미사용 데이터 암호화를 사용하도록 설정하는 경우 vSAN은 vSAN 데이터스토어의 모든 항목을 암호화합니다.
- vCenter Server가 AES-256 KEK(키 암호화 키)를 KMS에 요청합니다. vCenter Server는 키 자체가 아니라 KEK의 ID만 저장합니다.
-
ESXi 호스트는 업계 표준 AES-256 XTS 모드를 사용하여 디스크 데이터를 암호화합니다. 각 디스크에는 임의로 생성된 서로 다른 DEK(데이터 암호화 키)가 있습니다.
- 각 ESXi 호스트는 KEK를 사용하여 해당 DEK를 암호화하고, 암호화된 DEK를 디스크에 저장합니다. 호스트는 KEK를 디스크에 저장하지 않습니다. 재부팅 시 호스트는 해당하는 ID를 사용하여 KMS에 KEK를 요청합니다. 이렇게 하면 호스트가 필요에 따라 DEK를 암호 해독할 수 있습니다.
- 호스트 키는 데이터가 아니라 코어 덤프를 암호화하는 데 사용됩니다. 동일한 클러스터의 모든 호스트는 동일한 호스트 키를 사용합니다. 지원 번들을 수집할 때 임의 키가 생성되어 코어 덤프를 다시 암호화합니다. 암호를 지정하여 임의의 키를 암호화할 수 있습니다.
재부팅 시 호스트는 KEK를 받기 전에는 해당 디스크 그룹을 마운트하지 않습니다. 이 프로세스가 완료되는 데 몇 분 또는 그 이상이 소요될 수 있습니다. vSAN Health Service의 물리적 디스크 > 소프트웨어 상태에서 디스크 그룹의 상태를 모니터링할 수 있습니다.
암호화 키 지속성
vSAN 7.0 Update 3 이상에서는 키 서버가 일시적으로 오프라인 상태이거나 사용할 수 없을 때도 미사용 데이터 암호화는 계속 작동합니다. 키 지속성을 사용하도록 설정하면 ESXi 호스트가 재부팅 후에도 암호화 키를 유지할 수 있습니다.
각 ESXi 호스트는 처음에 암호화 키를 가져와서 해당 키 캐시에 유지합니다. ESXi 호스트에 TPM(신뢰할 수 있는 플랫폼 모듈)이 있으면 재부팅 시 암호화 키가 TPM에 유지됩니다. 호스트는 암호화 키를 요청할 필요가 없습니다. 또한 키가 TPM에 유지되므로 키 서버를 사용할 수 없을 때도 암호화 작업은 계속할 수 있습니다.
다음 명령을 사용하여 클러스터 호스트에서 키 지속성을 사용하도록 설정합니다.
esxcli system settings encryption set --mode=TPM
esxcli system security keypersistence enable
암호화 키 지속성에 대한 자세한 내용은 "vSphere 보안" 의 "키 지속성 개요"를 참조하십시오.
vSphere Native Key Provider 사용
vSAN 7.0 Update 2는 vSphere Native Key Provider를 지원합니다. 작업 환경이 vSphere Native Key Provider에 맞게 설정된 경우 vSAN 클러스터에서 이 키 제공자를 사용하여 가상 시스템을 암호화할 수 있습니다. 자세한 내용은 "vSphere 보안" 에서 "vSphere Native Key Provider 구성 및 관리"를 참조하십시오.
vSphere Native Key Provider를 사용할 경우 외부 KMS(키 관리 서버)가 필요하지 않습니다. vCenter Server는 키 암호화 키를 생성하고 ESXi 호스트에 푸시합니다. 그러면 ESXi 호스트는 데이터 암호화 키를 생성합니다.
vSphere Native Key Provider는 기존 키 서버 인프라와 함께 사용할 수 있습니다.