Cloud Volumes ONTAP 데이터 암호화 및 랜섬웨어 보호에 대해 알아보세요
변경 제안
PDF
Cloud Volumes ONTAP 데이터 암호화를 지원하고 바이러스 및 랜섬웨어로부터 보호합니다.
저장 중인 데이터의 암호화
Cloud Volumes ONTAP 다음과 같은 암호화 기술을 지원합니다.
-
NetApp 암호화 솔루션(NVE 및 NAE)
-
AWS 키 관리 서비스
-
Azure Storage 서비스 암호화
-
Google Cloud Platform 기본 암호화
클라우드 공급업체의 기본 암호화와 함께 NetApp 암호화 솔루션을 사용하면 하이퍼바이저 수준에서 데이터를 암호화할 수 있습니다. 그렇게 하면 매우 민감한 데이터의 경우 바람직할 수 있는 이중 암호화가 제공됩니다. 암호화된 데이터에 액세스하면 두 번 암호화가 해제됩니다. 한 번은 하이퍼바이저 수준에서(클라우드 공급업체의 키를 사용하여) 해제되고, 두 번째는 NetApp 암호화 솔루션을 사용하여(외부 키 관리자의 키를 사용하여) 해제됩니다.
NetApp 암호화 솔루션(NVE 및 NAE)
Cloud Volumes ONTAP 지원 "NetApp 볼륨 암호화(NVE) 및 NetApp 집계 암호화(NAE)" . NVE와 NAE는 볼륨의 (FIPS) 140-2 규격에 따른 저장 데이터 암호화를 지원하는 소프트웨어 기반 솔루션입니다. NVE와 NAE는 모두 AES 256비트 암호화를 사용합니다.
-
NVE는 저장 중인 데이터를 한 번에 한 볼륨씩 암호화합니다. 각 데이터 볼륨에는 고유한 암호화 키가 있습니다.
-
NAE는 NVE의 확장 버전으로, 각 볼륨의 데이터를 암호화하고 볼륨은 전체 집계에서 키를 공유합니다. NAE를 사용하면 집계된 모든 볼륨의 공통 블록을 중복 제거할 수도 있습니다.
Cloud Volumes ONTAP Fortanix와 같은 타사 솔루션을 포함하여 AWS, Azure, Google Cloud에서 제공하는 외부 키 관리 서비스(EKM)를 통해 NVE와 NAE를 모두 지원합니다. ONTAP 과 달리 Cloud Volumes ONTAP 의 경우 암호화 키는 ONTAP 아닌 클라우드 공급자 측에서 생성됩니다.
Cloud Volumes ONTAP ONTAP 사용하는 표준 KMIP(Key Management Interoperability Protocol) 서비스를 사용합니다. 지원되는 서비스에 대한 자세한 내용은 다음을 참조하세요. "상호 운용성 매트릭스 도구" .
NVE를 사용하는 경우 클라우드 공급자의 키 보관소를 사용하여 ONTAP 암호화 키를 보호하는 옵션이 있습니다.
-
AWS 키 관리 서비스(KMS)
-
Azure 키 보관소(AKV)
-
Google Cloud 키 관리 서비스
외부 키 관리자를 설정한 후에는 새로운 집계에서 기본적으로 NetApp 집계 암호화(NAE)가 활성화됩니다. NAE 집계에 포함되지 않은 새 볼륨에는 기본적으로 NVE가 활성화되어 있습니다(예: 외부 키 관리자를 설정하기 전에 생성된 기존 집계가 있는 경우).
지원되는 키 관리자를 설정하는 것이 유일하게 필요한 단계입니다. 설정 지침은 다음을 참조하세요."NetApp 암호화 솔루션으로 볼륨 암호화" .
AWS 키 관리 서비스
AWS에서 Cloud Volumes ONTAP 시스템을 시작하면 다음을 사용하여 데이터 암호화를 활성화할 수 있습니다. "AWS 키 관리 서비스(KMS)" . NetApp 콘솔은 고객 마스터 키(CMK)를 사용하여 데이터 키를 요청합니다.
|
Cloud Volumes ONTAP 시스템을 생성한 후에는 AWS 데이터 암호화 방법을 변경할 수 없습니다. |
이 암호화 옵션을 사용하려면 AWS KMS가 적절하게 설정되어 있는지 확인해야 합니다. 자세한 내용은 다음을 참조하세요."AWS KMS 설정" .
Azure Storage 서비스 암호화
Azure의 Cloud Volumes ONTAP 에서 데이터는 자동으로 암호화됩니다. "Azure Storage 서비스 암호화" Microsoft에서 관리하는 키를 사용합니다.
원하시면 자체 암호화 키를 사용하실 수 있습니다. "Azure에서 고객 관리 키를 사용하도록 Cloud Volumes ONTAP 설정하는 방법을 알아보세요." .
Google Cloud Platform 기본 암호화
"Google Cloud Platform 저장 데이터 암호화"Cloud Volumes ONTAP 에서는 기본적으로 활성화되어 있습니다. 설정이 필요하지 않습니다.
Google Cloud Storage는 디스크에 쓰기 전에 항상 데이터를 암호화하지만, Console API를 사용하면 _고객 관리 암호화 키_를 사용하는 Cloud Volumes ONTAP 시스템을 만들 수 있습니다. 이러한 키는 Cloud Key Management Service를 사용하여 GCP에서 생성하고 관리하는 키입니다. "자세히 알아보기" .
ONTAP 바이러스 검사
ONTAP 시스템에서 통합된 바이러스 백신 기능을 사용하면 바이러스나 기타 악성 코드로 인해 데이터가 손상되는 것을 방지할 수 있습니다.
ONTAP 바이러스 검사(_Vscan_이라고 함)는 동급 최고의 타사 바이러스 백신 소프트웨어와 ONTAP 기능을 결합하여 어떤 파일을 언제 검사할지 제어하는 데 필요한 유연성을 제공합니다.
Vscan에서 지원하는 공급업체, 소프트웨어 및 버전에 대한 정보는 다음을 참조하십시오. "NetApp 상호 운용성 매트릭스" .
ONTAP 시스템에서 바이러스 백신 기능을 구성하고 관리하는 방법에 대한 정보는 다음을 참조하십시오. "ONTAP 9 바이러스 백신 구성 가이드" .
랜섬웨어 보호
랜섬웨어 공격은 기업의 시간, 자원, 평판을 앗아갈 수 있습니다. 콘솔을 사용하면 가시성, 탐지 및 치료를 위한 효과적인 도구를 제공하는 랜섬웨어에 대한 NetApp 솔루션을 구현할 수 있습니다.
-
콘솔은 스냅샷 정책으로 보호되지 않는 볼륨을 식별하고 해당 볼륨에서 기본 스냅샷 정책을 활성화할 수 있도록 합니다.
스냅샷 사본은 읽기 전용이므로 랜섬웨어로 인한 손상을 방지할 수 있습니다. 또한 단일 파일 사본이나 완전한 재해 복구 솔루션의 이미지를 만드는 세분성을 제공할 수도 있습니다.
-
콘솔을 사용하면 ONTAP의 FPolicy 솔루션을 활성화하여 일반적인 랜섬웨어 파일 확장자를 차단할 수도 있습니다.
