StorageGRID 암호화 방법을 검토합니다
StorageGRID는 데이터 암호화를 위한 다양한 옵션을 제공합니다. 사용 가능한 방법을 검토하여 데이터 보호 요구 사항을 충족하는 방법을 결정해야 합니다.
이 표는 StorageGRID에서 사용할 수 있는 암호화 방법에 대한 상위 수준의 요약을 제공합니다.
암호화 옵션 | 작동 방식 | 적용 대상 | ||
---|---|---|---|---|
Grid Manager의 키 관리 서버(KMS) |
StorageGRID 사이트(* 구성 * > * 보안 * > * 키 관리 서버 *)에 대한 키 관리 서버를 구성하고 어플라이언스에 대한 노드 암호화를 활성화합니다. 그런 다음 어플라이언스 노드가 KMS에 연결하여 키 암호화 키(KEK)를 요청합니다. 이 키는 각 볼륨의 DEK(데이터 암호화 키)를 암호화하고 해독합니다. |
설치 중에 * 노드 암호화 * 가 활성화된 어플라이언스 노드 어플라이언스의 모든 데이터는 물리적 손실이나 데이터 센터에서 제거되는 것을 방지합니다.
|
||
SANtricity 시스템 관리자의 드라이브 보안 |
스토리지 어플라이언스에 대해 드라이브 보안 기능이 설정된 경우 SANtricity 시스템 관리자를 사용하여 보안 키를 생성하고 관리할 수 있습니다. 보안 드라이브의 데이터에 액세스하려면 키가 필요합니다. |
FDE(전체 디스크 암호화) 드라이브 또는 FIPS(Federal Information Processing Standard) 드라이브를 사용하는 스토리지 어플라이언스 보안 드라이브의 모든 데이터는 데이터 센터에서 물리적 손실 또는 제거로부터 보호됩니다. 일부 스토리지 어플라이언스 또는 서비스 어플라이언스와 함께 사용할 수 없습니다. |
||
저장 객체 암호화 그리드 옵션 |
저장된 개체 암호화 * 옵션은 그리드 관리자(* 구성 * > * 시스템 * > * 그리드 옵션 *)에서 활성화할 수 있습니다. 활성화되면 버킷 레벨 또는 오브젝트 레벨에서 암호화되지 않은 새로운 객체는 수집 중에 암호화됩니다. |
새로 수집된 S3 및 Swift 오브젝트 데이터 저장된 기존 객체는 암호화되지 않습니다. 오브젝트 메타데이터 및 기타 중요한 데이터는 암호화되지 않습니다. |
||
S3 버킷 암호화 |
버킷에 대한 암호화를 활성화하기 위해 Put Bucket 암호화 요청을 발급합니다. 오브젝트 레벨에서 암호화되지 않은 새로운 모든 오브젝트는 수집 중에 암호화됩니다. |
새로 수집된 S3 오브젝트 데이터만 버킷에 대해 암호화를 지정해야 합니다. 기존 버킷 객체는 암호화되지 않습니다. 오브젝트 메타데이터 및 기타 중요한 데이터는 암호화되지 않습니다. |
||
S3 오브젝트 서버 측 암호화(SSE) |
오브젝트를 저장할 S3 요청을 발행하고 'x-amz-서버측-암호화' 요청 헤더를 포함시킵니다. |
새로 수집된 S3 오브젝트 데이터만 객체에 대해 암호화를 지정해야 합니다. 오브젝트 메타데이터 및 기타 중요한 데이터는 암호화되지 않습니다. StorageGRID가 키를 관리합니다. |
||
고객이 제공한 키(SSE-C)를 사용한 S3 오브젝트 서버 측 암호화 |
S3 요청을 발급하여 오브젝트를 저장하고 세 개의 요청 헤더를 포함시킵니다.
|
새로 수집된 S3 오브젝트 데이터만 객체에 대해 암호화를 지정해야 합니다. 오브젝트 메타데이터 및 기타 중요한 데이터는 암호화되지 않습니다. 키는 StorageGRID 외부에서 관리됩니다. |
||
외부 볼륨 또는 데이터 저장소 암호화 |
구축 플랫폼에서 지원하는 경우 StorageGRID 외부의 암호화 방법을 사용하여 전체 볼륨 또는 데이터 저장소를 암호화합니다. |
모든 볼륨 또는 데이터 저장소가 암호화되었다고 가정할 때 모든 오브젝트 데이터, 메타데이터 및 시스템 구성 데이터입니다. 외부 암호화 방법을 사용하면 암호화 알고리즘 및 키를 보다 강력하게 제어할 수 있습니다. 나열된 다른 방법과 결합할 수 있습니다. |
||
StorageGRID 외부에서 개체 암호화 |
StorageGRID 외부에서 암호화 방법을 사용하여 오브젝트 데이터 및 메타데이터를 StorageGRID에 수집하기 전에 암호화합니다. |
오브젝트 데이터 및 메타데이터만(시스템 구성 데이터는 암호화되지 않음). 외부 암호화 방법을 사용하면 암호화 알고리즘 및 키를 보다 강력하게 제어할 수 있습니다. 나열된 다른 방법과 결합할 수 있습니다. |
여러 암호화 방법을 사용합니다
요구 사항에 따라 한 번에 두 가지 이상의 암호화 방법을 사용할 수 있습니다. 예를 들면 다음과 같습니다.
-
KMS를 사용하여 어플라이언스 노드를 보호하고 SANtricity 시스템 관리자의 드라이브 보안 기능을 사용하여 동일한 어플라이언스에 있는 자체 암호화 드라이브의 데이터를 "이중 암호화"할 수 있습니다.
-
KMS를 사용하여 어플라이언스 노드의 데이터를 보호하고 저장된 개체 암호화 그리드 옵션을 사용하여 모든 개체를 인제스트할 때 암호화할 수 있습니다.
오브젝트의 일부 부분만 암호화해야 하는 경우 대신 버킷 또는 개별 오브젝트 수준에서 암호화를 제어하는 것이 좋습니다. 여러 수준의 암호화를 사용하면 추가 성능 비용이 듭니다.