웨어의 버전과 신뢰할 수 있는 TPM(신뢰할 수 있는 플랫폼 모듈)을 지정해야 합니다.

TPM 및 증명

이 가이드에서는 TPM 및 증명을 설명할 때 다음 정의를 사용합니다.

표 1. TPM 및 증명 용어집
용어 정의
EK(승인 키) TPM은 EK(승인 키)라고 하는 하드웨어에 내장된 RSA 공용/개인 키 쌍으로 제작됩니다. EK는 특정 TPM에 고유합니다.
EK 공용 키 EK 키 쌍의 공용 부분입니다.
EK 개인 키 EK 키 쌍의 개인 부분입니다.
EK 인증서 서명으로 래핑된 EK 공용 키입니다. EK 인증서는 해당 인증 기관 개인 키를 사용하여 EK 공용 키에 서명하는 TPM 제조업체에서 생성합니다. 모든 TPM에 EK 인증서가 포함되어 있는 것은 아닙니다. 이 경우 EK 공용 키는 서명되어 있지 않습니다.
TPM 증명 원격 호스트에서 실행되고 있는 소프트웨어를 확인하는 증명 서비스의 기능입니다. TPM 증명은 원격 호스트가 시작하는 동안 TPM에서 수행한 암호화 측정을 통해 이루어지고 요청 시 증명 서비스로 릴레이됩니다. 증명 서비스는 EK 공용 키 또는 EK 인증서를 통해 TPM에서 신뢰를 설정합니다.

신뢰할 수 있는 호스트에서 TPM 신뢰 구성

ESXi 신뢰할 수 있는 호스트에는 TPM이 포함되어야 합니다. TPM은 EK(승인 키)라고 하는 하드웨어에 내장된 공용/개인 키 쌍으로 제작됩니다. TPM 2.0은 여러 키/인증서 쌍을 허용하지만 가장 일반적인 것은 RSA-2048 키 쌍입니다. CA에서 TPM EK 공용 키에 서명하면 EK 인증서가 됩니다. TPM 제조업체는 보통 하나 이상의 EK를 미리 생성하고, 인증 기관을 통해 공용 키에 서명한 후, 서명된 인증서를 TPM의 비휘발성 메모리에 포함시킵니다.

다음과 같이 TPM을 신뢰하도록 증명 서비스를 구성할 수 있습니다.

  • 제조업체가 TPM에 서명하는 데 사용한 모든 CA 인증서(EK 공용 키)를 신뢰합니다. 증명 서비스에 대한 기본 설정은 CA 인증서를 신뢰하는 것입니다. 이 접근 방법의 경우 동일한 CA 인증서가 많은 ESXi 호스트를 처리하므로 관리 오버헤드가 줄어듭니다.
  • ESXi 호스트의 TPM CA 인증서와 EK 공용 키를 신뢰합니다. 후자는 EK 인증서 또는 EK 공용 키일 수 있습니다. 이 접근 방법은 더 강화된 보안을 제공하지만 신뢰할 수 있는 호스트 각각에 대해 정보를 구성해야 합니다.
  • 일부 TPM에는 EK 인증서가 포함되어 있지 않습니다. 이 경우에는 EK 공용 키를 신뢰합니다.

모든 TPM CA 인증서를 신뢰하기로 결정하는 것이 운영상 편리합니다. 새 인증서는 새 하드웨어 클래스를 데이터 센터에 추가할 때에만 구성합니다. 개별 EK 인증서를 신뢰하여 액세스를 특정 ESXi 호스트로 제한할 수 있습니다.

TPM CA 인증서를 신뢰하지 않는 것으로 결정할 수도 있습니다. 드문 상황이기는 하지만 CA가 EK에 서명하지 않은 경우 이 구성을 사용할 수 있습니다. 현재 이 기능은 완전히 구현되지 않았습니다.

참고: 일부 TPM에는 EK 인증서가 포함되어 있지 않습니다. 개별 ESXi 호스트를 신뢰하려는 경우 TPM에는 EK 인증서가 포함되어야 합니다.

TPM 증명

증명 프로세스를 시작하기 위해 신뢰할 수 있는 클러스터의 ESXi 신뢰할 수 있는 호스트는 미리 구성된 EK 공용 키 및 EK 인증서를 신뢰 기관 클러스터의 증명 서비스로 보냅니다. 증명 서비스에서 요청을 받으면 해당 구성에서 EK를 조회합니다. 이것은 구성에 따라 EK 공용 키 또는 EK 인증서이거나 둘 다일 수 있습니다. 어떤 경우도 유효하지 않으면 증명 서비스가 증명 요청을 거부합니다.

EK는 서명에 직접 사용되지 않으므로 증명 키(AK 또는 AIK)가 협상됩니다. 협상 프로토콜은 새로 생성된 AK가 이전에 확인된 EK에 바인딩되도록 하여 중간자 상황이나 가장 주체를 방지합니다. AK가 협상된 후에는 매번 새로 생성하는 대신 향후 증명 요청에 재사용됩니다.

ESXi 신뢰할 수 있는 호스트는 TPM에서 견적과 PCR 값을 읽습니다. 견적은 AK에서 서명합니다. ESXi 신뢰할 수 있는 호스트는 TCG 이벤트 로그도 읽습니다. 여기에는 현재 PCR 상태를 초래한 모든 이벤트가 포함됩니다. 이 TPM 정보는 검증을 위해 증명 서비스로 전송됩니다. 증명 서비스는 이벤트 로그를 사용하여 PCR 값을 확인합니다.

키 제공자가 키 서버와 작동하는 방식

키 제공자 서비스는 신뢰할 수 있는 키 제공자의 개념을 사용하여 나머지 데이터 센터 소프트웨어에서 키 서버의 특정 정보를 숨깁니다. 각각의 신뢰할 수 있는 키 제공자는 구성된 하나의 기본 암호화 키를 가지며 하나 이상의 키 서버를 참조합니다. 기본 암호화 키는 키 서버에 있습니다. vSphere 신뢰 기관 구성의 일부로, 기본 키를 별도의 작업으로 프로비저닝하고 활성화해야 합니다. 키 제공자 서비스에는 구성된 신뢰할 수 있는 키 제공자가 여러 개 있을 수 있습니다. 각각의 신뢰할 수 있는 키 제공자는 서로 다른 기본 키를 사용하지만 동일한 백업 키 서버를 참조할 수 있습니다.

새로운 신뢰할 수 있는 키 제공자가 추가되는 경우 신뢰 기관 관리자는 키 서버와 해당 키 서버에 있는 기존의 키 식별자를 지정해야 합니다.

다음 그림은 키 제공자 서비스와 키 서버 간의 관계를 보여 줍니다.

그림 1. 키 제공자 및 키 서버

이 그림은 구성된 3개의 신뢰할 수 있는 키 제공자를 보여 줍니다. 두 개는 KMS-1용이고, 나머지 하나는 KMS-2용입니다.

신뢰할 수 있는 클러스터에 대해 신뢰할 수 있는 키 제공자를 구성한 후에는 키 제공자 서비스에서 해당 신뢰할 수 있는 키 제공자에 대한 암호화 작업 실행 요청을 수락할 수 있습니다. 예를 들어 이 그림에는 3개의 신뢰할 수 있는 키 제공자가 구성되어 있습니다. 두 개는 KMS-1용이고, 나머지 하나는 KMS-2용입니다. 신뢰할 수 있는 호스트가 key-provider-2에 대해 암호화 작업을 요청합니다. 신뢰할 수 있는 호스트는 암호화 키의 생성 및 반환을 요청하고 이 암호화 키를 사용하여 암호화 작업을 수행합니다.

키 제공자 서비스는 key-provider-2에서 참조하는 기본 키를 사용하여 지정된 일반 텍스트 데이터를 암호화하고 해당하는 암호를 반환합니다. 이후, 신뢰할 수 있는 호스트는 동일한 암호를 암호 해독 작업에 제공하고 원래 일반 텍스트를 다시 가져올 수 있습니다.

vSphere 신뢰 기관 인증 및 권한 부여

vSphere 신뢰 기관 관리 작업에는 신뢰할 수 있는 관리자 그룹의 멤버인 사용자가 필요합니다. 신뢰 기관 관리자 권한만으로는 ESXi 호스트와 관련된 모든 관리 작업을 수행할 수 없습니다. 자세한 내용은 vSphere 신뢰 기관에 대한 사전 요구 사항 및 필요한 권한의 내용을 참조하십시오.

신뢰할 수 있는 클러스터에 신뢰할 수 있는 호스트 추가

ESXi 호스트를 처음에 신뢰할 수 있는 클러스터에 추가하는 단계는 vSphere 신뢰 기관 구성에 설명되어 있습니다.

나중에 ESXi 호스트를 신뢰할 수 있는 클러스터에 추가하려는 경우에는 워크플로가 달라집니다. vSphere 신뢰 기관 호스트 추가 및 제거의 내용을 참조하십시오.

ESXi 호스트를 처음에 신뢰할 수 있는 클러스터에 추가할 때에는 다음 정보를 수집해야 합니다.

  • 클러스터의 각 하드웨어 유형에 대한 TPM 인증서
  • 클러스터의 각 ESXi 버전에 대한 ESXi 이미지
  • vCenter Server 주체 정보

ESXi 호스트를 나중에 신뢰할 수 있는 클러스터에 추가하는 경우에는 일부 추가 정보를 수집해야 할 수 있습니다. 즉, 새 ESXi 호스트의 하드웨어 버전이나 ESXi 버전이 원래 호스트와 다른 경우에는 새 ESXi 호스트 정보를 수집한 후 신뢰 기관 클러스터로 가져와야 합니다. vCenter Server 시스템별로 한 번만 vCenter Server 주체 정보를 수집해야 합니다.