PowerProtect: VMware vSphere VM(Virtual Machine) 암호화로 보호

배경

저장된 데이터 암호화는 디스크 또는 기타 스토리지 미디어에 저장된 기밀 정보를 보호하도록 설계된 중요한 보안 조치입니다. 저장 상태 데이터 암호화는 VM, 관련 파일, 가상 디스크 및 스냅샷에 대한 암호화를 제공하는 기능인 VMware vSphere VM 암호화를 사용하여 구현됩니다. 암호화 프로세스는 하이퍼바이저 수준에서 발생하여 VM 내의 모든 데이터가 암호화되도록 합니다. VM 암호화는 키 제공업체를 사용하여 암호화 키를 안전하게 저장하고 관리합니다. 하이퍼바이저에서 키를 분리하면 보안이 강화됩니다. 사용 가능한 키 제공자 중 VMware 기본 키 제공자 및 표준 키 제공자가 일반적으로 사용됩니다.

PowerProtect 구성

VM 암호화를 활성화하거나 비활성화하는 특정 구성 설정은 없으며 설정은 VMware vSphere 환경에서 가져옵니다. 아래 세부 정보는 사용할 수 있는 키 공급자, 암호화를 활성화 또는 비활성화하는 방법 및 암호화 설정을 확인하는 방법에 대한 지침을 제공합니다. 이 정보는 일반 정보 및 지침용으로만 제공됩니다. 변경을 시도하기 전에 특정 버전의 VMware 설명서를 참조하는 것이 좋습니다.

기본 키 제공자

1. 개요:

 VMware vSphere Native Key Provider는 가상 머신 디스크 및 스토리지 엔터티를 암호화하기 위한 통합 키 관리 솔루션입니다.

2. 기능

• VMware vSphere 환경과 구축 중 통합
• vSphere 7.0 업데이트 2 이상에서 사용 가능
• 빠른 설정: 외부 키 서버가 필요하지 않습니다.

 3. 기본 키 제공업체 추가 단계:

1. VMware vSphere에 로그인하고, 인벤토리를 찾아보고, vCenter Server를 선택하고, "Configure," 그리고 아래 "Security," 클릭 "Key Providers."
2. Add(추가)를 클릭하고 "Add Native Key Provider," 필수 정보를 입력하고 다음을 클릭합니다. "ADD KEY PROVIDER."
3. 확인란을 선택합니다. "Use key provider only with TPM protected ESXi hosts (Recommended)" TPM(Trusted Platform Module) 2.0을 사용할 수 있고 호스트에 구성된 경우
4. 그런 다음 추가된 키를 선택하고 "Back-UP."
5. 확인란을 선택합니다. "Protect Native Key Provider data with password (Recommended)" 을 클릭하고 "Back UP KEY PROVIDER" 버튼을 눌러 암호를 만듭니다.
6. 암호를 입력하고 다음을 확인하십시오. "password is saved in a secure place," 을 클릭하고 Back Up Key Provider를 클릭합니다.
7. 결과는 다운로드 디렉토리에 자동으로 저장된 p12 파일입니다.

표준 키 제공자

1. 개요:

표준 키 제공자는 외부 키 관리 솔루션과 통합할 수 있는 다목적 옵션입니다.

2. 기능

• 외부 통합: 타사 키 관리 솔루션과의 통합 지원
• VMware 요구 사항: VMware vSphere 6.5 이상에서 사용 가능
• 사용자화: 조직의 요구 사항에 따라 키 관리 정책을 맞춤 구성할 수 있습니다.

3. 표준 키 공급자를 추가하는 단계(KMS 인증서 및 개인 키 사용):

vCenter Server에 키 제공자를 추가하고 vCenter Server와 KMS 간에 신뢰 관계를 설정하려면 다음 단계를 따르십시오.

1. vSphere Client에 연결하고 vCenter Server를 선택한 후 "Configure," 그리고 아래 "Security," 클릭 "Key Providers."
2. 다음 "Add Standard Key Provider" 을 클릭하고 키 제공업체 정보(이름 및 KMS 세부 정보)를 입력합니다.
3. 다음 "ADD KEY PROVIDER," 다음 아이콘을 클릭합니다 "TRUST" vCenter Server와 KMS 간에 트러스트를 설정합니다.
4. vCenter Server를 신뢰하도록 KMS를 설정합니다.
5. 추가된 키 제공자를 선택한 다음 신뢰를 설정할 KMS를 선택합니다. 선택 "Make KMS trust vCenter" 에서 "ESTABLISH TRUST" 메뉴를 선택하고 단계에 따라 KMS 인증서 및 개인 키를 업로드합니다.
6. 업로드를 완료한 후 "ESTABLISH TRUST." UI에 KMS가 vCenter Server에 연결되었다고 표시됩니다.

PowerProtect를 사용하여 VMware® vSphere® VM 암호화 결과 테스트

VMware vSphere에서 VM 암호화를 활성화한 후 PowerProtect의 작동 상태를 확인하기 위한 테스트를 실시했습니다. 테스트 프로세스 중에 두 키 공급자가 모두 사용되었습니다. VM의 초기 상태는 암호화되지 않았으며 VM을 암호화하기 위해 다음 단계를 수행했습니다. 그런 다음 PowerProtect의 기능을 검증했습니다.

테스트 케이스 1: 기본 키 공급자

를 사용하여 VM 암호화를 활성화한 후 PowerProtect 작동 상태 확인환경 세부 정보:

• 독립 실행형 PowerProtect
• VMware vSphere Client 버전: 7.0.3.00500
• 하이퍼바이저: VMware ESXi, 7.0.3, 21930508
• ESXi 호스트에서 TPM을 사용할 수 없습니다.

호스트는 클러스터 내에 있어야 합니다. "기본 키 공급자를 추가하는 단계"에 설명된 단계에 따라 기본 키 공급자를 추가합니다. 암호화를 진행하기 전에 호스트 버전의 적절한 암호화 권한 및 호환성을 확인합니다. 추가된 키를 기본값으로 설정합니다. 그런 다음 VM 정책을 편집하여 기존 VM을 암호화했습니다. VM의 전원을 켠 후 자산 소스, 보호 정책을 추가하고 작업을 실행하여 PowerProtect의 작동 상태를 확인했습니다.

테스트 사례 2: 표준 키 공급자를 사용하여 VM 암호화를 활성화한 후 PowerProtect 작동 상태 확인

환경 세부 정보:

• VMware vSphere Client 버전: 7.0.3.00500
• 독립 실행형 PowerProtect
• KMS 서버 유형: Keysecure
• KMS 키 클래스: ppdmdal
• KMIP(Key Management Interoperability Protocol) 1.1 준수

"표준 키 제공자를 추가하는 단계" 섹션에 설명된 단계에 따라 표준 키 제공자를 추가했습니다. 암호화를 진행하기 전에 vCenter에서 적절한 암호화 권한을 사용할 수 있는지 확인했습니다. KMS가 vCenter에 성공적으로 설정되고 기본 키가 추가되었습니다. 기본 키로 VM을 암호화한 다음 PowerProtect의 작동 상태를 확인했습니다.

성능 테스트는 기본 키 공급자로 암호화된 VM에서 수행되었습니다. 
테스트는 서로 다른 자산 수와 유형에 대해 수행되었습니다. 그런 다음 암호화를 사용하거나 사용하지 않은 경우의 PowerProtect에 대한 기간 및 처리량을 기록했습니다. 성능에 큰 영향을 미치지 않는 것으로 확인됨(암호화 사용 여부와 관계없음)
결과는 암호화 후에도 PowerProtect가 계속 작동함을 나타내며 암호화가 VMware 환경에 통합되었음을 보여줍니다. 

제한 사항 및 알림

효율적인 암호화 키 관리

• 암호화 키를 효율적으로 관리하는 것은 환경의 전반적인 보안에 매우 중요합니다. 강력한 백업 및 복구 절차를 구현하여 잠재적으로 데이터 손실을 초래할 수 있는 암호화 키의 우발적 손실 위험을 완화합니다.

KMIP 서버 구성 및 접근성

• VMware 인프라스트럭처에서 KMIP(Key Management Interoperability Protocol) 서버의 적절한 구성과 액세스 가능성을 보장합니다. 이는 암호화 프로세스가 원활하게 작동하고 키 관리의 무결성을 유지하는 데 필수적입니다.

VM 성능에 대한 잠재적 영향

• 암호화 프로세스 중에 VM(Virtual Machine) 성능에 미칠 수 있는 영향에 주의하십시오. 균형 잡힌 최적의 운영을 보장하기 위해 잠재적인 리소스 활용도 및 성능 영향을 평가하고 이해하는 것이 좋습니다.