전송 중인 IPsec 데이터 암호화
데이터 복제 트래픽을 위해 NSE(NetApp Storage Encryption), NVE(NetApp Volume Encryption), CPE(클러스터 피어링 암호화)와 같은 유휴 데이터 암호화 기술을 사용하는 고객은 이제 ONTAP 9.8 이상으로 업그레이드하고 를 사용하여 하이브리드 멀티 클라우드 Data Fabric 전반에서 클라이언트와 스토리지 간에 엔드 투 엔드 암호화를 사용할 수 있습니다 IPsec을 선택합니다. IPsec은 NFS 또는 SMB/CIFS 암호화에 대한 대안을 제공하며 iSCSI 트래픽에 대한 전송 중인 유일한 암호화 옵션입니다.
경우에 따라 유선을 통해(또는 전송 중인) ONTAP SVM으로 전송되는 모든 클라이언트 데이터를 보호해야 할 필요가 있을 수 있습니다. 이렇게 하면 전송 중에 중요 데이터에 대한 재생 및 악의적인 메시지 가로채기 공격이 방지됩니다.
ONTAP 9.8부터 IPsec(인터넷 프로토콜 보안)은 클라이언트와 ONTAP SVM 간의 모든 IP 트래픽에 엔드 투 엔드 암호화 지원을 제공합니다. 모든 IP 트래픽에 대한 IPsec 데이터 암호화에는 NFS, iSCSI 및 SMB/CIFS 프로토콜이 포함됩니다. IPsec은 iSCSI 트래픽에 대해 전송 중인 유일한 암호화 옵션을 제공합니다.
유선을 통해 NFS 암호화를 제공하는 것은 IPsec의 주요 사용 사례 중 하나입니다. ONTAP 9.8 이전에는 NFS 유선 암호화 기능이 krb5p를 활용하여 전송 중인 NFS 데이터를 암호화하려면 Kerberos를 설정하고 구성해야 했습니다. 모든 고객 환경에서 이것이 항상 단순하거나 쉽게 달성되는 것은 아닙니다.
데이터 복제 트래픽을 위해 NSE(NetApp Storage Encryption), NVE(NetApp Volume Encryption), CPE(클러스터 피어링 암호화)와 같은 유휴 데이터 암호화 기술을 사용하는 고객은 이제 ONTAP 9.8 이상으로 업그레이드하고 를 사용하여 하이브리드 멀티 클라우드 Data Fabric 전반에서 클라이언트와 스토리지 간에 엔드 투 엔드 암호화를 사용할 수 있습니다 IPsec을 선택합니다.
IPSec은 IETF 표준입니다. ONTAP는 전송 모드에서 IPsec을 사용합니다. 또한 IPv4 또는 IPv6를 사용하여 클라이언트와 ONTAP 간의 키 자료를 협상하기 위해 사전 공유 키(PSK)를 사용하는 IKE(인터넷 키 교환) 프로토콜 버전 2를 활용합니다. 기본적으로 IPsec은 Suite-B AES-GCM 256비트 암호화를 사용합니다. 256비트 암호화를 지원하는 Suite-B AES-GMAC256 및 AES-CBC256도 지원됩니다.
클러스터에서 IPsec 기능을 활성화해야 하지만 SPD(보안 정책 데이터베이스) 항목을 사용하여 개별 SVM IP 주소에 적용됩니다. 정책(SPD) 항목에는 클라이언트 IP 주소(원격 IP 서브넷), SVM IP 주소(로컬 IP 서브넷), 사용할 암호화 암호 그룹 및 IKEv2를 통해 인증하고 IPsec 연결을 설정하는 데 필요한 사전 공유 암호(PSK)가 포함됩니다. 트래픽이 IPsec 연결을 통해 전달되기 전에 IPsec 정책 항목 외에 클라이언트가 동일한 정보(로컬 및 원격 IP, PSK 및 암호 그룹)로 구성되어야 합니다. ONTAP 9.10.1부터 IPsec 인증서 인증 지원이 추가되었습니다. 이렇게 하면 IPsec 정책 제한이 제거되고 IPsec에 대한 Windows OS 지원이 활성화됩니다.
클라이언트와 SVM IP 주소 사이에 방화벽이 있는 경우 IKEv2 협상이 성공하고 IPsec 트래픽을 허용하려면 ESP 및 UDP(포트 500 및 4500) 프로토콜(인바운드(수신) 및 아웃바운드(송신) 모두 허용해야 합니다.
NetApp SnapMirror 및 클러스터 피어링 트래픽 암호화의 경우, 유선으로 전송되는 안전한 이동을 위해 IPsec보다 CPE(클러스터 피어링 암호화)를 사용하는 것이 좋습니다. CPE는 이러한 워크로드에 대해 IPsec보다 우수한 성능을 제공합니다. IPsec에 대한 라이선스가 필요하지 않으며 가져오기 또는 내보내기 제한이 없습니다.
다음 예에 표시된 것처럼 클러스터에서 IPsec을 활성화하고 단일 클라이언트 및 단일 SVM IP 주소에 대한 SPD 항목을 만들 수 있습니다.
On the Destination Cluster Peer cluster1::> security ipsec config modify -is-enabled true cluster1::> security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 When prompted enter and confirm the pre shared secret (PSK).