vSphere 가상 시스템 암호화 구성 요소

사용하는 키 제공자에 따라 외부 키 서버, vCenter Server 시스템 및 ESXi 호스트가 잠재적으로 암호화 솔루션에 영향을 미칩니다.

다음 구성 요소는 vSphere 가상 시스템 암호화를 구성합니다.

KMS라고도 하는 외부 키 서버(vSphere Native Key Provider에는 필요하지 않음)
vCenter Server
ESXi 호스트

vSphere 가상 시스템 암호화에서 키 서버의 역할

키 서버는 키 제공자와 연결된 KMIP(Key Management Interoperability Protocol) 관리 서버입니다. 표준 키 제공자 및 신뢰할 수 있는 키 제공자에는 키 서버가 필요합니다. vSphere Native Key Provider에는 키 서버가 필요하지 않습니다. 다음 표에서는 키 제공자 및 키 서버 상호 작용의 차이점에 대해 설명합니다.

표 1. 키 제공자 및 키 서버 상호 작용
키 제공자	키 서버와의 상호 작용
표준 키 제공자	표준 키 제공자는 vCenter Server를 사용하여 키 서버에서 키를 요청합니다. 키 서버가 키를 생성 및 저장하고 ESXi 호스트에 배포하기 위해 vCenter Server에 키를 전달합니다.
신뢰할 수 있는 키 제공자	신뢰할 수 있는 키 제공자는 신뢰할 수 있는 ESXi 호스트가 키를 직접 가져오도록 하는 키 제공자 서비스를 사용합니다. vSphere 신뢰 기관 키 제공자 서비스란?의 내용을 참조하십시오.
vSphere Native Key Provider	vSphere Native Key Provider에는 키 서버가 필요하지 않습니다. vCenter Server에서 기본 키를 생성하고 이를 ESXi 호스트로 푸시합니다. 그러면 ESXi 호스트가 데이터 암호화 키를 생성합니다(vCenter Server에 연결되어 있지 않은 경우에도). vSphere Native Key Provider 개요의 내용을 참조하십시오.

vSphere Client 또는 vSphere API를 사용하여 키 제공자 인스턴스를 vCenter Server 시스템에 추가할 수 있습니다. 여러 키 제공자 인스턴스를 사용하는 경우 모두 동일한 벤더의 인스턴스여야 하며 모든 인스턴스는 키를 복제해야 합니다.

다양한 환경에서 다양한 키 서버 벤더를 사용하는 환경인 경우 각 키 서버에 대해 키 제공자를 추가하고 기본 키 제공자를 지정할 수 있습니다. 첫 번째로 추가한 키 제공자는 기본 키 제공자가 됩니다. 기본값은 나중에 명시적으로 지정할 수 있습니다.

KMIP 클라이언트인 vCenter Server는 선택한 키 서버를 쉽게 사용할 수 있도록 KMIP(Key Management Interoperability Protocol)를 사용합니다.

vSphere 가상 시스템 암호화에서 vCenter Server의 역할

다음 표에서는 암호화 프로세스에서 vCenter Server의 역할에 대해 설명합니다.

표 2. 키 제공자 및 vCenter Server
키 제공자	vCenter Server의 역할	권한 확인 방법
표준 키 제공자	vCenter Server에만 키 서버에 로그인하기 위한 자격 증명이 있습니다. ESXi 호스트에는 이러한 자격 증명이 없습니다. vCenter Server는 키 서버에서 키를 가져와 ESXi 호스트로 푸시합니다. vCenter Server는 키 서버 키를 저장하지 않지만 키 ID 목록은 보관합니다.	vCenter Server는 암호화 작업을 수행하는 사용자의 권한을 확인합니다.
신뢰할 수 있는 키 제공자	vSphere 신뢰 기관는 vCenter Server가 키 서버에서 키를 요청하지 않도록 하고, 워크로드 클러스터의 증명 상태에 따라 암호화 키에 액세스할 수 있도록 합니다. 신뢰할 수 있는 클러스터 및 신뢰 기관 클러스터에 대해 별도의 vCenter Server 시스템을 사용해야 합니다.	vCenter Server는 암호화 작업을 수행하는 사용자의 권한을 확인합니다. 신뢰할 수 있는 관리자 SSO 그룹의 멤버인 사용자만 관리 작업을 수행할 수 있습니다.
vSphere Native Key Provider	vCenter Server에서 키를 생성합니다.	vCenter Server는 암호화 작업을 수행하는 사용자의 권한을 확인합니다.

vSphere Client를 사용하여 암호화 작업 권한을 할당하거나 사용자 그룹에 암호화 관리자 아님 사용자 지정 역할을 할당할 수 있습니다. 가상 시스템 암호화 작업의 사전 요구 사항 및 필요한 권한의 내용을 참조하십시오.

vCenter Server는 vSphere Client 이벤트 콘솔에서 보고 내보낼 수 있는 이벤트 목록에 암호화 이벤트를 추가합니다. 각 이벤트에는 사용자, 시간, 키 ID와 암호화 작업이 포함됩니다.

키 서버의 키는 KEK(키 암호화 키)로 사용됩니다.

vSphere 가상 시스템 암호화에서 ESXi 호스트의 역할

ESXi 호스트는 암호화 워크플로의 여러 측면을 담당합니다.

표 3. 키 제공자 및 ESXi 호스트
키 제공자	ESXi 호스트 측면
표준 키 제공자	vCenter Server는 ESXi 호스트에 키가 필요할 때 키를 푸시합니다. 호스트가 암호화 모드를 사용하도록 설정되어 있어야 합니다. 암호화된 가상 시스템의 게스트 데이터가 디스크에 저장될 때 암호화되는지 확인합니다. 암호화된 가상 시스템의 게스트 데이터가 암호화 없이 네트워크를 통해 전송되지 않는지 확인합니다.
신뢰할 수 있는 키 제공자	ESXi 호스트는 신뢰할 수 있는 호스트인지 아니면 신뢰 기관 호스트인지에 따라 vSphere 신뢰 기관 서비스를 실행합니다. 신뢰할 수 있는 ESXi 호스트는 신뢰 기관 호스트에서 게시한 키 제공자로 암호화할 수 있는 워크로드 가상 시스템을 실행합니다. vSphere 신뢰 기관 신뢰할 수 있는 인프라의 내용을 참조하십시오.
vSphere Native Key Provider	ESXi 호스트는 vSphere Native Key Provider에서 키를 직접 가져옵니다.

ESXi 호스트가 생성하는 키는 이 문서에서 내부 키라고 합니다. 이러한 키는 일반적으로 DEK(데이터 암호화 키)로 작동합니다.