본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

전송 중인 데이터 암호화

11/14/2024 기여자

전송 중인 데이터는 NAS 프로토콜 계층에서 암호화할 수 있으며, Google Cloud 네트워크 자체는 다음 섹션에 설명된 대로 암호화됩니다.

Google Cloud 네트워크

Google Cloud는 Google 설명서에 설명된 대로 네트워크 수준에서 트래픽을 암호화합니다. "전송 중인 암호화" "Google Cloud NetApp Volumes 아키텍처" 섹션에서 언급한 것처럼 Google Cloud NetApp Volumes는 NetApp가 제어하는 PSA 프로듀서 프로젝트에서 제공됩니다.

NetApp 볼륨-SW의 경우 프로듀서 테넌트는 Google VM을 실행하여 서비스를 제공합니다. 사용자 VM과 Google Cloud NetApp 볼륨 VM 간의 트래픽은 Google에 의해 자동으로 암호화됩니다.

NetApp 볼륨 성능의 데이터 경로가 네트워크 계층에서 완전히 암호화되지는 않지만 "캡슐화", NetApp와 Google은 Google Cloud NetApp Volumes NetApp 볼륨 성능 서비스 유형과 Google Cloud 간에 전송되는 데이터를 보호하기 위해 조합(데이터 암호화) 및 물리적으로 제한된 네트워크를 사용합니다 "IEEE 802.1AE 암호화(MACSec)".

NAS 프로토콜

NFS 및 SMB NAS 프로토콜은 프로토콜 계층에서 선택적 전송 암호화를 제공합니다.

SMB 암호화

"SMB 암호화" SMB 데이터의 엔드 투 엔드 암호화를 제공하고 신뢰할 수 없는 네트워크에서 데이터를 도청하지 못하도록 보호합니다. 클라이언트/서버 데이터 연결(SMB3.x 가능 클라이언트에만 사용 가능)과 서버/도메인 컨트롤러 인증에 대해 암호화를 설정할 수 있습니다.

SMB 암호화가 활성화된 경우 암호화를 지원하지 않는 클라이언트는 공유에 액세스할 수 없습니다.

Google Cloud NetApp 볼륨은 SMB 암호화를 위한 RC4-HMAC, AES-128-CTS-HMAC-SHA1 및 AES-256-CTS-HMAC-SHA1 보안 암호화를 지원합니다. SMB는 서버에서 지원되는 가장 높은 암호화 유형으로 협상합니다.

NFSv4.1 Kerberos

NFSv4.1의 경우 NetApp 볼륨 - 성능이 에 설명된 대로 Kerberos 인증을 "RFC7530" 제공합니다. 볼륨별로 Kerberos를 사용하도록 설정할 수 있습니다.

Kerberos에서 현재 가장 강력한 암호화 유형은 AES-256-CTS-HMAC-SHA1입니다. Google Cloud NetApp 볼륨은 NFS용 AES-256-CTS-HMAC-SHA1, AES-128-CTS-HMAC-SHA1, DES3 및 DES를 지원합니다. 또한 CIFS/SMB 트래픽에 대해 ARCFOUR-HMAC(RC4)를 지원하지만 NFS에는 지원하지 않습니다.

Kerberos는 Kerberos 보안의 강화 방법을 선택할 수 있는 NFS 마운트에 대해 세 가지 서로 다른 보안 수준을 제공합니다.

RedHat에 따름 "일반 마운트 옵션" 설명서:

sec=krb5 uses Kerberos V5 instead of local UNIX UIDs and GIDs to authenticate users.
sec=krb5i uses Kerberos V5 for user authentication and performs integrity checking of NFS operations using secure checksums to prevent data tampering.
sec=krb5p uses Kerberos V5 for user authentication, integrity checking, and encrypts NFS traffic to prevent traffic sniffing. This is the most secure setting, but it also involves the most performance overhead.

일반적으로 Kerberos 보안 수준이 많을수록 클라이언트와 서버가 전송된 각 패킷의 NFS 작업을 암호화하고 해독하는 데 시간을 소비하므로 성능이 저하됩니다. 많은 클라이언트와 NFS 서버가 AES-NI 오프로딩을 CPU에 지원하므로 전반적인 환경이 개선되지만 Kerberos 5p(전체 엔드 투 엔드 암호화)의 성능 영향은 Kerberos 5(사용자 인증)의 영향보다 훨씬 큽니다.

다음 표에서는 보안 및 성능에 대한 각 수준의 차이점을 보여 줍니다.

보안 수준	보안	성능
NFSv3 - 시스템	최소 보안, 숫자 사용자 ID/그룹 ID가 있는 일반 텍스트 UID, GID, 클라이언트 IP 주소, 내보내기 경로, 파일 이름, 패킷 캡처의 권한	대부분의 경우에 적합합니다
NFSv4.x - 시스템	NFSv3(클라이언트 ID, 이름 문자열/도메인 문자열 일치)보다 더 안전하지만 여전히 일반 텍스트입니다 UID, GID, 클라이언트 IP 주소, 이름 문자열, 도메인 ID를 볼 수 있습니다. 패킷 캡처의 내보내기 경로, 파일 이름, 권한	순차적 워크로드(예: VM, 데이터베이스, 대용량 파일)에 적합 파일 개수가 많음/메타데이터 많음(30~50% 악화)
NFS — krb5	모든 NFS 패킷의 자격 증명에 대한 Kerberos 암호화 - GSS 래퍼의 RPC 호출에서 사용자/그룹의 UID/GID를 래핑합니다 마운트 액세스를 요청하는 사용자는 유효한 Kerberos 티켓(사용자 이름/암호 또는 수동 키 탭 교환)이 필요합니다. 티켓은 지정된 기간 후에 만료되며 사용자는 액세스를 위해 다시 인증해야 합니다 마운트/portmapper/NLM 같은 NFS 작업 또는 보조 프로토콜에 대한 암호화 없음(내보내기 경로, IP 주소, 파일 핸들, 권한, 파일 이름 패킷 캡처의 atime/mtime)	Kerberos의 경우 대부분 최상, AUTH_SYS보다 나쁨
NFS — krb5i	모든 NFS 패킷의 자격 증명에 대한 Kerberos 암호화 - GSS 래퍼의 RPC 호출에서 사용자/그룹의 UID/GID를 래핑합니다 마운트 액세스를 요청하는 사용자는 유효한 Kerberos 티켓(사용자 이름/암호 또는 수동 키 탭 교환)이 필요합니다. 티켓은 지정된 기간 후에 만료되며 사용자는 액세스를 위해 다시 인증해야 합니다 마운트/portmapper/NLM 같은 NFS 작업 또는 보조 프로토콜에 대한 암호화 없음(내보내기 경로, IP 주소, 파일 핸들, 권한, 파일 이름 패킷 캡처의 atime/mtime) Kerberos GSS 체크섬은 패킷을 가로챌 수 없도록 모든 패킷에 추가됩니다. 체크섬이 일치하면 대화가 허용됩니다.	NFS 페이로드가 암호화되지 않기 때문에 krb5p보다 낫습니다. krb5와 비교하여 추가된 오버헤드만 무결성 체크섬입니다. krb5i의 성능은 krb5보다 훨씬 나쁘지는 않지만 약간의 성능 저하가 발생할 수 있습니다.
NFS – krb5p	모든 NFS 패킷의 자격 증명에 대한 Kerberos 암호화 - GSS 래퍼의 RPC 호출에서 사용자/그룹의 UID/GID를 래핑합니다 마운트 액세스를 요청하는 사용자는 유효한 Kerberos 티켓(사용자 이름/암호 또는 수동 키 탭 교환)이 필요합니다. 티켓은 지정된 기간 이후에 만료되며 사용자는 액세스를 위해 다시 인증해야 합니다 모든 NFS 패킷 페이로드는 GSS 래퍼로 암호화됩니다(패킷 캡처에서 파일 핸들, 권한, 파일 이름, atime/mtime을 볼 수 없음). 무결성 검사를 포함합니다. NFS 작업 유형이 표시됩니다(FSINFO, ACCESS, GETATTR 등). 보조 프로토콜(마운트, 포트 맵, NLM 등)이 암호화되지 않음 - (내보내기 경로, IP 주소 확인 가능)	보안 수준의 최악의 성능: krb5p는 더 많은 암호화/암호 해독을 해야 합니다. 파일 개수가 많은 워크로드에 대해 NFSv4.x를 사용할 경우 krb5p보다 성능이 더 우수합니다.

보안 수준

보안

성능

NFSv3 - 시스템

최소 보안, 숫자 사용자 ID/그룹 ID가 있는 일반 텍스트
UID, GID, 클라이언트 IP 주소, 내보내기 경로, 파일 이름, 패킷 캡처의 권한

대부분의 경우에 적합합니다

NFSv4.x - 시스템

NFSv3(클라이언트 ID, 이름 문자열/도메인 문자열 일치)보다 더 안전하지만 여전히 일반 텍스트입니다
UID, GID, 클라이언트 IP 주소, 이름 문자열, 도메인 ID를 볼 수 있습니다. 패킷 캡처의 내보내기 경로, 파일 이름, 권한

순차적 워크로드(예: VM, 데이터베이스, 대용량 파일)에 적합
파일 개수가 많음/메타데이터 많음(30~50% 악화)

NFS — krb5

모든 NFS 패킷의 자격 증명에 대한 Kerberos 암호화 - GSS 래퍼의 RPC 호출에서 사용자/그룹의 UID/GID를 래핑합니다
마운트 액세스를 요청하는 사용자는 유효한 Kerberos 티켓(사용자 이름/암호 또는 수동 키 탭 교환)이 필요합니다. 티켓은 지정된 기간 후에 만료되며 사용자는 액세스를 위해 다시 인증해야 합니다
마운트/portmapper/NLM 같은 NFS 작업 또는 보조 프로토콜에 대한 암호화 없음(내보내기 경로, IP 주소, 파일 핸들, 권한, 파일 이름 패킷 캡처의 atime/mtime)

Kerberos의 경우 대부분 최상, AUTH_SYS보다 나쁨

NFS — krb5i

모든 NFS 패킷의 자격 증명에 대한 Kerberos 암호화 - GSS 래퍼의 RPC 호출에서 사용자/그룹의 UID/GID를 래핑합니다
마운트 액세스를 요청하는 사용자는 유효한 Kerberos 티켓(사용자 이름/암호 또는 수동 키 탭 교환)이 필요합니다. 티켓은 지정된 기간 후에 만료되며 사용자는 액세스를 위해 다시 인증해야 합니다
마운트/portmapper/NLM 같은 NFS 작업 또는 보조 프로토콜에 대한 암호화 없음(내보내기 경로, IP 주소, 파일 핸들, 권한, 파일 이름 패킷 캡처의 atime/mtime)
Kerberos GSS 체크섬은 패킷을 가로챌 수 없도록 모든 패킷에 추가됩니다. 체크섬이 일치하면 대화가 허용됩니다.

NFS 페이로드가 암호화되지 않기 때문에 krb5p보다 낫습니다. krb5와 비교하여 추가된 오버헤드만 무결성 체크섬입니다. krb5i의 성능은 krb5보다 훨씬 나쁘지는 않지만 약간의 성능 저하가 발생할 수 있습니다.

NFS – krb5p

모든 NFS 패킷의 자격 증명에 대한 Kerberos 암호화 - GSS 래퍼의 RPC 호출에서 사용자/그룹의 UID/GID를 래핑합니다
마운트 액세스를 요청하는 사용자는 유효한 Kerberos 티켓(사용자 이름/암호 또는 수동 키 탭 교환)이 필요합니다. 티켓은 지정된 기간 이후에 만료되며 사용자는 액세스를 위해 다시 인증해야 합니다
모든 NFS 패킷 페이로드는 GSS 래퍼로 암호화됩니다(패킷 캡처에서 파일 핸들, 권한, 파일 이름, atime/mtime을 볼 수 없음).
무결성 검사를 포함합니다.
NFS 작업 유형이 표시됩니다(FSINFO, ACCESS, GETATTR 등).
보조 프로토콜(마운트, 포트 맵, NLM 등)이 암호화되지 않음 - (내보내기 경로, IP 주소 확인 가능)

보안 수준의 최악의 성능: krb5p는 더 많은 암호화/암호 해독을 해야 합니다.
파일 개수가 많은 워크로드에 대해 NFSv4.x를 사용할 경우 krb5p보다 성능이 더 우수합니다.

Google Cloud NetApp 볼륨에서 구성된 Active Directory 서버가 Kerberos 서버 및 LDAP 서버로 사용됩니다(RFC2307 호환 스키마에서 사용자 ID 조회). 다른 Kerberos 또는 LDAP 서버는 지원되지 않습니다. NetApp은 Google Cloud NetApp 볼륨에서 ID 관리를 위해 LDAP를 사용할 것을 적극 권장합니다. 패킷 캡처에서 NFS Kerberos가 표시되는 방법에 대한 자세한 내용은 ncvs-gc-cloud-volumes-service-architecture 링크를 참조하십시오. html#패킷 스니핑/추적 고려 사항 ["패킷 스니핑/추적 고려 사항"]

전송 중인 데이터 암호화

Creating your file...

Google Cloud 네트워크

NAS 프로토콜

SMB 암호화

NFSv4.1 Kerberos