Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

NetApp 볼륨 암호화 구성 개요

기여자

NetApp Volume Encryption(NVE)은 유휴 데이터를 한 번에 하나의 볼륨으로 암호화하는 소프트웨어 기반 기술입니다. 스토리지 시스템에서만 액세스할 수 있는 암호화 키를 사용하면 기본 장치를 용도 변경, 반환, 잘못된 위치 변경 또는 도난 당한 경우 볼륨 데이터를 읽을 수 없습니다.

NVE 이해

NVE를 사용하면 메타데이터와 데이터(스냅샷 복사본 포함)가 모두 암호화됩니다. 데이터에 대한 액세스는 볼륨별로 고유한 XTS-AES-256 키를 통해 제공됩니다. 외부 키 관리 서버 또는 온보드 키 관리자(OKM)는 노드에 키를 제공합니다.

  • 외부 키 관리 서버는 KMIP(Key Management Interoperability Protocol)를 사용하여 노드에 키를 제공하는 스토리지 환경의 타사 시스템입니다. 데이터와 다른 스토리지 시스템에 있는 외부 키 관리 서버를 구성하는 것이 가장 좋습니다.

  • Onboard Key Manager는 데이터와 동일한 스토리지 시스템의 노드에 키를 제공하는 기본 제공 툴입니다.

ONTAP 9.7부터 볼륨 암호화(VE) 라이센스가 있고 온보드 키 관리자 또는 외부 키 관리자를 사용하는 경우 애그리게이트 및 볼륨 암호화가 기본적으로 활성화됩니다. VE 라이센스는 에 포함되어 "ONTAP 1 을 참조하십시오"있습니다. 외부 또는 온보드 키 관리자를 구성할 때마다 새로운 애그리게이트 및 완전히 새로운 볼륨에 대해 유휴 데이터 암호화를 구성하는 방식이 변경됩니다. 새로운 애그리게이트에 NetApp NAE(Aggregate Encryption)가 기본적으로 사용되도록 설정됩니다. NAE 애그리게이트에 포함되지 않은 새로운 볼륨의 경우 기본적으로 NVE(NetApp Volume Encryption)가 활성화됩니다. 멀티 테넌트(multi-tenant) 키 관리를 사용하여 데이터 스토리지 가상 시스템(SVM)을 자체 키 관리자로 구성한 경우, SVM용으로 생성된 볼륨은 NVE로 자동으로 구성됩니다.

새 볼륨이나 기존 볼륨에서 암호화를 활성화할 수 있습니다. NVE는 중복제거, 압축을 비롯한 광범위한 스토리지 효율성 기능을 지원합니다. ONTAP 9.14.1부터 가능합니다 기존 SVM 루트 볼륨에서 NVE를 활성화합니다.

참고 SnapLock를 사용하는 경우 비어 있는 새 SnapLock 볼륨에서만 암호화를 활성화할 수 있습니다. 기존 SnapLock 볼륨에서는 암호화를 활성화할 수 없습니다.

NVE는 모든 유형의 애그리게이트(HDD, SSD, 하이브리드, 어레이 LUN), RAID 유형, ONTAP Select를 비롯한 지원되는 모든 ONTAP 구현에서 사용할 수 있습니다. 또한 하드웨어 기반 암호화와 NVE를 사용하여 자체 암호화 드라이브에서 데이터를 "이중 암호화"할 수 있습니다.

NVE가 활성화되면 코어 덤프도 암호화됩니다.

애그리게이트 레벨 암호화

일반적으로 암호화된 모든 볼륨에 고유한 키가 할당됩니다. 볼륨이 삭제되면 키와 함께 삭제됩니다.

ONTAP 9.6부터는 _NetApp 애그리게이트 암호화(NAE)_를 사용하여 암호화할 볼륨의 포함된 애그리게이트에 키를 할당할 수 있습니다. 암호화된 볼륨이 삭제되면 애그리게이트의 키가 유지됩니다. 키가 전체 Aggregate가 삭제된 경우 삭제됩니다.

인라인 또는 백그라운드 애그리게이트 레벨 중복제거를 수행하려는 경우 애그리게이트 레벨 암호화를 사용해야 합니다. 그 외에는 NVE에서 애그리게이트 레벨의 중복제거가 지원되지 않습니다.

ONTAP 9.7부터 볼륨 암호화(VE) 라이센스가 있고 온보드 키 관리자 또는 외부 키 관리자를 사용하는 경우 애그리게이트 및 볼륨 암호화가 기본적으로 활성화됩니다.

NVE 볼륨과 NAE 볼륨이 동일한 애그리게이트에 공존할 수 있습니다. 애그리게이트 레벨 암호화로 암호화된 볼륨은 기본적으로 NAE 볼륨입니다. 볼륨을 암호화할 때 기본값을 재정의할 수 있습니다.

'volume move' 명령을 사용하여 NVE 볼륨을 NAE 볼륨으로 변환하거나 그 반대로 변환할 수 있습니다. NAE 볼륨을 NVE 볼륨으로 복제할 수 있습니다.

NAE 볼륨에서는 'Secure purge' 명령어를 사용할 수 없다.

외부 키 관리 서버를 사용하는 경우

일반적으로 온보드 키 관리자를 사용하는 것이 더 저렴하고 더 편리하긴 하지만, 다음 중 하나라도 해당하는 경우 KMIP 서버를 설치해야 합니다.

  • 암호화 키 관리 솔루션은 FIPS(Federal Information Processing Standards) 140-2 또는 KMIP OASIS KMIP 표준을 준수해야 합니다.

  • 암호화 키를 중앙 집중식으로 관리하는 다중 클러스터 솔루션이 필요합니다.

  • 기업은 인증 키를 시스템 또는 데이터와 다른 위치에 저장하는 추가적인 보안을 필요로 합니다.

외부 키 관리의 범위

외부 키 관리 범위에 따라 주요 관리 서버가 클러스터의 모든 SVM을 보호할지 또는 선택한 SVM에만 안전할지 여부가 결정됩니다.

  • 클러스터 범위 _ 를 사용하여 클러스터의 모든 SVM에 대한 외부 키 관리를 구성할 수 있습니다. 클러스터 관리자는 서버에 저장된 모든 키에 액세스할 수 있습니다.

  • ONTAP 9.6부터는 _SVM SCOPE_를 사용하여 클러스터의 명명된 SVM에 대한 외부 키 관리를 구성할 수 있습니다. 이는 각 테넌트가 서로 다른 SVM(또는 SVM 세트)을 사용하여 데이터를 제공하는 멀티테넌트 환경에 가장 적합합니다. 지정된 테넌트의 SVM 관리자만 해당 테넌트의 키에 액세스할 수 있습니다.

  • ONTAP 9.10.1부터 를 사용할 수 있습니다 Azure Key Vault 및 Google Cloud KMS 데이터 SVM에 대해서만 NVE 키를 보호합니다. 이 기능은 9.12.0부터 AWS의 KMS에 사용할 수 있습니다.

동일한 클러스터에서 두 범위를 모두 사용할 수 있습니다. SVM용으로 키 관리 서버를 구성한 경우 ONTAP에서는 이러한 서버만 사용하여 키를 보호합니다. 그렇지 않으면 ONTAP는 클러스터에 구성된 키 관리 서버로 키를 보호합니다.

검증된 외부 키 관리자 목록은 에서 확인할 수 있습니다 "NetApp 상호 운용성 매트릭스 툴(IMT)". IMT의 검색 기능에 "Key Manager"라는 용어를 입력하면 이 목록을 확인할 수 있습니다.

지원 세부 정보

다음 표에는 NVE 지원 세부사항이 나와 있습니다.

리소스 또는 기능

지원 세부 정보

플랫폼

AES-NI 오프로드 기능이 필요합니다. 해당 플랫폼에서 NVE와 NAE가 지원되는지 확인하려면 HWU(Hardware Universe)를 참조하십시오.

암호화

ONTAP 9.7부터 볼륨 암호화(VE) 라이센스를 추가하고 온보드 또는 외부 키 관리자를 구성한 경우 새로 생성된 애그리게이트 및 볼륨이 기본적으로 암호화됩니다. 암호화되지 않은 Aggregate를 생성해야 하는 경우 다음 명령을 사용합니다.

'스토리지 집계 생성-암호화-집계-키 거짓'을 사용합니다

일반 텍스트 볼륨을 만들어야 하는 경우 다음 명령을 사용합니다.

볼륨 만들기-암호화 거짓

다음과 같은 경우 암호화가 기본적으로 활성화되지 않습니다.

  • VE 라이센스가 설치되지 않았습니다.

  • 키 관리자가 구성되지 않았습니다.

  • 플랫폼 또는 소프트웨어는 암호화를 지원하지 않습니다.

  • 하드웨어 암호화가 활성화됩니다.

ONTAP

모든 ONTAP 구축. ONTAP 클라우드에 대한 지원은 ONTAP 9.5 이상에서 제공됩니다.

장치

HDD, SSD, 하이브리드, 어레이 LUN

RAID

RAID0, RAID4, RAID-DP, RAID-TEC.

볼륨

데이터 볼륨 및 기존 SVM 루트 볼륨. MetroCluster 메타데이터 볼륨의 데이터는 암호화할 수 없습니다. 9.14.1 이전 버전의 ONTAP에서는 NVE를 통해 SVM 루트 볼륨의 데이터를 암호화할 수 없습니다. ONTAP 9.14.1부터 ONTAP는 를 지원합니다 SVM 루트 볼륨에 NVE.

애그리게이트 레벨 암호화

ONTAP 9.6부터 NVE는 Aggregate 레벨의 암호화(NAE)를 지원합니다.

  • 인라인 또는 백그라운드 애그리게이트 레벨 중복제거를 수행하려는 경우 애그리게이트 레벨 암호화를 사용해야 합니다.

  • 집계 수준 암호화 볼륨을 다시 설정할 수 없습니다.

  • 애그리게이트 레벨 암호화 볼륨에서는 보안 제거가 지원되지 않습니다.

  • NAE는 데이터 볼륨 외에 SVM 루트 볼륨 및 MetroCluster 메타데이터 볼륨의 암호화를 지원합니다. NAE는 루트 볼륨 암호화를 지원하지 않습니다.

SVM 범위

ONTAP 9.6부터 NVE는 외부 키 관리용 SVM 범위를 지원하며 온보드 키 관리자용 범위가 아닙니다. MetroCluster는 ONTAP 9.8부터 지원됩니다.

스토리지 효율성

중복제거, 압축, 컴팩션, FlexClone:

클론은 상위 클론에서 클론을 분할한 후에도 상위 클론과 동일한 키를 사용합니다. 를 수행해야 합니다 volume move 분할된 클론에서 분할된 클론에는 다른 키가 있습니다.

복제

  • 볼륨 복제의 경우 소스 볼륨과 대상 볼륨의 암호화 설정이 다를 수 있습니다. 소스에 대해 암호화를 구성할 수 있고 대상에 대해 구성되지 않을 수도 있습니다.

  • SVM 복제의 경우, 볼륨 암호화를 지원하는 노드가 타겟에 포함되지 않은 경우, 복제가 성공하지만 타겟 볼륨이 암호화되지 않은 한 타겟 볼륨이 자동으로 암호화됩니다.

  • MetroCluster 구성의 경우 각 클러스터는 구성된 키 서버에서 외부 키 관리 키를 가져옵니다. OKM 키는 구성 복제 서비스에 의해 파트너 사이트에 복제됩니다.

규정 준수

ONTAP 9.2부터 SnapLock는 규정 준수 및 엔터프라이즈 모드 모두에서 지원되며, 새 볼륨만 지원합니다. 기존 SnapLock 볼륨에서는 암호화를 활성화할 수 없습니다.

FlexGroups를 선택합니다

ONTAP 9.2부터는 FlexGroups가 지원됩니다. 대상 애그리게이트는 소스 애그리게이트와 볼륨 레벨 또는 애그리게이트 레벨에서 동일한 유형이어야 합니다. ONTAP 9.5부터 FlexGroup 볼륨을 제자리에서 다시 입력하다

7-Mode 전환

7-Mode 전환 툴 3.3부터는 7-Mode 전환 툴 CLI를 사용하여, 클러스터링된 시스템의 NVE 지원 대상 볼륨으로의 복사본 기반 전환을 수행할 수 있습니다.