키 관리 서버 사용에 대한 고려 사항 및 요구 사항
외부 키 관리 서버(KMS)를 구성하기 전에 고려 사항 및 요구 사항을 이해해야 합니다.
KMIP 요구사항은 무엇입니까?
StorageGRID는 KMIP 버전 1.4를 지원합니다.
어플라이언스 노드와 구성된 KMS 간의 통신은 보안 TLS 연결을 사용합니다. StorageGRID는 KMIP에 대해 다음 TLS v1.2 암호를 지원합니다.
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
노드 암호화를 사용하는 각 어플라이언스 노드에서 사이트에 대해 구성한 KMS 또는 KMS 클러스터에 대한 네트워크 액세스 권한이 있는지 확인해야 합니다.
네트워크 방화벽 설정을 통해 각 어플라이언스 노드가 KMIP(Key Management Interoperability Protocol) 통신에 사용되는 포트를 통해 통신할 수 있어야 합니다. 기본 KMIP 포트는 5696입니다.
어떤 어플라이언스가 지원됩니까?
KMS(키 관리 서버)를 사용하여 * 노드 암호화 * 설정이 활성화된 그리드에 있는 StorageGRID 어플라이언스의 암호화 키를 관리할 수 있습니다. 이 설정은 StorageGRID 어플라이언스 설치 프로그램을 사용하여 어플라이언스 설치의 하드웨어 구성 단계에서만 활성화할 수 있습니다.
어플라이언스를 그리드에 추가한 후에는 노드 암호화를 활성화할 수 없으며 노드 암호화가 활성화되지 않은 어플라이언스의 경우 외부 키 관리를 사용할 수 없습니다. |
다음 StorageGRID 어플라이언스 및 어플라이언스 노드에 대해 구성된 KMS를 사용할 수 있습니다.
어플라이언스 | 노드 유형입니다 |
---|---|
SG1000 서비스 어플라이언스 |
관리자 노드 또는 게이트웨이 노드 |
SG100 서비스 어플라이언스 |
관리자 노드 또는 게이트웨이 노드 |
SG6000 스토리지 어플라이언스 |
스토리지 노드 |
SG5700 스토리지 어플라이언스 |
스토리지 노드 |
SG5600 스토리지 어플라이언스 |
스토리지 노드 |
다음을 포함하여 소프트웨어 기반(비어플라이언스) 노드에 대해 구성된 KMS를 사용할 수 없습니다.
-
가상 머신(VM)으로 구축된 노드
-
Linux 호스트의 Docker 컨테이너 내에 구축된 노드
이러한 다른 플랫폼에 구축된 노드는 StorageGRID 외부의 데이터 저장소 또는 디스크 레벨에서 암호화를 사용할 수 있습니다.
키 관리 서버는 언제 구성해야 합니까?
새 설치의 경우 일반적으로 테넌트를 생성하기 전에 Grid Manager에서 하나 이상의 키 관리 서버를 설정해야 합니다. 이 순서를 사용하면 오브젝트 데이터가 노드에 저장되기 전에 노드가 보호됩니다.
어플라이언스 노드를 설치하기 전이나 설치한 후에 Grid Manager에서 키 관리 서버를 구성할 수 있습니다.
몇 개의 키 관리 서버가 필요합니까?
StorageGRID 시스템의 어플라이언스 노드에 암호화 키를 제공하도록 하나 이상의 외부 키 관리 서버를 구성할 수 있습니다. 각 KMS는 단일 사이트 또는 사이트 그룹의 StorageGRID 어플라이언스 노드에 단일 암호화 키를 제공합니다.
StorageGRID는 KMS 클러스터 사용을 지원합니다. 각 KMS 클러스터에는 구성 설정 및 암호화 키를 공유하는 여러 개의 복제된 키 관리 서버가 포함되어 있습니다. KMS 클러스터를 사용하여 키 관리를 수행하는 것이 좋습니다. KMS 클러스터는 고가용성 구성의 장애 조치 기능을 개선하므로 이 기능을 사용하는 것이 좋습니다.
예를 들어, StorageGRID 시스템에 데이터 센터 사이트가 3개 있다고 가정합니다. 다른 모든 사이트의 모든 어플라이언스 노드에 키를 제공하도록 하나의 KMS 클러스터를 구성하여 Data Center 1의 모든 어플라이언스 노드와 두 번째 KMS 클러스터에 키를 제공할 수 있습니다. 두 번째 KMS 클러스터를 추가하면 데이터 센터 2 및 데이터 센터 3에 대한 기본 KMS를 구성할 수 있습니다.
비어플라이언스 노드나 설치 중에 * 노드 암호화 * 설정이 활성화되지 않은 어플라이언스 노드에 대해 KMS를 사용할 수 없습니다.
키를 회전하면 어떻게 됩니까?
보안 모범 사례로서 구성된 각 KMS에서 사용하는 암호화 키를 주기적으로 순환시켜야 합니다.
암호화 키를 회전할 때 KMS 소프트웨어를 사용하여 마지막으로 사용된 키 버전에서 동일한 키의 새 버전으로 회전합니다. 완전히 다른 키로 회전하지 마십시오.
Grid Manager에서 KMS의 키 이름(별칭)을 변경하여 키를 회전하려고 하지 마십시오. 대신 KMS 소프트웨어의 키 버전을 업데이트하여 키를 돌리십시오. 이전 키에 사용된 것과 동일한 키 별칭을 새 키에 사용합니다. 구성된 KMS의 키 별칭을 변경하면 StorageGRID에서 데이터의 암호를 해독하지 못할 수 있습니다. |
새 키 버전을 사용할 수 있는 경우:
-
KMS와 관련된 사이트 또는 사이트의 암호화된 어플라이언스 노드에 자동으로 배포됩니다. 키는 회전된 후 1시간 내에 분포되어야 합니다.
-
새 키 버전이 배포될 때 암호화된 어플라이언스 노드가 오프라인이면 재부팅되는 즉시 새 키가 노드에 수신됩니다.
-
새 키 버전을 사용하여 어플라이언스 볼륨을 암호화할 수 없는 경우 어플라이언스 노드에 대해 * KMS 암호화 키 회전 실패 * 경고가 트리거됩니다. 이 경고를 해결하려면 기술 지원 부서에 문의해야 할 수도 있습니다.
어플라이언스 노드를 암호화한 후 다시 사용할 수 있습니까?
암호화된 어플라이언스를 다른 StorageGRID 시스템에 설치해야 하는 경우 오브젝트 데이터를 다른 노드로 이동하려면 먼저 그리드 노드를 해제해야 합니다. 그런 다음 StorageGRID 어플라이언스 설치 프로그램을 사용하여 KMS 구성을 지울 수 있습니다. KMS 구성을 지우면 * 노드 암호화 * 설정이 비활성화되고 StorageGRID 사이트에 대한 어플라이언스 노드와 KMS 구성 간의 연결이 제거됩니다.
KMS 암호화 키에 액세스할 수 없으므로 어플라이언스에 남아 있는 데이터는 더 이상 액세스할 수 없으며 영구적으로 잠깁니다. |