vSphere 키 제공자의 기능에 대한 개략적인 개요를 검토하면 암호화 전략을 계획하는 데 도움이 됩니다.
일반적으로 키 제공자 일별 작업 간에 기능 또는 제품 지원의 차이는 거의 없습니다. 키 제공자의 모양과 동작은 유사하지만 다음 표에 나와 있는 것과 같이 키 제공자를 선택할 때 고려해야 할 요구 사항과 규정이 있을 수 있습니다.
키 제공자 | 외부 키 서버 필요? | 빠른 설정? | vSphere만 사용? | 암호화 키를 호스트에 영구적으로 저장? | 복제 중 키 재생성? |
---|---|---|---|---|---|
표준 키 제공자 | 예 | 아니요 | 아니요 | 아니요 | 예 |
신뢰할 수 있는 키 제공자 | 예 | 아니요 | 아니요 | 아니요 | 예 |
vSphere Native Key Provider | 아니요 | 예 | 예 | 예 | 예 |
키 제공자 암호화 기능
다음 암호화 기능은 각 키 제공자 유형에서 지원됩니다.
- 동일한 키 제공자를 사용하여 키 재생성 또는 다른 키 제공자에 대해 키 재생성
- 키 순환
- vTPM(신뢰할 수 있는 가상 플랫폼 모듈)
- 디스크 암호화
- vSphere 가상 시스템 암호화
- 다른 키 제공자와 공존
- 다른 키 제공자로 업그레이드
vSphere 기능에 대한 키 제공자 지원
다음은 몇 가지 중요 vSphere 기능에 대한 키 제공자 지원에 대해 설명합니다.
- 암호화된 vSphere vMotion: 모든 키 제공자 유형에서 지원됩니다. 대상 호스트에서 동일한 키 제공자를 사용할 수 있어야 합니다. 암호화된 vSphere vMotion이란?의 내용을 참조하십시오.
- vCenter Server 파일 기반 백업 및 복원: 표준 키 제공자와 vSphere Native Key Provider는 vCenter Server 파일 기반 백업 및 복원을 지원합니다. 대부분의 vSphere 신뢰 기관 구성 정보는 ESXi 호스트에 저장되어 있기 때문에 vCenter Server 파일 기반 백업 메커니즘은 이 정보를 백업하지 않습니다. vSphere 신뢰 기관 배포에 대한 구성 정보가 저장되었는지 확인하려면 vSphere 신뢰 기관 구성 백업의 내용을 참조하십시오.
VMware 제품에 대한 키 제공자 지원
다음 표에서는 몇몇 VMware 제품에 대한 키 제공자 지원을 비교합니다.
키 제공자 | vSAN 미사용 데이터 암호화 | Site Recovery Manager | vSphere Replication |
---|---|---|---|
표준 키 제공자 | 예 | 예 | 예 |
신뢰할 수 있는 키 제공자 | 아니요 | 예 동일한 vSphere 신뢰 기관 서비스 구성을 복구 측에서 사용할 수 있는 경우 어레이 기반 복제가 있는 SRM이 지원됩니다. |
아니요 |
vSphere Native Key Provider | 예 | 예 | 예 |
표준 키 제공자, 신뢰할 수 있는 키 제공자 및 vSphere Native Key Provider는 vSAN을 기반으로 vSphere 가상 시스템 암호화를 지원합니다.
키 제공자에 필요한 하드웨어
다음 표에서는 몇 가지 최소 키 제공자 하드웨어 요구 사항을 비교합니다.
키 제공자 | ESXi 호스트의 TPM |
---|---|
표준 키 제공자 | 필요하지 않음 |
신뢰할 수 있는 키 제공자 | 신뢰할 수 있는 호스트(신뢰할 수 있는 클러스터의 호스트)에 필요합니다.
참고: 현재 신뢰 기관 클러스터의
ESXi 호스트에는 TPM이 필요하지 않습니다. 하지만 모범 사례로서 TPM과 함께 새
ESXi 호스트 설치를 고려하십시오.
|
vSphere Native Key Provider | 필요하지 않음 필요한 경우 vSphere Native Key Provider 가용성을 TPM이 있는 호스트로 제한할 수 있습니다. |
키 제공자 이름 지정
vSphere는 키 제공자 이름을 사용하여 키 식별자를 조회합니다. 두 키 제공자의 이름이 같으면 vSphere는 두 키 제공자가 동일하고 동일한 키에 액세스할 수 있다고 가정합니다. 유형(표준 키 제공자, 신뢰할 수 있는 키 제공자 및 네이티브 키 제공자)에 관계없이 각 논리적 키 제공자는 모든 vCenter Server 시스템에서 고유한 이름이 있어야 합니다.
일부 인스턴스에서는 다음과 같이 여러 vCenter Server 시스템에 동일한 키 제공자를 구성합니다.
- vCenter Server 시스템 간에 암호화된 가상 시스템 마이그레이션
- vCenter Server를 재해 복구 사이트로 설정