Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 9.6 이상(NVE)에서 온보드 키 관리 지원

기여자

Onboard Key Manager를 사용하여 클러스터가 암호화된 데이터에 액세스하는 데 사용하는 키를 보호할 수 있습니다. 암호화된 볼륨 또는 자체 암호화 디스크에 액세스하는 각 클러스터에서 Onboard Key Manager를 활성화해야 합니다.

이 작업에 대해

클러스터에 노드를 추가할 때마다 보안 키 관리자 온보드 동기화 명령을 실행해야 합니다.

MetroCluster 구성이 있는 경우 을 실행해야 합니다 security key-manager onboard enable 먼저 로컬 클러스터에서 명령을 실행한 다음 를 실행합니다 security key-manager onboard sync 원격 클러스터에 대해 동일한 암호를 사용하여 명령을 실행합니다. 를 실행할 때 security key-manager onboard enable 로컬 클러스터에서 명령을 실행한 다음 원격 클러스터에서 동기화하면 를 실행할 필요가 없습니다 enable 명령을 원격 클러스터에서 다시 수행합니다.

기본적으로 노드를 재부팅할 때는 키 관리자 암호를 입력할 필요가 없습니다. 재부팅 후 사용자가 암호를 입력하도록 요구하려면 'cc-mode-enabled=yes' 옵션을 사용할 수 있습니다.

NVE의 경우 cc-mode-enabled=yes를 설정하면 볼륨 생성, 볼륨 이동 시작 명령을 사용하여 생성한 볼륨이 자동으로 암호화됩니다. 볼륨 만들기에는 -encrypt true를 지정할 필요가 없습니다. 볼륨 이동 시작의 경우 -encrypt-destination true를 지정하지 않아도 됩니다.

ONTAP 저장 시 데이터 암호화를 구성할 때 CSDC(Commercial Solutions for Classified)에 대한 요구사항을 충족하려면 NSE를 NVE와 함께 사용해야 하며 온보드 키 관리자가 일반 조건 모드에서 활성화되도록 해야 합니다. 을 참조하십시오 "CSDC 솔루션 요약" CSfC에 대한 자세한 내용은

참고

Common Criteria 모드('cc-mode-enabled=yes')에서 Onboard Key Manager를 활성화하면 다음과 같은 방식으로 시스템 동작이 변경됩니다.

  • 시스템은 Common Criteria 모드에서 작동 중일 때 연속 실패한 클러스터 암호 시도를 모니터링합니다.

    부팅 시 올바른 클러스터 암호를 입력하지 않으면 암호화된 볼륨이 마운트되지 않습니다. 이 문제를 해결하려면 노드를 재부팅하고 올바른 클러스터 암호를 입력해야 합니다. 시스템이 부팅되면 24시간 동안 클러스터 암호를 매개 변수로 요구하는 명령에 대해 최대 5회 연속 클러스터 암호를 올바르게 입력할 수 있습니다. 제한에 도달한 경우(예: 클러스터 암호를 5회 연속으로 올바르게 입력하지 않은 경우) 24시간 제한 시간이 경과할 때까지 기다리거나 노드를 재부팅하여 제한을 재설정해야 합니다.

  • 시스템 이미지 업데이트는 NetApp RSA-3072 코드 서명 인증서와 SHA-384 코드 서명 다이제스트를 함께 사용하여 일반적인 NetApp RSA-2048 코드 서명 인증서와 SHA-256 코드 서명 다이제스트 대신 이미지 무결성을 확인합니다.

    업그레이드 명령은 다양한 디지털 서명을 확인하여 이미지 내용이 변경되거나 손상되지 않았는지 확인합니다. 유효성 검사에 성공하면 이미지 업데이트 프로세스가 다음 단계로 진행되고, 그렇지 않으면 이미지 업데이트가 실패합니다. 를 참조하십시오 cluster image 시스템 업데이트에 대한 정보를 보려면 man 페이지를 참조하십시오.

참고 Onboard Key Manager는 휘발성 메모리에 키를 저장합니다. 시스템을 재부팅하거나 정지하면 휘발성 메모리 내용이 지워집니다. 정상적인 작동 조건에서는 시스템을 정지하면 30초 이내에 휘발성 메모리 콘텐츠가 지워집니다.
시작하기 전에
  • 이 작업을 수행하려면 클러스터 관리자여야 합니다.

  • Onboard Key Manager를 구성하기 전에 MetroCluster 환경을 구성해야 합니다.

단계
  1. 키 관리자 설정을 시작합니다.

    '보안 키 관리자 온보드 활성화-cc-모드 사용 예|아니오'

    참고

    재부팅 후 키 관리자 암호를 입력하도록 하려면 'cc-mode-enabled=yes'를 설정합니다. NVE의 경우 cc-mode-enabled=yes를 설정하면 볼륨 생성, 볼륨 이동 시작 명령을 사용하여 생성한 볼륨이 자동으로 암호화됩니다. MetroCluster 구성에서는 '-cc-mode-enabled' 옵션이 지원되지 않습니다. 보안 키매니저 온보드 활성화 명령은 보안 키매니저 설정 명령을 대체합니다.

    다음 예제에서는 재부팅할 때마다 암호를 입력할 필요 없이 키 관리자 설치 명령을 cluster1에서 시작합니다.

    cluster1::> security key-manager onboard enable
    
    Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. 암호문 프롬프트에서 32자에서 256자 사이의 암호문을 입력하거나 64에서 256자 사이의 암호문을 "cc-mode"로 입력합니다.

    참고

    지정된 ""cc-mode"" 암호가 64자 미만이면 키 관리자 설정 작업에 암호 프롬프트가 다시 표시되기 전에 5초의 지연이 발생합니다.

  3. 암호 확인 프롬프트에서 암호를 다시 입력합니다.

  4. 인증 키가 생성되었는지 확인합니다.

    '보안 키 관리자 키 쿼리 - 키 유형 NSE-AK'

    참고

    보안 키-관리자 키 쿼리 명령은 보안 키-관리자 쿼리 키 명령을 대체합니다. 전체 명령 구문은 man 페이지를 참조하십시오.

    다음 예제에서는 "cluster1"에 대해 인증 키가 생성되었는지 확인합니다.

    cluster1::> security key-manager key query -key-type NSE-AK
                   Node: node1
                Vserver: cluster1
            Key Manager: onboard
       Key Manager Type: OKM
     Key Manager Policy: -
    
     Key Tag                               Key Type Encryption   Restored
    
    ------------------------------------  -------- ------------ --------
    
    node1                                 NSE-AK   AES-256      true
    
        Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000
    
    node1                                 NSE-AK   AES-256      true
    
        Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000
    
    2 entries were displayed.
  5. 필요한 경우 일반 텍스트 볼륨을 암호화된 볼륨으로 변환합니다.

    volume encryption conversion start

    볼륨을 변환하기 전에 Onboard Key Manager를 완전히 구성해야 합니다. MetroCluster 환경에서는 두 사이트 모두에서 Onboard Key Manager를 구성해야 합니다.

작업을 마친 후

나중에 사용할 수 있도록 암호를 스토리지 시스템 외부의 안전한 위치에 복사합니다.

Onboard Key Manager 암호를 구성할 때마다 재해 발생 시 사용할 수 있도록 정보를 스토리지 시스템 외부의 안전한 위치에 수동으로 백업해야 합니다. 을 참조하십시오 "온보드 키 관리 정보를 수동으로 백업합니다".