vSphere Virtual Volumes 스토리지 제공자(VASA 제공자라고도 함) 버전 5가 vSphere 8.0 업데이트 1 이상 릴리스에서 제공하는 보안 향상에 대해 알아봅니다. vSphere 8.0 및 이전 릴리스에서 보안 모델에 대해 알아볼 수도 있습니다.
vSphere 8.0 업데이트 1 이상을 통한 VASA 5 지원 및 보안
VASA 5 이상 버전의 모든 스토리지 제공자는 더 엄격한 인증 메커니즘을 사용하므로
vCenter Server 컨텍스트에서
ESXi를 인증해야 합니다. VASA 5는 보안을 향상하고 다음과 같은 주요 변경 사항을 포함하는 크게 수정된 관리 모델을 제공합니다.
- VASA 5 이상을 사용하여 어레이에 등록되는 각 vCenter Server에 대해 VASA 제공자는 전용 웹 서버 인스턴스 또는 가상 웹 서버 인스턴스이거나 완전히 별도의 인스턴스일 수 있는 가상 호스트를 생성합니다. vCenter Server의 VASA 클라이언트는 인증서 기반 인증 및 권한 부여를 사용하여 어레이에서 생성된 전용 가상 호스트에 액세스합니다. vCenter Server 및 ESXi 인증서를 포함한 모든 VASA 클라이언트 인증서가 가상 호스트에 등록됩니다. 그러면 시스템이 인증될 때 서로 다른 vCenter Server 시스템 간에 강력한 격리가 발생합니다. 또한 VASA 제공자는 서로 다른 vCenter Server 시스템에 대한 별도의 리소스 액세스 및 향상된 격리를 제공할 수 있습니다.
- VASA 5에서는 VASA 클라이언트가 VASA 통신에 전용 인증서를 사용합니다. 각 vCenter Server는 vCenter Server에 해당하는 전용 가상 호스트를 통해 관리되는 VASA 제공자에 대한 인증서를 프로비저닝합니다. VASA 5를 지원하는 모든 ESXi 호스트는 관리 vCenter Server에서 생성된 전용 가상 호스트를 사용합니다.
- vCenter Server는 각각의 새로운 ESXi 호스트 8.0 업데이트 1 이상에 대해 VASA 클라이언트 인증서를 프로비저닝하고 인증서의 공용 키를 VASA 제공자와 동기화합니다. VASA 제공자는 이제 클라이언트 인증서에 대해 CA 발급자를 인증한 이전 보안 모델과 달리 공용 키를 사용하여 개별 클라이언트를 식별하고 인증합니다.
- VMware 보안 요구 사항을 준수하기 위해 vSphere는 TLS 통신에 대해 자체 서명된 인증서를 신뢰하지 않습니다. VASA 제공자가 등록되고 이전 버전과의 호환성을 위해 짧은 기간 동안에만 유일하게 예외가 적용됩니다. 어레이 관리자는 이전 버전과의 호환성 및 부트스트랩을 위해 VASA 제공자에 대한 사용자 지정 CA 인증서를 사용하여 어레이에서 자체 서명된 인증서를 재정의할 수 있습니다.
- VASA 제공자에 대한 액세스가 손실되지 않도록 하려면 다음 지침을 따르십시오. 자세한 내용은 vSphere Virtual Volumes에 대한 스토리지 제공자 관리 항목을 참조하십시오.
- 업그레이드할 VASA 제공자를 등록 취소하고 다시 등록하지 마십시오. 대신 VASA 제공자에 대해 적절한 업그레이드 메커니즘을 사용합니다. vCenter Server가 새로 사용 가능한 VASA 버전에 대해 알려 주면 적절한 시간 내에 이 버전을 수락해야 합니다. vSphere Client에서 업그레이드하려면 스토리지 제공자 업그레이드 옵션을 사용합니다.
- VASA 제공자 인증서를 정기적으로 새로 고칩니다. vCenter Server에서 VASA 제공자에 할당된 인증서가 곧 만료됨을 경고한 후 적절한 시간 내에 인증서를 새로 고쳐야 합니다. vSphere Client 인증서 새로 고침 옵션을 사용합니다.
- VMCA 루트 인증서 또는 vCenter Server 클라이언트 인증서를 갱신하는 경우 SMS와 VASA 제공자의 연결이 끊어질 수 있습니다. 제공자가 오프라인 상태인 경우 vCenter Server 다시 인증 옵션을 사용합니다.
- 호스트의 인증이 손실되면 호스트 VASA 클라이언트 다시 인증 옵션을 사용하여 인증 실패에 업데이트를 적용할 수 있습니다.
vSphere 8.0 및 이전 릴리스를 사용하는 보안 인증서
vSphere에는 VMCA(VMware Certificate Authority)가 포함되어 있습니다. 기본적으로 VMCA는 vSphere 환경에서 사용되는 모든 내부 인증서를 생성합니다. VMCA는 새로 추가된 ESXi 호스트와 Virtual Volumes 스토리지 시스템을 관리하거나 나타내는 스토리지 VASA 제공자에 대한 인증서를 생성합니다.
VASA 제공자와의 통신은 SSL 인증서를 통해 보호됩니다. 이러한 인증서는 VASA 제공자 또는 VMCA가 제공한 것일 수 있습니다.
- 인증서는 장기 사용을 위해 VASA 제공자가 직접 제공할 수 있습니다. 인증서는 자체 생성 및 자체 서명되거나 외부 인증 기관에서 파생될 수 있습니다.
- 인증서는 VASA 제공자가 사용할 수 있도록 VMCA에서 생성할 수 있습니다.
호스트 또는 VASA 제공자가 등록되면 VMCA에서는 vSphere 관리자의 관여 없이 다음과 같은 단계를 자동으로 수행합니다.
- VASA 제공자를 vCenter Server SMS(스토리지 관리 서비스)에 처음 추가하면 자체 서명된 인증서가 생성됩니다.
- 인증서를 확인한 후 SMS에서는 VASA 제공자에게 CSR(인증서 서명 요청)을 요청합니다.
- SMS는 CSR을 수신 및 확인한 후 VASA 제공자를 대신하여 이를 VMCA에 제공하고 CA 서명된 인증서를 요청합니다.
VMCA는 독립형 CA로 작동하도록 구성하거나, 기업 CA의 하위 인증 기관으로 작동하도록 구성할 수 있습니다. VMCA를 하위 CA로 설정하면 VMCA가 전체 체인으로 CSR에 서명합니다.
- 루트 인증서가 있는 서명된 인증서는 VASA 제공자에게 전달됩니다. VASA 제공자는 vCenter Server 및 ESXi 호스트의 SMS에서 비롯되는 모든 향후 보안 연결을 인증할 수 있습니다.