서비스형 스토리지를 사용하면 클라우드 데이터 센터 외부의 최종 사용자에 대한 액세스를 제거하여 관리자가 노출될 가능성을 최소화할 수 있습니다. 대신 고객이 데이터 액세스 플레인을 위해 설정하는 것이 유일한 구성입니다. 각 테넌트는 자체 볼륨을 관리하며 테넌트가 다른 Cloud Volumes Service 인스턴스에 연결할 수 없습니다. 이 서비스는 자동화를 통해 관리되며, 이 섹션에서 설명하는 프로세스를 통해 시스템에 액세스할 수 있는 신뢰할 수 있는 관리자의 목록은 매우 적습니다 "“서비스 운영”"

CVS - 성능 서비스 유형은 지역 간 복제를 옵션으로 제공하여 지역 장애가 발생할 경우 다른 지역에 데이터를 보호합니다. 이 경우 Cloud Volumes Service를 영향을 받지 않는 영역으로 페일오버하여 데이터 액세스를 유지할 수 있습니다.

업데이트는 취약한 시스템을 보호하는 데 도움이 됩니다. 각 업데이트는 공격 경로를 최소화하는 보안 향상 기능 및 버그 수정을 제공합니다. 소프트웨어 업데이트는 중앙 저장소에서 다운로드되고 업데이트가 공식 이미지가 사용되고 잘못된 행위자에 의해 업그레이드에 영향을 받지 않는지 확인하기 전에 검증됩니다.

Cloud Volumes Service를 사용하면 클라우드 제공업체 팀이 업데이트를 처리하므로 관리자가 프로세스를 자동화하고 완벽하게 테스트한 구성 및 업그레이드에 정통하여 위험에 노출될 가능성을 줄일 수 있습니다. 업그레이드는 무중단으로 수행할 수 있으며 Cloud Volumes Service는 최신 업데이트를 유지하여 전체적인 결과를 최대한 제공합니다.

이러한 서비스 업그레이드를 수행하는 관리자 팀에 대한 자세한 내용은 섹션을 참조하십시오 "“서비스 운영”"

유휴 데이터의 보안 외에도 Cloud Volumes Service 인스턴스와 클라이언트 또는 복제 타겟 간에 전송 중인 데이터를 안전하게 보호할 수 있어야 합니다. Cloud Volumes Service는 Kerberos를 사용한 SMB 암호화, 패킷의 서명/봉인 및 데이터 전송의 엔드 투 엔드 암호화를 위한 NFS Kerberos 5p 등의 암호화 방법을 사용하여 NAS 프로토콜을 통해 전송 중인 데이터에 대한 암호화를 제공합니다.

Cloud Volumes Service 볼륨의 복제는 TLS-GCM 암호화 방법을 활용하는 TLS 1.2를 사용합니다.

텔넷, NDMP 등과 같이 안전하지 않은 전송 중 프로토콜은 기본적으로 비활성화되어 있습니다. 그러나 DNS는 Cloud Volumes Service에 의해 암호화되지 않으며(DNS 초 지원 없음) 가능하면 외부 네트워크 암호화를 사용하여 암호화해야 합니다. 섹션을 참조하십시오 "“전송 중인 데이터 암호화”" 전송 중인 데이터 보안에 대한 자세한 내용은 를 참조하십시오.

NAS 프로토콜 암호화에 대한 자세한 내용은 섹션을 참조하십시오 "“NAS 프로토콜.”"

Cloud Volumes Service은 데이터를 삭제하거나 랜섬웨어 공격으로 인해 전체 볼륨이 희생된 경우 사용자 지정이 가능한 일정에 따라 진행되는 변경 불가능한 읽기 전용 스냅샷 복사본을 기본적으로 제공합니다. 스냅샷 스케줄 및 RTO/RPO의 보존 기간을 기준으로 Snapshot을 이전 Snapshot 복제본으로 빠르게 복구하고 데이터 손실을 최소화합니다. 스냅샷 기술을 사용할 경우 성능 영향은 미미합니다.

Cloud Volumes Service의 스냅샷 복사본은 읽기 전용이므로 랜섬웨어가 데이터 세트에 확산되지 않고 Snapshot 복사본이 랜섬웨어에 의해 감염된 데이터를 가져가지 않는 한 랜섬웨어에 감염될 수 없습니다. 따라서 데이터 이상을 기반으로 랜섬웨어 탐지를 고려해야 하는 이유가 됩니다. Cloud Volumes Service는 현재 탐지 기능을 기본적으로 제공하지 않지만 외부 모니터링 소프트웨어를 사용할 수 있습니다.

Cloud Volumes Service는 표준 NAS 클라이언트 백업 기능(예: NFS 또는 SMB를 통한 백업)을 제공합니다.

볼륨 복제는 랜섬웨어 이벤트를 포함하여 재해 발생 시 신속한 페일오버를 위해 소스 볼륨의 정확한 복사본을 제공합니다.

CVS - 성능은 Google 네트워크에서 실행되는 복제에 사용되는 특정 인터페이스를 사용하여 NetApp이 제어하는 백엔드 서비스 네트워크에서 TLS1.2 AES 256 GCM 암호화를 사용하여 데이터 보호 및 아카이브 사용 사례를 위해 Google Cloud 지역 전반에 걸쳐 볼륨을 안전하게 복제할 수 있게 해줍니다. 운영(소스) 볼륨에는 활성 운영 데이터가 포함되어 있으며 보조(대상) 볼륨에 복제하여 운영 데이터 세트의 정확한 복제본을 제공합니다.

초기 복제는 모든 블록을 전송하지만 업데이트는 변경된 블록만 운영 볼륨에서 전송합니다. 예를 들어, 기본 볼륨에 상주하는 1TB 데이터베이스가 보조 볼륨으로 복제되면 1TB 공간이 초기 복제 시 전송됩니다. 해당 데이터베이스에 초기화와 다음 업데이트 간에 변경되는 수백 개의 행(몇 MB)이 있는 경우 변경된 행이 있는 블록만 보조 블록(몇 MB)으로 복제됩니다. 이렇게 하면 전송 시간이 낮게 유지되고 복제 비용이 계속 감소되도록 할 수 있습니다.

파일 및 폴더에 대한 모든 권한은 보조 볼륨으로 복제되지만 내보내기 정책 및 규칙, SMB 공유 및 ACL 공유 등의 공유 액세스 권한은 별도로 처리해야 합니다. 사이트 장애 조치의 경우 대상 사이트는 동일한 이름 서비스와 Active Directory 도메인 연결을 활용하여 사용자 및 그룹 ID와 사용 권한을 일관된 방식으로 처리해야 합니다. 재해 발생 시 보조 볼륨을 페일오버 타겟으로 사용할 수 있습니다. 즉, 2차 볼륨을 읽기-쓰기로 변환하는 복제 관계를 끊으면 됩니다.

볼륨 복사본은 읽기 전용이며, 바이러스가 감염된 데이터를 가지고 있거나 랜섬웨어가 기본 데이터 세트를 암호화한 경우 데이터를 빠르게 복구하기 위해 변경 불가능한 데이터 사본을 오프사이트에 제공합니다. 읽기 전용 데이터는 암호화되지 않지만 운영 볼륨이 영향을 받고 복제가 발생하는 경우 감염된 블록도 복제됩니다. 오래되고 영향을 받지 않는 Snapshot 복사본을 사용하여 복구할 수 있지만, 공격이 탐지되는 속도에 따라 SLA가 약속된 RTO/RPO의 범위를 벗어날 수 있습니다.

또한 Google Cloud에서 CRR(Cross-Region Replication) 관리를 통해 볼륨 삭제, 스냅샷 삭제 또는 스냅샷 스케줄 변경과 같은 악의적인 관리 작업을 방지할 수 있습니다. 이 작업은 볼륨 관리자를 분리하는 사용자 지정 역할을 생성하여 수행합니다. 볼륨 관리자는 소스 볼륨을 삭제할 수는 있지만 미러를 중단할 수는 없으므로 볼륨 작업을 수행할 수 없는 CRR 관리자로부터 대상 볼륨을 삭제할 수 없습니다. 을 참조하십시오 "보안 고려 사항" 각 관리자 그룹이 허용하는 권한에 대한 Cloud Volumes Service 문서

Cloud Volumes Service는 높은 데이터 내구성을 제공하지만 외부 이벤트는 데이터 손실을 일으킬 수 있습니다. 바이러스 또는 랜섬웨어와 같은 보안 이벤트가 발생할 경우, 백업 및 복원이 시기적절하게 데이터 액세스를 재개하는 데 중요한 역할을 합니다. 관리자가 실수로 Cloud Volumes Service 볼륨을 삭제할 수 있습니다. 또는 사용자가 단순히 데이터 백업 버전을 몇 개월 동안 유지하고 볼륨 내에 추가 Snapshot 복사본 공간을 유지하는 것은 비용 문제가 됩니다. Snapshot 복사본이 최근 몇 주 동안 손실된 데이터를 복원하는 백업 버전을 보관하는 기본 방법이어야 하지만, 볼륨 내에 있으며 볼륨이 없어지면 손실됩니다.

이러한 모든 이유로 NetApp Cloud Volumes Service은 를 통해 백업 서비스를 제공합니다 "Cloud Volumes Service 백업".

Cloud Volumes Service 백업은 GCS(Google Cloud Storage)에서 볼륨의 복사본을 생성합니다. 사용 가능한 공간이 아닌 볼륨 내에 저장된 실제 데이터만 백업합니다. 영구 증분 방식으로 작동하므로 볼륨 콘텐츠를 한 번 전송하고 변경된 데이터만 계속 백업합니다. 여러 개의 전체 백업을 사용하는 기존 백업 개념에 비해 많은 양의 백업 스토리지를 절약하여 비용을 절감합니다. 백업 공간의 월별 가격이 볼륨에 비해 낮기 때문에 백업 버전을 더 오래 유지하는 것이 좋습니다.

사용자는 Cloud Volumes Service 백업을 사용하여 모든 백업 버전을 동일한 지역 내의 동일한 볼륨 또는 다른 볼륨으로 복원할 수 있습니다. 소스 볼륨이 삭제되면 백업 데이터가 보존되므로 독립적으로 관리(예: 삭제)해야 합니다.

Cloud Volumes Service 백업은 Cloud Volumes Service에 옵션으로 내장되어 있습니다. 사용자는 볼륨별로 Cloud Volumes Service 백업을 활성화하여 보호할 볼륨을 결정할 수 있습니다. 를 참조하십시오 "Cloud Volumes Service 백업 설명서" 백업에 대한 자세한 내용은 를 참조하십시오 "지원되는 최대 백업 버전 수입니다", 스케줄링 및 을 참조하십시오 "가격".

프로젝트의 모든 백업 데이터는 GCS 버킷 내에 저장되며, 이 버킷은 서비스에서 관리되며 사용자에게 표시되지 않습니다. 프로젝트마다 다른 버킷을 사용합니다. 현재 버킷은 Cloud Volumes Service 볼륨과 동일한 영역에 있지만 더 많은 옵션에 대해 논의 중입니다. 최신 상태는 설명서를 참조하십시오.

Cloud Volumes Service 버킷에서 GCS로 데이터를 전송하는 경우 HTTPS 및 TLS1.2가 포함된 서비스 내부 Google 네트워크를 사용합니다. 데이터는 Google에서 관리하는 키로 유휴 상태로 암호화됩니다.

Cloud Volumes Service 백업(백업 생성, 삭제 및 복원)을 관리하려면 사용자에게 이 있어야 합니다 "역할/netappcloudvolumes.admin" 역할.