Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

암호화

기여자
PDF

ONTAP는 소프트웨어 및 하드웨어 기반 암호화 기술을 모두 제공하여 스토리지 미디어가 용도 변경, 반환, 잘못된 위치 변경 또는 도난된 경우 유휴 데이터를 읽을 수 없도록 합니다.

ONTAP는 모든 SSL 연결에 대해 FIPS(Federal Information Processing Standards) 140-2를 준수합니다. 다음 암호화 솔루션을 사용할 수 있습니다.

  • 하드웨어 솔루션:

    • NSE(NetApp 스토리지 암호화)

      NSE는 SED(자체 암호화 드라이브)를 사용하는 하드웨어 솔루션입니다.

    • NVMe SED

      ONTAP는 FIPS 140-2 인증이 없는 NVMe SED에 대한 전체 디스크 암호화를 제공합니다.

  • 소프트웨어 솔루션:

    • NetApp 애그리게이트 암호화(NAE)

      NAE는 각 애그리게이트의 고유 키를 사용하여 활성화된 모든 드라이브 유형의 모든 데이터 볼륨을 암호화할 수 있는 소프트웨어 솔루션입니다.

    • NetApp 볼륨 암호화(NVE)

      NVE는 각 볼륨의 고유 키를 사용해 활성화된 모든 드라이브 유형의 모든 데이터 볼륨을 암호화할 수 있는 소프트웨어 솔루션입니다.

소프트웨어(NAE 또는 NVE) 및 하드웨어(NSE 또는 NVMe SED) 암호화 솔루션을 모두 사용하여 유휴 데이터를 두 배로 암호화합니다. 스토리지 효율성은 NAE 또는 NVE 암호화의 영향을 받지 않습니다.

NetApp 스토리지 암호화

NSE(NetApp Storage Encryption)는 데이터를 쓸 때 암호화하는 SED를 지원합니다. 디스크에 저장된 암호화 키가 없으면 데이터를 읽을 수 없습니다. 암호화 키는 인증된 노드에서만 액세스할 수 있습니다.

I/O 요청 시 노드는 외부 키 관리 서버 또는 Onboard Key Manager에서 검색된 인증 키를 사용하여 SED에 대해 자신을 인증합니다.

  • 외부 키 관리 서버는 KMIP(Key Management Interoperability Protocol)를 사용하여 노드에 인증 키를 제공하는 스토리지 환경의 타사 시스템입니다.

  • Onboard Key Manager는 데이터와 동일한 스토리지 시스템의 노드에 인증 키를 제공하는 기본 제공 도구입니다.

NSE는 자체 암호화 HDD 및 SSD를 지원합니다. NSE와 함께 NetApp 볼륨 암호화를 사용하여 NSE 드라이브의 데이터를 이중 암호화할 수 있습니다.

참고 Flash Cache 모듈이 있는 시스템에서 NSE를 사용하는 경우, NVE 또는 NAE도 활성화해야 합니다. NSE는 Flash Cache 모듈에 상주하는 데이터를 암호화하지 않습니다.

NVMe 자체 암호화 드라이브

NVMe SED에는 FIPS 140-2 인증이 없지만, AES 256비트 투명 디스크 암호화를 사용하여 유휴 데이터를 보호합니다.

인증 키 생성과 같은 데이터 암호화 작업은 내부적으로 수행됩니다. 스토리지 시스템에서 디스크를 처음 액세스할 때 인증 키가 생성됩니다. 그런 다음, 데이터 작업이 요청될 때마다 스토리지 시스템 인증을 요구하여 유휴 데이터를 보호합니다.

NetApp 애그리게이트 암호화

NetApp Aggregate Encryption(NAE)은 애그리게이트의 모든 데이터를 암호화하는 소프트웨어 기반 기술입니다. NAE의 이점은 볼륨이 애그리게이트 레벨 중복제거에 포함되는 반면, NVE 볼륨은 제외된다는 것입니다.

NAE를 사용하도록 설정하면 애그리게이트 내의 볼륨을 애그리게이트 키로 암호화할 수 있습니다.

ONTAP 9.7부터"NVE 라이센스", 온보드 키 또는 외부 키 관리가 있는 경우 새로 생성된 애그리게이트와 볼륨은 기본적으로 암호화됩니다.

NetApp 볼륨 암호화

NetApp Volume Encryption(NVE)은 유휴 데이터를 한 번에 하나의 볼륨으로 암호화하는 소프트웨어 기반 기술입니다. 스토리지 시스템에서만 액세스할 수 있는 암호화 키를 사용하면 기본 디바이스가 시스템에서 분리되어 있는 경우 볼륨 데이터를 읽을 수 없습니다.

Snapshot 복사본과 메타데이터를 비롯한 두 데이터가 모두 암호화됩니다. 데이터에 대한 액세스는 볼륨별로 고유한 XTS-AES-256 키를 통해 제공됩니다. 내장 Onboard Key Manager는 동일한 시스템에 있는 키를 데이터와 함께 보호합니다.

NVE는 모든 유형의 애그리게이트(HDD, SSD, 하이브리드, 어레이 LUN), RAID 유형, ONTAP Select를 비롯한 지원되는 모든 ONTAP 구현에서 사용할 수 있습니다. NSE(NetApp 스토리지 암호화)와 NVE를 사용하여 NSE 드라이브의 데이터를 이중 암호화할 수 있습니다.

  • KMIP 서버 사용 시기 * 저렴한 비용으로 일반적으로 Onboard Key Manager를 사용하는 것이 더 편리하지만, 다음 중 하나라도 해당되는 경우 KMIP 서버를 설치해야 합니다.

  • 암호화 키 관리 솔루션은 FIPS(Federal Information Processing Standards) 140-2 또는 KMIP OASIS KMIP 표준을 준수해야 합니다.

  • 다중 클러스터 솔루션이 필요합니다. KMIP 서버는 암호화 키를 중앙에서 관리하여 여러 클러스터를 지원합니다.

    KMIP 서버는 암호화 키를 중앙에서 관리하여 여러 클러스터를 지원합니다.

  • 기업은 인증 키를 시스템 또는 데이터와 다른 위치에 저장하는 추가적인 보안을 필요로 합니다.

    KMIP 서버는 데이터와 별도로 인증 키를 저장합니다.
관련 정보

"FAQ - NetApp 볼륨 암호화 및 NetApp 애그리게이트 암호화"