Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

NetApp 하드웨어 기반 암호화 개요 구성

기여자

NetApp 하드웨어 기반 암호화는 FDE(전체 디스크 암호화)가 쓰일 때 데이터를 지원합니다. 펌웨어에 저장된 암호화 키가 없으면 데이터를 읽을 수 없습니다. 암호화 키는 인증된 노드에서만 액세스할 수 있습니다.

NetApp 하드웨어 기반 암호화 이해

노드는 외부 키 관리 서버 또는 Onboard Key Manager에서 검색된 인증 키를 사용하여 자체 암호화 드라이브에 대해 자신을 인증합니다.

  • 외부 키 관리 서버는 KMIP(Key Management Interoperability Protocol)를 사용하여 노드에 키를 제공하는 스토리지 환경의 타사 시스템입니다. 데이터와 다른 스토리지 시스템에 있는 외부 키 관리 서버를 구성하는 것이 가장 좋습니다.

  • Onboard Key Manager는 데이터와 동일한 스토리지 시스템의 노드에 인증 키를 제공하는 기본 제공 도구입니다.

하드웨어 기반 암호화와 NetApp 볼륨 암호화를 사용하여 자체 암호화 드라이브에서 데이터를 "이중 암호화"할 수 있습니다.

자체 암호화 드라이브가 사용되면 코어 덤프도 암호화됩니다.

참고 HA 쌍이 암호화 SAS 또는 NVMe 드라이브(SED, NSE, FIPS)를 사용 중인 경우 항목의 지침을 따라야 합니다 FIPS 드라이브 또는 SED를 보호되지 않는 모드로 되돌리는 중입니다 시스템을 초기화하기 전에 HA 쌍 내의 모든 드라이브(부팅 옵션 4 또는 9) 이렇게 하지 않을 경우 드라이브를 용도 변경할 경우 향후의 데이터 손실이 발생할 수 있습니다.

지원되는 자체 암호화 드라이브 유형입니다

다음과 같은 두 가지 유형의 자체 암호화 드라이브가 지원됩니다.

  • 자체 암호화 FIPS 인증 SAS 또는 NVMe 드라이브가 모든 FAS 및 AFF 시스템에서 지원됩니다. FIPS 드라이브라고 하는 이러한 드라이브는 Federal Information Processing Standard Publication 140-2, 레벨 2의 요구 사항을 준수합니다. 인증된 기능을 통해 드라이브에 대한 서비스 거부 공격을 방지하는 것과 같은 암호화 외에도 보호 기능을 사용할 수 있습니다. FIPS 드라이브를 동일한 노드 또는 HA 쌍의 다른 유형의 드라이브와 혼합할 수 없습니다.

  • ONTAP 9.6부터 FIPS 테스트를 거치지 않은 자체 암호화 NVMe 드라이브가 AFF A800, A320 이상 시스템에서 지원됩니다. SED_라고 하는 이러한 드라이브는 FIPS 드라이브와 동일한 암호화 기능을 제공하지만 동일한 노드 또는 HA 쌍의 비암호화 드라이브와 혼합될 수 있습니다.

  • FIPS 검증을 거친 모든 드라이브는 FIPS 검증을 거친 펌웨어 암호화 모듈을 사용합니다. FIPS 드라이브 암호화 모듈은 드라이브 외부에서 생성된 키를 사용하지 않습니다(드라이브에 입력된 인증 암호는 드라이브의 펌웨어 암호화 모듈에서 키 암호화 키를 얻는 데 사용됩니다).

참고 비암호화 드라이브는 SED 또는 FIPS 드라이브가 아닌 드라이브입니다.
참고 Flash Cache 모듈이 있는 시스템에서 NSE를 사용하는 경우, NVE 또는 NAE도 활성화해야 합니다. NSE는 Flash Cache 모듈에 상주하는 데이터를 암호화하지 않습니다.

외부 키 관리 사용 시기

일반적으로 온보드 키 관리자를 사용하는 것이 더 저렴하고 더 편리하긴 하지만 다음 중 하나라도 해당하는 경우 외부 키 관리를 사용해야 합니다.

  • 조직의 정책에는 FIPS 140-2 레벨 2(또는 그 이상) 암호화 모듈을 사용하는 키 관리 솔루션이 필요합니다.

  • 암호화 키를 중앙 집중식으로 관리하는 다중 클러스터 솔루션이 필요합니다.

  • 기업은 인증 키를 시스템 또는 데이터와 다른 위치에 저장하는 추가적인 보안을 필요로 합니다.

지원 세부 정보

다음 표에는 중요한 하드웨어 암호화 지원 세부 정보가 나와 있습니다. 지원되는 KMIP 서버, 스토리지 시스템 및 디스크 쉘프에 대한 최신 정보는 상호 운용성 매트릭스 를 참조하십시오.

리소스 또는 기능

지원 세부 정보

비동종 디스크 세트

  • FIPS 드라이브를 동일한 노드 또는 HA 쌍의 다른 유형의 드라이브와 혼합할 수 없습니다. HA 쌍을 준수하는 것은 동일한 클러스터에서 규정을 준수하지 않는 HA 쌍과 공존할 수 있습니다.

  • SED는 동일한 노드 또는 HA 쌍에서 비암호화 드라이브와 혼합될 수 있습니다.

드라이브 유형입니다

  • FIPS 드라이브는 SAS 또는 NVMe 드라이브가 될 수 있습니다.

  • SED는 NVMe 드라이브여야 합니다.

10Gb 네트워크 인터페이스

ONTAP 9.3부터 KMIP 키 관리 구성은 외부 키 관리 서버와의 통신을 위한 10Gb 네트워크 인터페이스를 지원합니다.

키 관리 서버와의 통신을 위한 포트

ONTAP 9.3부터는 모든 스토리지 컨트롤러 포트를 사용하여 키 관리 서버와 통신할 수 있습니다. 그렇지 않으면 키 관리 서버와 통신하기 위해 e0M 포트를 사용해야 합니다. 스토리지 컨트롤러 모델에 따라 부팅 프로세스 중에 키 관리 서버와 통신하기 위해 특정 네트워크 인터페이스를 사용하지 못할 수 있습니다.

MetroCluster(MCC)

  • NVMe 드라이브는 MCC를 지원합니다.

  • SAS 드라이브는 MCC를 지원하지 않습니다.

하드웨어 기반 암호화 워크플로우

클러스터가 자체 암호화 드라이브에 인증하려면 키 관리 서비스를 구성해야 합니다. 외부 키 관리 서버 또는 온보드 키 관리자를 사용할 수 있습니다.

하드웨어 기반 암호화 워크플로우