이러한 보안 제어는 vSAN 모범 사례의 기준선을 제공합니다. 제어 구현의 이점과 단점을 설명하는 방식으로 구성됩니다. 이러한 제어를 변경하려면 "VMware vSAN 관리" 설명서를 참조하십시오.
저장된 데이터 보호
vSAN은 저장된 데이터를 보호해야 합니다.
vSAN 저장된 데이터 암호화는 스토리지 디바이스에 있는 중요 데이터의 기밀성을 유지하고 물리적 도난이나 분실 시 무단 액세스 또는 노출 위험을 줄이는 데 도움이 됩니다.
클러스터 운영 중에 이 구성 매개 변수를 변경할 수 있습니다. 저장된 데이터 보호를 사용하도록 설정하면 디스크 그룹(vSAN OSA의 경우)을 다시 포맷하고 저장된 개체(vSAN ESA의 경우)를 다시 씁니다. 이 작업은 상당한 시간이 소요될 수 있지만 백그라운드에서 수행됩니다. 워크로드의 전원을 끌 필요는 없습니다. vSAN ESA 8.0 업데이트 2에는 기존 vSAN ESA 데이터스토어에서 저장된 데이터 보호를 사용하도록 설정하는 기능이 도입되었습니다. vSAN ESA 8.0 업데이트 3에는 다시 사용하지 않도록 설정하는 기능이 도입되었습니다. ESA를 사용하는 경우 최신 버전의 vSAN을 실행합니다.
네트워크를 통과하는 동안 데이터 보호
vSAN은 스토리지 관련 네트워크 통신을 포함하여 저장된 데이터를 보호해야 합니다.
vSAN 전송 중 데이터 암호화는 네트워크를 통과하는 동안 중요 데이터의 기밀을 유지하여 무단 액세스 또는 가로채기의 위험을 줄이는 데 도움이 됩니다.
클러스터 운영 중에 이 구성 매개 변수를 수정할 수 있습니다.
NFS 파일 공유에 대한 액세스 제한
vSAN 파일 서비스의 NFS 파일 공유는 액세스를 제한하도록 구성되어야 합니다.
NFS 파일 공유를 구성할 때 [네트 액세스 사용자 지정] 옵션을 선택하고 제한적인 사용 권한 집합을 구성하십시오.
SMB 인증 암호화
vSAN 파일 서비스의 SMB 파일 공유는 암호화된 SMB 인증 통신만 허용해야 합니다.
SMB 파일 공유를 구성할 때 [프로토콜 암호화] 옵션을 활성화하십시오.
양방향/상호 CHAP 인증 사용
vSAN iSCSI 대상은 양방향/상호 CHAP 인증을 사용하도록 설정해야 합니다.
상호 CHAP는 이니시에이터(클라이언트)와 대상(서버)이 서로 ID를 확인하도록 요구하여 둘 간에 전송된 데이터를 무단 엔티티가 가로채거나 변경하지 않도록 함으로써 추가 보호 계층을 제공합니다.
내부 유지 보수 작업을 완료하기 위한 공간 예약
vSAN은 내부 유지 보수 작업을 완료하려면 공간을 예약해야 합니다.
vSAN 작업 예약 용량 설정은 vSAN가 항상 vSAN 데이터스토어의 가용성과 신뢰성을 유지하기 위해 충분한 여유 공간을 확보하고 정책 변경과 같은 작업 중 용량 부족으로 인한 잠재적인 데이터 손실이나 서비스 중단을 방지하는 데 도움이 됩니다.
클러스터 운영 중에 이 구성 매개 변수를 변경할 수 있습니다.