vSphere 키 제공자의 기능에 대한 개략적인 개요를 검토하면 암호화 전략을 계획하는 데 도움이 됩니다.

일반적으로 키 제공자 일별 작업 간에 기능 또는 제품 지원의 차이는 거의 없습니다. 키 제공자의 모양과 동작은 유사하지만 다음 표에 나와 있는 것과 같이 키 제공자를 선택할 때 고려해야 할 요구 사항과 규정이 있을 수 있습니다.

표 1. 키 제공자 고려 사항
키 제공자 외부 키 서버 필요? 빠른 설정? vSphere만 사용? 암호화 키를 호스트에 영구적으로 저장? 복제 중 키 재생성?
표준 키 제공자 아니요 아니요 아니요
신뢰할 수 있는 키 제공자 아니요 아니요 아니요
vSphere Native Key Provider 아니요
참고: 호스트 시작 시 vSphere Native Key Provider는 항상 클러스터의 ESXi 호스트에 암호화 키를 씁니다. 클러스터의 물리적 보안에 대해 우려하는 경우 표준 키 제공자 또는 신뢰할 수 있는 키 제공자를 사용하는 것이 좋습니다. 둘 다 암호화된 가상 시스템이 작동하려면 키 서버를 사용할 수 있어야 합니다.

키 제공자 암호화 기능

다음 암호화 기능은 각 키 제공자 유형에서 지원됩니다.

  • 동일한 키 제공자를 사용하여 키 재생성 또는 다른 키 제공자에 대해 키 재생성
  • 키 순환
  • vTPM(신뢰할 수 있는 가상 플랫폼 모듈)
  • 디스크 암호화
  • vSphere 가상 시스템 암호화
  • 다른 키 제공자와 공존
  • 다른 키 제공자로 업그레이드

vSphere 기능에 대한 키 제공자 지원

다음은 몇 가지 중요 vSphere 기능에 대한 키 제공자 지원에 대해 설명합니다.

  • 암호화된 vSphere vMotion: 모든 키 제공자 유형에서 지원됩니다. 대상 호스트에서 동일한 키 제공자를 사용할 수 있어야 합니다. 암호화된 vSphere vMotion이란?의 내용을 참조하십시오.
  • vCenter Server 파일 기반 백업 및 복원: 표준 키 제공자와 vSphere Native Key Provider는 vCenter Server 파일 기반 백업 및 복원을 지원합니다. 대부분의 vSphere 신뢰 기관 구성 정보는 ESXi 호스트에 저장되어 있기 때문에 vCenter Server 파일 기반 백업 메커니즘은 이 정보를 백업하지 않습니다. vSphere 신뢰 기관 배포에 대한 구성 정보가 저장되었는지 확인하려면 vSphere 신뢰 기관 구성 백업의 내용을 참조하십시오.

VMware 제품에 대한 키 제공자 지원

다음 표에서는 몇몇 VMware 제품에 대한 키 제공자 지원을 비교합니다.

표 2. VMware 제품에 대한 지원 비교
키 제공자 vSAN 미사용 데이터 암호화 Site Recovery Manager vSphere Replication
표준 키 제공자
신뢰할 수 있는 키 제공자 아니요

동일한 vSphere 신뢰 기관 서비스 구성을 복구 측에서 사용할 수 있는 경우 어레이 기반 복제가 있는 SRM이 지원됩니다.

아니요
vSphere Native Key Provider
참고:

표준 키 제공자, 신뢰할 수 있는 키 제공자 및 vSphere Native Key Provider는 vSAN을 기반으로 vSphere 가상 시스템 암호화를 지원합니다.

키 제공자에 필요한 하드웨어

다음 표에서는 몇 가지 최소 키 제공자 하드웨어 요구 사항을 비교합니다.

표 3. 키 제공자에 필요한 하드웨어 비교
키 제공자 ESXi 호스트의 TPM
표준 키 제공자 필요하지 않음
신뢰할 수 있는 키 제공자 신뢰할 수 있는 호스트(신뢰할 수 있는 클러스터의 호스트)에 필요합니다.

참고: 현재 신뢰 기관 클러스터의 ESXi 호스트에는 TPM이 필요하지 않습니다. 하지만 모범 사례로서 TPM과 함께 새 ESXi 호스트 설치를 고려하십시오.
vSphere Native Key Provider 필요하지 않음

필요한 경우 vSphere Native Key Provider 가용성을 TPM이 있는 호스트로 제한할 수 있습니다.

키 제공자 이름 지정

vSphere는 키 제공자 이름을 사용하여 키 식별자를 조회합니다. 두 키 제공자의 이름이 같으면 vSphere는 두 키 제공자가 동일하고 동일한 키에 액세스할 수 있다고 가정합니다. 유형(표준 키 제공자, 신뢰할 수 있는 키 제공자 및 네이티브 키 제공자)에 관계없이 각 논리적 키 제공자는 모든 vCenter Server 시스템에서 고유한 이름이 있어야 합니다.

일부 인스턴스에서는 다음과 같이 여러 vCenter Server 시스템에 동일한 키 제공자를 구성합니다.

  • vCenter Server 시스템 간에 암호화된 가상 시스템 마이그레이션
  • vCenter Server를 재해 복구 사이트로 설정