서비스형 스토리지를 사용하면 클라우드 데이터 센터 외부의 최종 사용자에 대한 액세스를 제거하여 관리자가 노출될 가능성을 최소화할 수 있습니다. 대신 고객이 데이터 액세스 플레인을 위해 설정하는 것이 유일한 구성입니다. 각 테넌트는 자체 볼륨을 관리하며 테넌트가 다른 Google Cloud NetApp 볼륨 인스턴스에 연결할 수는 없습니다. 이 서비스는 자동화를 통해 관리되며, 이 섹션에서 설명하는 프로세스를 통해 시스템에 액세스할 수 있는 신뢰할 수 있는 관리자의 수가 매우 적습니다 "“서비스 운영”"

NetApp 볼륨 성능 서비스 유형은 지역 간 복제를 옵션으로 제공하여 지역 장애 시 다른 지역에 데이터를 보호합니다. 이 경우 Google Cloud NetApp 볼륨을 영향을 받지 않는 지역으로 페일오버하여 데이터 액세스를 유지할 수 있습니다.

업데이트는 취약한 시스템을 보호하는 데 도움이 됩니다. 각 업데이트는 공격 경로를 최소화하는 보안 향상 기능 및 버그 수정을 제공합니다. 소프트웨어 업데이트는 중앙 저장소에서 다운로드되고 업데이트가 공식 이미지가 사용되고 잘못된 행위자에 의해 업그레이드에 영향을 받지 않는지 확인하기 전에 검증됩니다.

Google Cloud NetApp Volumes에서는 업데이트를 클라우드 공급자 팀이 처리하므로, 프로세스를 자동화하고 완벽하게 테스트한 구성 및 업그레이드에 잘 정통한 전문가를 제공하여 관리자 팀의 위험 노출을 방지할 수 있습니다. 업그레이드는 무중단으로 수행되며 Google Cloud NetApp Volumes에서 최상의 결과를 위해 최신 업데이트를 유지합니다.

이러한 서비스 업그레이드를 수행하는 관리자 팀에 대한 자세한 내용은 섹션을 참조하십시오 "“서비스 운영”"

유휴 데이터의 보안을 유지할 뿐만 아니라, Google Cloud NetApp Volumes 인스턴스와 클라이언트 또는 복제 타겟 간에 데이터가 전송 중인 경우에도 데이터를 보호할 수 있어야 합니다. Google Cloud NetApp 볼륨은 Kerberos를 사용한 SMB 암호화, 패킷 서명/봉인, 데이터 전송의 엔드 투 엔드 암호화를 위한 NFS Kerberos 5p 등의 암호화 방법을 사용하여 NAS 프로토콜을 통한 전송 중인 데이터의 암호화를 제공합니다.

Google Cloud NetApp 볼륨 복제에는 AES-GCM 암호화 방법을 활용하는 TLS 1.2가 사용됩니다.

텔넷, NDMP 등과 같이 안전하지 않은 전송 중 프로토콜은 기본적으로 비활성화되어 있습니다. 하지만 DNS는 Google Cloud NetApp Volumes(DNS Sec 지원 안 함)로 암호화되지 않으므로 가능하면 외부 네트워크 암호화를 사용하여 암호화해야 합니다. 전송 중인 데이터 보안에 대한 자세한 내용은 섹션을 "“전송 중인 데이터 암호화”"참조하십시오.

NAS 프로토콜 암호화에 대한 자세한 내용은 섹션을 참조하십시오 "“NAS 프로토콜.”"

Google Cloud NetApp 볼륨은 기본적으로 데이터 삭제 시 또는 전체 볼륨이 랜섬웨어 공격으로 희생된 경우 신속한 시점 복구를 위해 사용자 지정 가능한 일정에 따라 수행되는 변경 불가능한 읽기 전용 스냅샷 복사본을 제공합니다. 스냅샷 스케줄 및 RTO/RPO의 보존 기간을 기준으로 Snapshot을 이전 Snapshot 복제본으로 빠르게 복구하고 데이터 손실을 최소화합니다. 스냅샷 기술을 사용할 경우 성능 영향은 미미합니다.

Google Cloud NetApp Volumes의 스냅샷 복사본은 읽기 전용이므로 랜섬웨어가 데이터 세트로 확산되고 랜섬웨어에 감염된 데이터의 스냅샷 복사본을 만들지 않는 한 랜섬웨어에 감염될 수 없습니다. 따라서 데이터 이상을 기반으로 랜섬웨어 탐지를 고려해야 하는 이유가 됩니다. Google Cloud NetApp Volumes는 현재 기본 감지 기능을 제공하지 않지만 외부 모니터링 소프트웨어를 사용할 수 있습니다.

Google Cloud NetApp Volumes는 표준 NAS 클라이언트 백업 기능(예: NFS 또는 SMB를 통한 백업)을 제공합니다.

볼륨 복제는 랜섬웨어 이벤트를 포함하여 재해 발생 시 신속한 페일오버를 위해 소스 볼륨의 정확한 복사본을 제공합니다.

NetApp 볼륨 성능을 사용하면 Google 네트워크에서 실행되는 복제에 사용되는 특정 인터페이스를 사용하여 NetApp 제어 백엔드 서비스 네트워크에서 TLS1.2 AES 256 GCM 암호화를 사용하여 Google Cloud 영역 전체에서 데이터 보호 및 아카이브 사용 사례를 위해 볼륨을 안전하게 복제할 수 있습니다. 운영(소스) 볼륨에는 활성 운영 데이터가 포함되어 있으며 보조(대상) 볼륨에 복제하여 운영 데이터 세트의 정확한 복제본을 제공합니다.

초기 복제는 모든 블록을 전송하지만 업데이트는 변경된 블록만 운영 볼륨에서 전송합니다. 예를 들어, 기본 볼륨에 상주하는 1TB 데이터베이스가 보조 볼륨으로 복제되면 1TB 공간이 초기 복제 시 전송됩니다. 해당 데이터베이스에 초기화와 다음 업데이트 간에 변경되는 수백 개의 행(몇 MB)이 있는 경우 변경된 행이 있는 블록만 보조 블록(몇 MB)으로 복제됩니다. 이렇게 하면 전송 시간이 낮게 유지되고 복제 비용이 계속 감소되도록 할 수 있습니다.

파일 및 폴더에 대한 모든 권한은 보조 볼륨으로 복제되지만 내보내기 정책 및 규칙, SMB 공유 및 ACL 공유 등의 공유 액세스 권한은 별도로 처리해야 합니다. 사이트 장애 조치의 경우 대상 사이트는 동일한 이름 서비스와 Active Directory 도메인 연결을 활용하여 사용자 및 그룹 ID와 사용 권한을 일관된 방식으로 처리해야 합니다. 재해 발생 시 보조 볼륨을 페일오버 타겟으로 사용할 수 있습니다. 즉, 2차 볼륨을 읽기-쓰기로 변환하는 복제 관계를 끊으면 됩니다.

볼륨 복사본은 읽기 전용이며, 바이러스가 감염된 데이터를 가지고 있거나 랜섬웨어가 기본 데이터 세트를 암호화한 경우 데이터를 빠르게 복구하기 위해 변경 불가능한 데이터 사본을 오프사이트에 제공합니다. 읽기 전용 데이터는 암호화되지 않지만 운영 볼륨이 영향을 받고 복제가 발생하는 경우 감염된 블록도 복제됩니다. 오래되고 영향을 받지 않는 Snapshot 복사본을 사용하여 복구할 수 있지만, 공격이 탐지되는 속도에 따라 SLA가 약속된 RTO/RPO의 범위를 벗어날 수 있습니다.

또한 Google Cloud에서 CRR(Cross-Region Replication) 관리를 통해 볼륨 삭제, 스냅샷 삭제 또는 스냅샷 스케줄 변경과 같은 악의적인 관리 작업을 방지할 수 있습니다. 이 작업은 볼륨 관리자를 분리하는 사용자 지정 역할을 생성하여 수행합니다. 볼륨 관리자는 소스 볼륨을 삭제할 수는 있지만 미러를 중단할 수는 없으므로 볼륨 작업을 수행할 수 없는 CRR 관리자로부터 대상 볼륨을 삭제할 수 없습니다. 각 관리자 그룹이 허용하는 권한에 대해서는 Google Cloud NetApp 볼륨 설명서를 참조하십시오 "보안 고려 사항".

Google Cloud NetApp Volumes는 높은 데이터 내구성을 제공하지만 외부 이벤트로 인해 데이터가 손실될 수 있습니다. 바이러스 또는 랜섬웨어와 같은 보안 이벤트가 발생할 경우, 백업 및 복원이 시기적절하게 데이터 액세스를 재개하는 데 중요한 역할을 합니다. 관리자가 실수로 Google Cloud NetApp 볼륨을 삭제할 수 있습니다. 또는 사용자가 단순히 데이터 백업 버전을 몇 개월 동안 유지하고 볼륨 내에 추가 Snapshot 복사본 공간을 유지하는 것은 비용 문제가 됩니다. Snapshot 복사본이 최근 몇 주 동안 손실된 데이터를 복원하는 백업 버전을 보관하는 기본 방법이어야 하지만, 볼륨 내에 있으며 볼륨이 없어지면 손실됩니다.

이러한 모든 이유로 Google Cloud NetApp Volumes는 를 통해 백업 서비스를 "Google Cloud NetApp 볼륨 백업" 제공합니다.

Google Cloud NetApp 볼륨 백업은 Google Cloud Storage(GCS)에 볼륨의 복사본을 생성합니다. 사용 가능한 공간이 아닌 볼륨 내에 저장된 실제 데이터만 백업합니다. 영구 증분 방식으로 작동하므로 볼륨 콘텐츠를 한 번 전송하고 변경된 데이터만 계속 백업합니다. 여러 개의 전체 백업을 사용하는 기존 백업 개념에 비해 많은 양의 백업 스토리지를 절약하여 비용을 절감합니다. 백업 공간의 월별 가격이 볼륨에 비해 낮기 때문에 백업 버전을 더 오래 유지하는 것이 좋습니다.

사용자는 Google Cloud NetApp 볼륨 백업을 사용하여 동일한 지역 내의 모든 백업 버전을 동일한 또는 다른 볼륨으로 복원할 수 있습니다. 소스 볼륨이 삭제되면 백업 데이터가 보존되므로 독립적으로 관리(예: 삭제)해야 합니다.

Google Cloud NetApp 볼륨 백업은 Google Cloud NetApp Volumes에 옵션으로 내장되어 있습니다. 사용자는 볼륨을 기준으로 Google Cloud NetApp 볼륨 백업을 활성화하여 보호할 볼륨을 결정할 수 있습니다. 백업, 예약 및 "가격" 에 대한 자세한 내용은 "지원되는 최대 백업 버전 수입니다" 를 "Google Cloud NetApp 볼륨 백업 설명서" 참조하십시오.

프로젝트의 모든 백업 데이터는 GCS 버킷 내에 저장되며, 이 버킷은 서비스에서 관리되며 사용자에게 표시되지 않습니다. 프로젝트마다 다른 버킷을 사용합니다. 현재 버킷은 Google Cloud NetApp 볼륨과 동일한 지역에 있지만, 추가 옵션을 논의 중입니다. 최신 상태는 설명서를 참조하십시오.

Google Cloud NetApp 볼륨 버킷에서 GCS로 데이터 전송은 HTTPS 및 TLS1.2의 서비스 내부 Google 네트워크를 사용합니다. 데이터는 Google에서 관리하는 키로 유휴 상태로 암호화됩니다.

Google Cloud NetApp 볼륨 백업을 관리하려면(백업 생성, 삭제 및 복원) 사용자에게 역할이 있어야 합니다 "역할/netappcloudvolumes.admin".