보안 키 관리의 작동 방식
드라이브 보안 기능을 구현하는 경우 FIPS 또는 FDE(Secure-Enabled Drive)에 데이터 액세스를 위한 보안 키가 필요합니다. 보안 키는 이러한 유형의 드라이브와 스토리지 배열의 컨트롤러 사이에서 공유되는 문자의 문자열입니다.
드라이브 전원을 껐다가 켤 때마다 보안 활성 드라이브는 컨트롤러가 보안 키를 적용할 때까지 보안 잠금 상태로 변경됩니다. 스토리지 어레이에서 보안 지원 드라이브를 제거하면 드라이브의 데이터가 잠깁니다. 드라이브가 다른 스토리지 배열에 다시 설치되면 데이터를 다시 액세스할 수 있도록 하기 전에 보안 키를 찾습니다. 데이터의 잠금을 해제하려면 원래 보안 키를 적용해야 합니다.
다음 방법 중 하나를 사용하여 보안 키를 만들고 관리할 수 있습니다.
-
컨트롤러의 영구 메모리에서 내부 키 관리.
-
외부 키 관리 서버의 외부 키 관리.
내부 키 관리
내부 키는 컨트롤러의 영구 메모리에 유지됩니다. 내부 키 관리를 구현하려면 다음 단계를 수행하십시오.
-
스토리지 배열에 보안 가능 드라이브를 설치합니다. 이러한 드라이브는 FDE(전체 디스크 암호화) 드라이브 또는 FIPS(Federal Information Processing Standard) 드라이브일 수 있습니다.
-
드라이브 보안 기능이 활성화되어 있는지 확인합니다. 필요한 경우 스토리지 공급업체에 드라이브 보안 기능 활성화에 대한 지침을 문의하십시오.
-
식별자 및 암호 구문을 정의하는 내부 보안 키를 만듭니다. 식별자는 보안 키와 연결된 문자열이며, 컨트롤러와 키에 연결된 모든 드라이브에 저장됩니다. 암호 구문은 백업을 위해 보안 키를 암호화하는 데 사용됩니다. 내부 키를 만들려면 설정 [시스템 > 보안 키 관리 > 내부 키 만들기] 메뉴로 이동합니다.
보안 키는 컨트롤러에 액세스할 수 없는 위치에 저장됩니다. 그런 다음 보안이 설정된 볼륨 그룹 또는 풀을 생성하거나 기존 볼륨 그룹 및 풀에 대한 보안을 설정할 수 있습니다.
외부 키 관리
외부 키는 KMIP(Key Management Interoperability Protocol)를 사용하여 별도의 키 관리 서버에 유지됩니다. 외부 키 관리를 구현하려면 다음 단계를 수행하십시오.
-
스토리지 배열에 보안 가능 드라이브를 설치합니다. 이러한 드라이브는 FDE(전체 디스크 암호화) 드라이브 또는 FIPS(Federal Information Processing Standard) 드라이브일 수 있습니다.
-
드라이브 보안 기능이 활성화되어 있는지 확인합니다. 필요한 경우 스토리지 공급업체에 드라이브 보안 기능 활성화에 대한 지침을 문의하십시오.
-
스토리지 어레이와 키 관리 서버 간 인증을 위해 CSR(Client Certificate Signing Request)을 완료하고 다운로드합니다. 설정 [인증서 > 키 관리 > CSR 완료] 메뉴로 이동합니다.
-
다운로드한 CSR 파일을 사용하여 키 관리 서버에서 클라이언트 인증서를 생성하고 다운로드합니다.
-
클라이언트 인증서와 키 관리 서버에 대한 인증서 사본을 로컬 호스트에서 사용할 수 있는지 확인합니다.
-
키 관리 서버의 IP 주소와 KMIP 통신에 사용되는 포트 번호를 정의하는 데 사용되는 외부 키를 생성합니다. 이 프로세스 중에 인증서 파일도 로드합니다. 외부 키를 만들려면 설정 [시스템 > 보안 키 관리 > 외부 키 만들기] 메뉴로 이동합니다.
입력한 자격 증명을 사용하여 시스템이 키 관리 서버에 연결됩니다. 그런 다음 보안이 설정된 볼륨 그룹 또는 풀을 생성하거나 기존 볼륨 그룹 및 풀에 대한 보안을 설정할 수 있습니다.