StorageGRID KMIP 버전 1.4를 지원합니다.

"키 관리 상호 운용성 프로토콜 사양 버전 1.4"

네트워크 방화벽 설정에서는 각 어플라이언스 노드가 KMIP(Key Management Interoperability Protocol) 통신에 사용되는 포트를 통해 통신할 수 있도록 허용해야 합니다. 기본 KMIP 포트는 5696입니다.

사이트에 대해 구성한 KMS 또는 KMS 클러스터에 대한 네트워크 액세스 권한이 노드 암호화를 사용하는 각 어플라이언스 노드에 있는지 확인해야 합니다.

어플라이언스 노드와 구성된 KMS 간의 통신에는 보안 TLS 연결이 사용됩니다. StorageGRID KMS가 지원하는 것과 KMS 클러스터에 KMIP 연결을 만들 때 TLS 1.2 또는 TLS 1.3 프로토콜을 지원할 수 있습니다."TLS 및 SSH 정책" 당신이 사용하고 있습니다.

StorageGRID 연결을 만들 때 KMS와 프로토콜 및 암호(TLS 1.2) 또는 암호 그룹(TLS 1.3)을 협상합니다. 사용 가능한 프로토콜 버전 및 암호/암호 모음을 확인하려면 다음을 검토하세요. tlsOutbound 그리드의 활성 TLS 및 SSH 정책 섹션(구성 > 보안 보안 설정).

그리드에서 노드 암호화 설정이 활성화된 모든 StorageGRID 어플라이언스의 암호화 키를 관리하려면 키 관리 서버(KMS)를 사용할 수 있습니다. 이 설정은 StorageGRID Appliance Installer를 사용하여 어플라이언스 설치의 하드웨어 구성 단계에서만 활성화할 수 있습니다.

구성된 KMS를 StorageGRID 어플라이언스 및 어플라이언스 노드에 사용할 수 있습니다.

다음을 포함하여 소프트웨어 기반(비어플라이언스) 노드에는 구성된 KMS를 사용할 수 없습니다.

다른 플랫폼에 배포된 노드는 데이터 저장소 또는 디스크 수준에서 StorageGRID 외부의 암호화를 사용할 수 있습니다.

새로 설치하는 경우 일반적으로 테넌트를 생성하기 전에 Grid Manager에서 하나 이상의 키 관리 서버를 설정해야 합니다. 이 순서는 개체 데이터가 노드에 저장되기 전에 노드가 보호되도록 보장합니다.

어플라이언스 노드를 설치하기 전이나 설치한 후에 Grid Manager에서 키 관리 서버를 구성할 수 있습니다.

StorageGRID 시스템의 어플라이언스 노드에 암호화 키를 제공하도록 하나 이상의 외부 키 관리 서버를 구성할 수 있습니다. 각 KMS는 단일 사이트 또는 사이트 그룹의 StorageGRID 어플라이언스 노드에 단일 암호화 키를 제공합니다.

StorageGRID KMS 클러스터 사용을 지원합니다. 각 KMS 클러스터에는 구성 설정과 암호화 키를 공유하는 여러 개의 복제된 키 관리 서버가 포함되어 있습니다. 고가용성 구성의 장애 조치 기능이 향상되므로 키 관리에 KMS 클러스터를 사용하는 것이 좋습니다.

예를 들어, StorageGRID 시스템에 3개의 데이터 센터 사이트가 있다고 가정해 보겠습니다. 데이터 센터 1의 모든 어플라이언스 노드에 키를 제공하도록 한 KMS 클러스터를 구성하고, 다른 모든 사이트의 모든 어플라이언스 노드에 키를 제공하도록 두 번째 KMS 클러스터를 구성할 수 있습니다. 두 번째 KMS 클러스터를 추가하면 데이터 센터 2와 데이터 센터 3에 대한 기본 KMS를 구성할 수 있습니다.

설치 중에 노드 암호화 설정이 활성화되지 않은 어플라이언스 노드나 어플라이언스 노드가 아닌 노드에는 KMS를 사용할 수 없습니다.

보안 모범 사례로서 주기적으로 다음을 수행해야 합니다."암호화 키 회전" 구성된 각 KMS에서 사용됩니다.

새로운 키 버전이 출시되면:

다른 StorageGRID 시스템에 암호화된 어플라이언스를 설치해야 하는 경우 먼저 그리드 노드를 해제하여 개체 데이터를 다른 노드로 이동해야 합니다. 그런 다음 StorageGRID Appliance Installer를 사용하여 다음을 수행할 수 있습니다. "KMS 구성을 지우세요" . KMS 구성을 지우면 노드 암호화 설정이 비활성화되고 StorageGRID 사이트에 대한 어플라이언스 노드와 KMS 구성 간의 연결이 제거됩니다.