ONTAP 9.6 이상(NVE)에서 온보드 키 관리 지원
변경 제안
PDF
Onboard Key Manager를 사용하여 클러스터가 암호화된 데이터에 액세스하는 데 사용하는 키를 보호할 수 있습니다. 암호화된 볼륨 또는 자체 암호화 디스크에 액세스하는 각 클러스터에서 Onboard Key Manager를 활성화해야 합니다.
클러스터에 노드를 추가할 때마다 보안 키 관리자 온보드 동기화 명령을 실행해야 합니다.
MetroCluster 구성이 있는 경우 을 실행해야 합니다 security key-manager onboard enable 먼저 로컬 클러스터에서 명령을 실행한 다음 를 실행합니다 security key-manager onboard sync 원격 클러스터에 대해 동일한 암호를 사용하여 명령을 실행합니다. 를 실행할 때 security key-manager onboard enable 로컬 클러스터에서 명령을 실행한 다음 원격 클러스터에서 동기화하면 를 실행할 필요가 없습니다 enable 명령을 원격 클러스터에서 다시 수행합니다.
기본적으로 노드를 재부팅할 때는 키 관리자 암호를 입력할 필요가 없습니다. 재부팅 후 사용자가 암호를 입력하도록 요구하려면 'cc-mode-enabled=yes' 옵션을 사용할 수 있습니다.
NVE의 경우 cc-mode-enabled=yes를 설정하면 볼륨 생성, 볼륨 이동 시작 명령을 사용하여 생성한 볼륨이 자동으로 암호화됩니다. 볼륨 만들기에는 -encrypt true를 지정할 필요가 없습니다. 볼륨 이동 시작의 경우 -encrypt-destination true를 지정하지 않아도 됩니다.
ONTAP 저장 시 데이터 암호화를 구성할 때 CSDC(Commercial Solutions for Classified)에 대한 요구사항을 충족하려면 NSE를 NVE와 함께 사용해야 하며 온보드 키 관리자가 일반 조건 모드에서 활성화되도록 해야 합니다. 을 참조하십시오 "CSDC 솔루션 요약" CSfC에 대한 자세한 내용은
|
Common Criteria 모드('cc-mode-enabled=yes')에서 Onboard Key Manager를 활성화하면 다음과 같은 방식으로 시스템 동작이 변경됩니다.
|
|
|
Onboard Key Manager는 휘발성 메모리에 키를 저장합니다. 시스템을 재부팅하거나 정지하면 휘발성 메모리 내용이 지워집니다. 정상적인 작동 조건에서는 시스템을 정지하면 30초 이내에 휘발성 메모리 콘텐츠가 지워집니다. |
-
이 작업을 수행하려면 클러스터 관리자여야 합니다.
-
Onboard Key Manager를 구성하기 전에 MetroCluster 환경을 구성해야 합니다.
-
키 관리자 설정을 시작합니다.
'보안 키 관리자 온보드 활성화-cc-모드 사용 예|아니오'
재부팅 후 키 관리자 암호를 입력하도록 하려면 'cc-mode-enabled=yes'를 설정합니다. NVE의 경우 cc-mode-enabled=yes를 설정하면 볼륨 생성, 볼륨 이동 시작 명령을 사용하여 생성한 볼륨이 자동으로 암호화됩니다. MetroCluster 구성에서는 '-cc-mode-enabled' 옵션이 지원되지 않습니다. 보안 키매니저 온보드 활성화 명령은 보안 키매니저 설정 명령을 대체합니다.
다음 예제에서는 재부팅할 때마다 암호를 입력할 필요 없이 키 관리자 설치 명령을 cluster1에서 시작합니다.
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
암호문 프롬프트에서 32자에서 256자 사이의 암호문을 입력하거나 64에서 256자 사이의 암호문을 "cc-mode"로 입력합니다.
지정된 ""cc-mode"" 암호가 64자 미만이면 키 관리자 설정 작업에 암호 프롬프트가 다시 표시되기 전에 5초의 지연이 발생합니다.
-
암호 확인 프롬프트에서 암호를 다시 입력합니다.
-
인증 키가 생성되었는지 확인합니다.
'보안 키 관리자 키 쿼리 - 키 유형 NSE-AK'
보안 키-관리자 키 쿼리 명령은 보안 키-관리자 쿼리 키 명령을 대체합니다. 전체 명령 구문은 man 페이지를 참조하십시오.
다음 예제에서는 "cluster1"에 대해 인증 키가 생성되었는지 확인합니다.
cluster1::> security key-manager key query -key-type NSE-AK Node: node1 Vserver: cluster1 Key Manager: onboard Key Manager Type: OKM Key Manager Policy: - Key Tag Key Type Encryption Restored ------------------------------------ -------- ------------ -------- node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000 node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000 2 entries were displayed. -
필요한 경우 일반 텍스트 볼륨을 암호화된 볼륨으로 변환합니다.
volume encryption conversion start볼륨을 변환하기 전에 Onboard Key Manager를 완전히 구성해야 합니다. MetroCluster 환경에서는 두 사이트 모두에서 Onboard Key Manager를 구성해야 합니다.
나중에 사용할 수 있도록 암호를 스토리지 시스템 외부의 안전한 위치에 복사합니다.
Onboard Key Manager 암호를 구성할 때마다 재해 발생 시 사용할 수 있도록 정보를 스토리지 시스템 외부의 안전한 위치에 수동으로 백업해야 합니다. 을 참조하십시오 "온보드 키 관리 정보를 수동으로 백업합니다".