Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 9.6 이상에서 NVE에 대한 온보드 키 관리 활성화

기여자 netapp-barbe netapp-aoife netapp-aaron-holt netapp-aherbin netapp-ahibbard netapp-thomi netapp-bhouser netapp-dbagwell
PDF

Onboard Key Manager를 사용하여 클러스터가 암호화된 데이터에 액세스하는 데 사용하는 키를 보호할 수 있습니다. 암호화된 볼륨 또는 자체 암호화 디스크에 액세스하는 각 클러스터에서 Onboard Key Manager를 활성화해야 합니다.

이 작업에 대해

클러스터에 노드를 추가할 때마다 보안 키 관리자 온보드 동기화 명령을 실행해야 합니다.

MetroCluster 구성이 있는 경우 을 실행해야 합니다 security key-manager onboard enable 먼저 로컬 클러스터에서 명령을 실행한 다음 를 실행합니다 security key-manager onboard sync 원격 클러스터에 대해 동일한 암호를 사용하여 명령을 실행합니다. 를 실행할 때 security key-manager onboard enable 로컬 클러스터에서 명령을 실행한 다음 원격 클러스터에서 동기화하면 를 실행할 필요가 없습니다 enable 명령을 원격 클러스터에서 다시 수행합니다.

자세히 알아보세요 security key-manager onboard enable 그리고 security key-manager onboard sync 에서"ONTAP 명령 참조입니다" .

기본적으로 노드를 재부팅할 때는 키 관리자 암호를 입력할 필요가 없습니다. 재부팅 후 사용자가 암호를 입력하도록 요구하려면 'cc-mode-enabled=yes' 옵션을 사용할 수 있습니다.

NVE의 경우 cc-mode-enabled=yes를 설정하면 볼륨 생성, 볼륨 이동 시작 명령을 사용하여 생성한 볼륨이 자동으로 암호화됩니다. 볼륨 만들기에는 -encrypt true를 지정할 필요가 없습니다. 볼륨 이동 시작의 경우 -encrypt-destination true를 지정하지 않아도 됩니다.

CSfC(Commercial Solutions for Classified) 요구 사항을 충족하기 위해 ONTAP 저장 데이터 암호화를 구성할 때 NSE와 NVE를 함께 사용해야 하며, Common Criteria 모드에서 Onboard Key Manager가 활성화되어 있는지 확인해야 합니다. 보다"CSDC 솔루션 요약" .

참고

Common Criteria 모드('cc-mode-enabled=yes')에서 Onboard Key Manager를 활성화하면 다음과 같은 방식으로 시스템 동작이 변경됩니다.

  • 시스템은 Common Criteria 모드에서 작동 중일 때 연속 실패한 클러스터 암호 시도를 모니터링합니다.

    클러스터 암호를 5번 입력하지 못하면 24시간을 기다리거나 노드를 재부팅하여 제한을 재설정하세요.

  • 시스템 이미지 업데이트는 NetApp RSA-3072 코드 서명 인증서와 SHA-384 코드 서명 다이제스트를 함께 사용하여 일반적인 NetApp RSA-2048 코드 서명 인증서와 SHA-256 코드 서명 다이제스트 대신 이미지 무결성을 확인합니다.

    업그레이드 명령은 다양한 디지털 서명을 검사하여 이미지 내용이 변경되거나 손상되지 않았는지 확인합니다. 검증에 성공하면 시스템은 이미지 업데이트 프로세스의 다음 단계로 진행합니다. 그렇지 않으면 이미지 업데이트에 실패합니다. 자세히 알아보세요 cluster image 에서"ONTAP 명령 참조입니다" .
참고 온보드 키 관리자는 키를 휘발성 메모리에 저장합니다. 휘발성 메모리 내용은 시스템이 재부팅되거나 중단되면 지워집니다. 시스템은 중단되면 30초 이내에 휘발성 메모리를 지웁니다.
시작하기 전에

  • 이 작업을 수행하려면 클러스터 관리자여야 합니다.

  • Onboard Key Manager를 구성하기 전에 MetroCluster 환경을 구성해야 합니다.

단계

  1. 키 관리자 설정을 시작합니다.

    '보안 키 관리자 온보드 활성화-cc-모드 사용 예|아니오'

    참고

    재부팅 후 키 관리자 암호를 입력하도록 하려면 'cc-mode-enabled=yes'를 설정합니다. NVE의 경우 cc-mode-enabled=yes를 설정하면 볼륨 생성, 볼륨 이동 시작 명령을 사용하여 생성한 볼륨이 자동으로 암호화됩니다. MetroCluster 구성에서는 '-cc-mode-enabled' 옵션이 지원되지 않습니다. 보안 키매니저 온보드 활성화 명령은 보안 키매니저 설정 명령을 대체합니다.

  2. 32~256자 사이의 암호를 입력하세요. "`cc-mode`"의 경우 64~256자 사이의 암호를 입력하세요.

    참고

    지정된 ""cc-mode"" 암호가 64자 미만이면 키 관리자 설정 작업에 암호 프롬프트가 다시 표시되기 전에 5초의 지연이 발생합니다.

  3. 암호 확인 프롬프트에서 암호를 다시 입력합니다.

  4. 인증 키가 생성되었는지 확인합니다.

    '보안 키 관리자 키 쿼리 - 키 유형 NSE-AK'

    참고 
    `security key-manager key query`명령이 `security key-manager query key` 명령을 대체합니다.

    에 대한 자세한 내용은 security key-manager key query "ONTAP 명령 참조입니다"을 참조하십시오.

  5. 선택적으로 일반 텍스트 볼륨을 암호화된 볼륨으로 변환할 수 있습니다.

    volume encryption conversion start

    볼륨을 변환하기 전에 Onboard Key Manager를 완전히 구성해야 합니다. MetroCluster 환경에서는 두 사이트 모두에서 Onboard Key Manager를 구성해야 합니다.

작업을 마친 후

나중에 사용할 수 있도록 암호를 스토리지 시스템 외부의 안전한 위치에 복사합니다.

온보드 키 관리자 암호를 구성한 후, 저장 시스템 외부의 안전한 위치에 정보를 수동으로 백업하세요. 보다"온보드 키 관리 정보를 수동으로 백업합니다" .

관련 정보