릴리스 정보
보안 키를 생성하기 전에 알아야 할 사항은 무엇입니까?
변경 제안
PDF
보안 키는 스토리지 시스템 내의 컨트롤러 및 보안 지원 드라이브에서 공유됩니다. 스토리지 배열에서 보안 지원 드라이브를 제거하면 보안 키가 무단 액세스로부터 데이터를 보호합니다.
다음 방법 중 하나를 사용하여 보안 키를 만들고 관리할 수 있습니다.
-
컨트롤러의 영구 메모리에서 내부 키 관리.
-
외부 키 관리 서버의 외부 키 관리.
내부 키 관리
내부 키는 컨트롤러의 영구 메모리에서 액세스할 수 없는 위치에 유지 및 "숨김"됩니다. 내부 보안 키를 생성하기 전에 다음을 수행해야 합니다.
-
스토리지 배열에 보안 가능 드라이브를 설치합니다. 이러한 드라이브는 FDE(전체 디스크 암호화) 드라이브 또는 FIPS(Federal Information Processing Standard) 드라이브일 수 있습니다.
-
드라이브 보안 기능이 활성화되어 있는지 확인합니다. 필요한 경우 스토리지 공급업체에 드라이브 보안 기능 활성화에 대한 지침을 문의하십시오.
그런 다음 식별자 및 암호 구문을 정의하는 내부 보안 키를 만들 수 있습니다. 식별자는 보안 키와 연결된 문자열이며, 컨트롤러와 키에 연결된 모든 드라이브에 저장됩니다. 암호 구문은 백업을 위해 보안 키를 암호화하는 데 사용됩니다. 작업을 마치면 보안 키가 컨트롤러에 액세스할 수 없는 위치에 저장됩니다. 그런 다음 보안이 설정된 볼륨 그룹 또는 풀을 생성하거나 기존 볼륨 그룹 및 풀에 대한 보안을 설정할 수 있습니다.
외부 키 관리
외부 키는 KMIP(Key Management Interoperability Protocol)를 사용하여 별도의 키 관리 서버에 유지됩니다. 외부 보안 키를 만들기 전에 다음을 수행해야 합니다.
-
스토리지 배열에 보안 가능 드라이브를 설치합니다. 이러한 드라이브는 FDE(전체 디스크 암호화) 드라이브 또는 FIPS(Federal Information Processing Standard) 드라이브일 수 있습니다.
-
드라이브 보안 기능이 활성화되어 있는지 확인합니다. 필요한 경우 스토리지 공급업체에 드라이브 보안 기능 활성화에 대한 지침을 문의하십시오
-
서명된 클라이언트 인증서 파일을 가져옵니다. 클라이언트 인증서가 스토리지 어레이 컨트롤러의 유효성을 검사하므로 키 관리 서버가 KMIP 요청을 신뢰할 수 있습니다.
-
먼저 CSR(Client Certificate Signing Request)을 완료하고 다운로드합니다. 설정 [인증서 > 키 관리 > CSR 완료] 메뉴로 이동합니다.
-
그런 다음 키 관리 서버에서 신뢰할 수 있는 CA로부터 서명된 클라이언트 인증서를 요청합니다. (다운로드한 CSR 파일을 사용하여 키 관리 서버에서 클라이언트 인증서를 생성하고 다운로드할 수도 있습니다.)
-
클라이언트 인증서 파일이 있는 경우 해당 파일을 System Manager에 액세스할 호스트에 복사합니다.
-
-
키 관리 서버에서 인증서 파일을 가져온 다음 System Manager에 액세스하는 호스트에 해당 파일을 복사합니다. 키 관리 서버 인증서는 키 관리 서버의 유효성을 검사하므로 스토리지 배열이 해당 IP 주소를 신뢰할 수 있습니다. 키 관리 서버에 루트, 중간 또는 서버 인증서를 사용할 수 있습니다.
그런 다음 외부 키를 생성하여 키 관리 서버의 IP 주소와 KMIP 통신에 사용되는 포트 번호를 정의할 수 있습니다. 이 프로세스 중에 인증서 파일도 로드합니다. 작업을 마치면 입력한 자격 증명을 사용하여 시스템이 키 관리 서버에 연결됩니다. 그런 다음 보안이 설정된 볼륨 그룹 또는 풀을 생성하거나 기존 볼륨 그룹 및 풀에 대한 보안을 설정할 수 있습니다.