8.0 업데이트 3부터 vSphere는 TLS 프로파일을 사용하여 TLS 1.3 및 1.2를 지원합니다. TLS 프로파일은 TLS 매개 변수 관리 작업을 간소화하고 지원 가능성도 향상시킵니다.
vSphere 8.0 업데이트 3은 ESXi 및 vCenter Server 호스트에서 COMPATIBLE이라는 기본 TLS 프로파일을 활성화합니다. COMPATIBLE 프로파일은 TLS 1.3 및 일부 TLS 1.2 연결을 지원합니다.
vSphere Configuration Profiles 또는 esxcli 명령을 사용하여 ESXi 호스트에서 TLS 프로파일을 관리할 수 있습니다. vCenter Server 호스트에서는 API를 사용하여 TLS 프로파일을 관리할 수 있습니다. 예를 들어 vSphere Client에서 개발자 센터를 사용할 수 있습니다. "vSphere Automation SDK 프로그래밍 가이드" 및 "vSphere Automation REST API 프로그래밍 가이드" 를 참조하십시오.
vCenter Server 및 엔보이
vCenter Server는 2개의 역방향 프록시 서비스를 실행합니다.
- VMware 역방향 프록시 서비스,
rhttpproxy - 엔보이
엔보이는 오픈 소스 Edge 및 서비스 프록시입니다. 엔보이는 포트 443을 소유하며, 들어오는 모든 vCenter Server 요청은 엔보이를 통해 라우팅됩니다. rhttpproxy는 엔보이를 위한 구성 관리 서버 역할을 합니다. 그 결과 TLS 구성이 rhttpproxy에 적용되고 여기에서 구성을 엔보이에 전송합니다.
vSphere가 TLS 프로파일을 사용하여 TLS를 구현하는 방법
vSphere 8.0 업데이트 3은 프로토콜 버전, 그룹(곡선이라고도 함) 및 암호를 포함한 매개 변수를 단일 TLS 프로파일로 그룹화하여 TLS 1.3을 구현합니다. 이 TLS 프로파일은 시스템 전체에 적용됩니다. 단일 TLS 프로파일을 사용하면 호스트의 관리 오버헤드가 완화됩니다. 필요한 경우 해당 기능을 계속 사용할 수 있지만 더 이상 개별 TLS 매개 변수를 수동으로 구성할 필요가 없습니다. 또한 TLS 프로파일은 지원 가능성도 크게 향상시킵니다. 매개 변수를 TLS 프로파일로 그룹화하면 선택할 VMware 검증 TLS 솔루션 집합이 간소화됩니다. ESXi에서 TLS 프로파일은 vSphere Configuration Profiles와 통합됩니다.
다음과 같은 ESXi TLS 프로파일이 제공됩니다.
- COMPATIBLE: 기본 프로파일입니다. 이 프로파일의 매개 변수의 정확한 매핑은 릴리스에서 릴리스로 변경될 수 있지만 프로파일은 지원되는 모든 제품 및 버전(현재 N-2 버전)과 호환되도록 보장됩니다. 즉, COMPATIBLE 프로파일을 사용하는 릴리스 N의 ESXi 호스트는 릴리스 N-2의 호스트와 통신할 수 있습니다.
- NIST_2024: NIST 2024 표준을 특별히 지원하는 더 제한적인 프로파일입니다. 이 프로파일에 있는 매개 변수의 정확한 매핑은 전체 릴리스에서 NIST 2024 표준을 충족하도록 보장됩니다. 이 프로파일은 현재 또는 최신 릴리스와만 호환되며 이전 릴리스와는 호환되지 않습니다.
- MANUAL: 이 프로파일을 사용하여 TLS 매개 변수를 수동으로 제공하는 임시 구성을 생성하고 테스트합니다. MANUAL 프로파일이 오류 없이 작동한다는 보장은 없습니다. 전체 소프트웨어 업그레이드를 포함하여 MANUAL 프로파일을 테스트해야 합니다. MANUAL 프로파일을 사용하도록 선택하면 시스템 동작은 먼저 이전에 선택한 프로파일(COMPATIBLE 또는 NIST_2024)로 기본 설정되며 변경할 때까지 그대로 유지됩니다. MANUAL TLS 프로파일을 관리하려면
esxcli명령을 사용해야 합니다. MANUAL TLS 프로파일에서 매개 변수를 변경하는 방법에 대한 자세한 내용은esxcli와 함께 제공된 도움말 텍스트를 참조하십시오.
TLS 프로파일을 원하는 상태로 구성할 때는 ESXi 호스트를 재부팅하거나 ESXi 호스트가 상주하는 vLCM 클러스터에 업데이트를 적용하여 변경 내용을 적용해야 합니다.
다음 표에는 vSphere 8.0 업데이트 3의 ESXi 및 vCenter Server에 대한 TLS 프로파일의 세부 정보가 나와 있습니다. 암호 목록 열에는 TLS 1.2 이하 프로토콜에 대한 TLS 암호가 표시됩니다. 암호 그룹 열에는 TLS 1.3 프로토콜에 대한 암호가 표시됩니다.
| TLS 프로파일 이름 | TLS 프로토콜 버전 | 암호 목록 | 암호 그룹 | 곡선 | VMware에서 지원됩니까? |
|---|---|---|---|---|---|
| COMPATIBLE | TLS 1.3 및 TLS 1.2 | ECDHE+AESGCM:ECDHE+AES | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | 예 |
| NIST_2024 | TLS 1.3 및 TLS 1.2 | ECDHE+AESGCM | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | 예 |
| MANUAL | 임의 | 임의 | 임의 | 임의 | 아니요 |
참고:
- 지원되는 설정(프로토콜, 암호 목록, 암호 그룹 및 곡선)은 지원되는 최대 설정을 나타냅니다.
- NIST_2024 프로파일은 인바운드 연결에만 적용됩니다.
- vSphere 8.0 업데이트 3에서 사용되는 BoringSSL 암호화 모듈이 TLS 1.3 사용량에 대한 FIPS 인증에 아직 도달하지 않았습니다. 따라서 ESXi와 vCenter Server 모두에서 포트 443(역방향 프록시)은 TLS 1.2를 사용하여 통신합니다. COMPATIBLE 및 NIST_2024 TLS 프로파일은 비FIPS TLS 1.3을 사용하지 않습니다.
다음과 같은 vCenter Server TLS 1.3 프로파일이 제공됩니다.
- COMPATIBLE: 기본 프로파일입니다. 이 프로파일의 매개 변수의 정확한 매핑은 릴리스에서 릴리스로 변경될 수 있지만 프로파일은 지원되는 모든 제품 및 버전(현재 N-2 버전)과 호환되도록 보장됩니다.
- NIST_2024: NIST 2024 표준을 특별히 지원하는 더 제한적인 프로파일입니다. 이 프로파일에 있는 매개 변수의 정확한 매핑은 전체 릴리스에서 NIST 2024 표준을 충족하도록 보장됩니다. 이 프로파일은 현재 또는 최신 릴리스와만 호환되며 이전 릴리스와는 호환되지 않습니다.
- COMPATIBLE-NON-FIPS: 엔보이 프록시에서 비FIPS TLS 1.3연결을 허용하는 수정된 프로파일입니다. FIPS가 사용되도록 설정되지 않았습니다.
| TLS 프로파일 이름 | TLS 프로토콜 버전 | 암호 그룹 | 곡선 | FIPS를 사용하도록 설정했습니까? | VMware에서 지원됩니까? |
|---|---|---|---|---|---|
| COMPATIBLE | TLS 1.3 | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | 예 | 예 |
| TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA |
||||
| NIST_2024 | TLS 1.3 | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 | prime256v1:secp384r1:secp521r1 | 예 | 예 |
| TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 |
||||
| COMPATIBLE-NON-FIPS | TLS 1.3 | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 | prime256v1:secp384r1:secp521r1 | 아니요 | 예 |
| TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA |
ESXi 및 vCenter Server의 TLS 및 인바운드 및 아웃바운드 연결
ESXi 8.0 업데이트 3은 인바운드(서버) 및 아웃바운드(클라이언트) 연결 모두에서 TLS 1.3을 지원합니다. ESXi 인바운드(서버) 연결이 가장 중요한 문제이며 여기에 더 제한적인 NIST_2024 프로파일이 적용됩니다.
ESXi의 경우 인바운드(서버) 연결에서 COMPATIBLE, NIST_2024 및 MANUAL 설정을 사용할 수 있습니다. 아웃바운드(클라이언트) 연결에서 COMPATIBLE 및 MANUAL 설정을 사용할 수 있습니다.
vCenter Server TLS 프로파일은 인바운드 연결과 아웃바운드 연결 모두에 해당 설정을 적용합니다.
일부 vSphere 서비스는TLS 연결을 수락하는 포트를 노출하지만 대부분의 서비스는 역방향 프록시를 사용합니다. 모든 인바운드 연결은 기본적으로 TLS 1.2 및 TLS 1.3을 수락합니다. 현재 포트 443(역방향 프록시)은 TLS 1.3을 사용하지 않도록 설정했으며 TLS 1.2를 사용하여 통신합니다. 아웃바운드 연결은 TLS 1.2 및 TLS 1.3을 지원합니다. 자세한 내용은 ESXi 및 FIPS의 포트 443의 TLS 1.3 항목을 참조하십시오.
TLS 및 수명 주기 관리
ESXi 호스트 또는 vCenter Server 호스트를 8.0 업데이트 3으로 업그레이드하거나 마이그레이션하면 기본적으로 COMPATIBLE TLS 프로파일이 사용되도록 설정됩니다. vSphere 8.0 업데이트 3은 즉시 사용 가능한 최소한의 상호 운용성을 위해 TLS 1.3 및 TLS 1.2를 지원합니다. 향후에 최신 버전의 ESXi 또는 vCenter Server로 업그레이드하면 해당 프로파일이 회수되지 않는 한 현재 TLS 프로파일이 계속 사용됩니다.
새 버전으로 업그레이드하는 경우 권장되는 모범 사례로 먼저 TLS 프로파일을 COMPATIBLE로 설정합니다.
vSphere 8.0 업데이트 3으로 업그레이드하기 전에 로컬 서비스 수준을 편집하는 경우 업그레이드 후 호스트에 COMPATIBLE 프로파일이 할당되며 이러한 변경 내용은 반영되지 않습니다. 호스트에 이러한 변경 내용이 반영되도록 하려면 MANUAL 프로파일 사용으로 전환합니다. vSphere Client를 사용하여 ESXi 호스트의 TLS 프로파일 변경 또는 CLI를 사용하여 ESXi 호스트의 TLS 프로파일 변경의 내용을 참조하십시오.
ESXi 및 FIPS의 포트 443의 TLS 1.3
현재 vSphere는 포트 443에서 TLS 1.3을 사용하지 않도록 설정합니다. vSphere 8.0 업데이트 3에서 사용되는 BoringSSL 암호화 모듈 버전은 TLS 1.3에 대해 FIPS 인증을 받지 않았습니다. COMPATIBLE 또는 NIST_2024 TLS 프로파일을 사용하는 경우 443을 제외한 모든 포트는 TLS 1.3과 통신합니다. 현재로서는 이 문제로 인해 포트 443은 TLS 1.2를 사용합니다.
포트 443에서 비FIPS TLS 1.3을 사용하도록 설정하려면 https://kb.vmware.com/s/article/92473에서 VMware 기술 자료 문서를 참조하십시오.
