암호화 키 서버는 시스템에서 사용하는 암호화 키를
작성하고 관리합니다. 많은 시스템이 있는 환경에서
키 서버는 시스템에 물리적으로 액세스할 필요없이 원격으로 키를 분배합니다.
키 서버는
시스템에 대한 암호화 키를 생성하고 저장하고 전송하는 중심 시스템입니다.
키 서버 제공자가 여러 키 서버 간의 키 복제를 지원하는 경우, 공용 네트워크 또는
별도의 사설 네트워크 둘 다를 통해 시스템에 연결하는 최대 4개의 키 서버를 지정할 수 있습니다.
시스템은
IBM Security Key Lifecycle Manager 키 서버를 사용하여 암호화 사용을 지원합니다.
키 서버를 정의하기 전에 IBM Security Key Lifecycle Manager에서
모든 키 서버를 구성해야 합니다.
IBM Security Key Lifecycle Manager는 저장된 데이터의 암호화 및 암호화 키 관리의 표준인
KMIP(Key Management Interoperability Protocol)를 지원합니다. IBM Security Key Lifecycle Manager를 사용하여
시스템에 대한 관리 키를 작성하고 인증서를 통해 이들 키에 대한 액세스 권한을 제공할 수 있습니다.
시스템은 IBM Security Key Lifecycle Manager에서
다른 유형의 키 서버 구성을 지원합니다. 다음과 같은 구성이 지원됩니다.- 하나의 기본(마스터) 키 서버 및 여러 보조 키 서버:
IBM Security Key Lifecycle Manager 키 서버는 최대 3개의
보조 키 서버(복제본이라고도 함)가 정의될 수 있는 하나의 마스터 또는 기본 키 서버를 지정합니다. 이러한 추가 키 서버는 키를 시스템에 전달할 때 더 많은 경로를 지원합니다. 그러나 키를
재조정하는 동안에는 기본 키 서버에 대한 경로만 사용됩니다. 시스템의 키가 재조정되는 경우, 기본 키 서버가
새 키를 보조 키 서버에 복제할 때까지 보조 키 서버를 사용할 수 없습니다. 키를 보조 키 서버에 복제하는 데 걸리는 시간은 복제되는
키 및 인증 정보의 양에 따라 다릅니다. 각각을 보조 키 서버로 복제하는 데 시간이 걸릴 수 있습니다. 시스템에서 키를 사용할 수 있으려면 복제가 완료되어야 합니다. 자동 복제를 스케줄하거나
IBM Security Key Lifecycle Manager를 사용하여 수동으로 완료할 수 있습니다. 복제하는 동안 키 서버는
키를 분배하거나 새 키를 수락할 수 없습니다. IBM Security Key Lifecycle Manager에서
복제를 완료하는 데 걸리는 총 시간은 복제본으로 구성된 키 서버의 수에 따라 다릅니다. 복제가 수동으로 트리거되는 경우,
IBM Security Key Lifecycle Manager가 복제 완료 시 완료 메시지를 발행합니다. 키가 시스템에서 사용되기 전에 모든 키 서버에 복제된 키 및 인증서 정보가 포함되어 있는지
확인하십시오.
- 다중 마스터 키 서버: 키 서버는
각 키 서버가 새 암호화 키를 작성할 수 있는 다중 마스터 구성으로 구성될 수 있습니다. 이 경우,
모든 서버가 기본 키 서버로 설정될 수 있습니다. 기본 키 서버란
사용자가 임의의 새 키 서버 암호화 키를 작성할 때 시스템에서 사용하는 키 서버입니다. IBM Security Key Lifecycle Manager에서
다중 마스터 모델이 사용으로 설정되어 있는 경우, 키가 구성의 다른 키 서버로 즉시 복제됩니다.
지원되는 버전에 대한 자세한 정보는
IBM Security Key Lifecycle Manager Knowledge Center를 참조하십시오.
IBM Security Key Lifecycle Manager 키 서버 오브젝트를 작성할 때
IP 주소, 포트, 인증서 및 장치 그룹을 지정해야 합니다. 장치 그룹은 스토리지 ID, 키 및 키 그룹의
콜렉션입니다. 장치 그룹을 이용하면 대형 풀 내에서 장치의 서브세트를 엄격하게
관리할 수 있습니다. 기본 설정을 사용하는 경우
SPECTRUM_VIRT 장치 그룹에 대해
키 서버에 시스템이 정의되어야 합니다. 키 서버에
SPECTRUM_VIRT 장치 그룹이 없으면
GPFS™ 장치 제품군에 기반하여
작성되어야 합니다. 여러 키 서버를 구성하는 경우 기본 및 모든 추가 키 서버에
SPECTRUM_VIRT 장치 그룹을
정의해야 합니다.
암호화 사용을 위한 전제조건
암호화를 사용하기 전에
IBM Security Key Lifecycle Manager에서
다음 태스크를 완료해야 합니다.
- Transport Layer Security 버전 1.2(TLSv1.2)를 사용하도록 IBM Security Key Lifecycle Manager를 정의하십시오. IBM Security Key Lifecycle Manager의 기본 설정은
TLSv1이지만, 시스템이 버전 1.2만 지원합니다. IBM Security Key Lifecycle Manager에서 값을
SSL_TLSv2로 설정하십시오. 이는 TLSv1.2를 포함하는 프로토콜의 세트입니다.
- 시작 시 데이터베이스 서비스가 자동으로 시작되는지 확인하십시오.
- IBM Security Key Lifecycle Manager에서 시스템에 올바른 SSL 인증서가 설치되어 사용 중인지
확인하십시오. IBM Security Key Lifecycle Manager에서 자동 복제가 구성된 경우,
이 인증서를 시스템에 한 번만 업로드하면 됩니다 그러나 IBM Security Key Lifecycle Manager에서
자동 복제가 구성되지 않은 경우에는 각 독립형 키 서버에 대한 인증서를 시스템에 업로드해야 합니다.
- 시스템 정의에 대해 SPECTRUM_VIRT 장치 그룹을
지정하십시오.
여러 키 서버를 구성하는 경우 기본 및 모든 보조 키 서버에
SPECTRUM_VIRT 장치 그룹을
정의해야 합니다.
- 현재 USB 플래시 드라이브에서 암호화를 사용할 수 있는 경우, 우선 USB 플래시 드라이브 중 한 개 이상을
시스템에 삽입해야 키 관리를 위해 키 서버를 구성할 수 있습니다.
이러한 태스크를 완료하는 데 대한 자세한 정보는
IBM Security Key Lifecycle Manager Knowledge Center를 참조하십시오.
관리 GUI 사용
키 서버를 사용하여 암호화를 허용하려면 다음 단계를 완료하십시오.
- 관리 GUI에서 를 선택하십시오.
- 암호화 사용을 클릭하십시오.
- 환영 페이지에서 키 서버를 선택하십시오. 다음을 클릭하십시오.
참고: 또한
키 서버와 USB 플래시 드라이브를 둘 다 선택하여 두 방법 모두 암호화 키를 관리하도록
구성할 수도 있습니다. 한 방법이 사용 불가능하게 된 경우에도 다른 방법을 사용하여 시스템의 암호화된 데이터에 액세스할 수 있습니다.
- 키 서버 유형으로 IBM SKLM(KMIP 포함)을 선택하십시오.
- 각 키 서버의
이름, IP 주소 및 포트를 입력하십시오. 여러 키 서버를 구성 중인 경우, 지정하는 첫 번째 키 서버가 기본 키 서버이고
나머지는 보조 키 서버가 됩니다. 모든 보조 키 서버에 키가 분배되도록 하려면
IBM Security Key Lifecycle Manager에서 복제를 구성해야 합니다.
-
키 서버의 장치 그룹으로
SPECTRUM_VIRT을
선택하십시오. 시스템의 각 키 서버에도 이 장치 그룹을 구성해야 합니다.
- 키 서버 인증서 페이지에서 필요한 모든 키 서버 인증서를 시스템에
업로드해야 합니다. 키 서버는 신뢰할 수 있는 써드파티의 인증서, 자체 서명 인증서 또는
이러한 인증서의 조합을 사용할 수 있습니다. 자동 복제를 위해
IBM Security Key Lifecycle Manager 서버가 구성된 경우, 이 인증서는
기본 키 서버에서 모든 보조 키 서버로 복사됩니다.
모든 IBM Security Key Lifecycle Manager 인스턴스는 동일한 키 서버 인증서로 보안 연결을 통해
연결될 수 있습니다. IBM Security Key Lifecycle Manager에서 복제가 사용되는 경우,
하나의 키 서버 인증서만 설치하면 됩니다. IBM Security Key Lifecycle Manager는
이 단일 인증서를 사용하여 서로 키를 복제합니다.
키 서버를 위해
시스템에 설치된 CA 서명 인증서보다 자체 서명 인증서가 우선합니다. 단일 인증서만 사용되고 구성된 모든 키 서버에 자동으로 복제되는 경우,
인증서 필드의 인증서에서 시스템으로 다운로드한 인증서를 선택하십시오. 자동 복제가 구성되지 않은 경우,
구성된 각 키 서버에 대해 시스템으로 다운로드한 올바른 인증서를 모두 선택하십시오.
다음을 클릭하십시오.
- 시스템 암호화 인증서 페이지에서 공개 키를 시스템에 다운로드하려면
공개 키 내보내기를 클릭하십시오. 시스템 암호화 인증서는 자체 서명 인증서 또는
CA 인증서일 수 있습니다. 시스템이 개별 키 서버와 통신하도록 신뢰를 설정하기 위해
각 키 서버에 이러한 인증서가 업로드됩니다. 자동 복제를 위해
IBM Security Key Lifecycle Manager 서버가 구성된 경우, 이 인증서는
기본 키 서버에서 모든 보조 키 서버로 복사됩니다. 모든 IBM Security Key Lifecycle Manager 인스턴스는 동일한 키 서버 인증서로 보안 연결을 통해
연결될 수 있습니다. IBM Security Key Lifecycle Manager에서 복제가 사용되는 경우, 기본 키 서버는
시스템 인증서를 다른 키 서버에 복제합니다. IBM Security Key Lifecycle Manager 서버가 자동 복제에 대해 구성되지 않은 경우,
사용자가 시스템 인증서를 각 독립형 키 서버에 설치해야 합니다.
인증서가 없는 경우,
을
선택하십시오. 보안 통신 페이지에서 인증서 업데이트를 선택하여
인증서를 작성하거나 가져오십시오. 인증서에 대한 자세한 정보는
키 서버에 사용되는 인증서에 대한 주제를 참조하십시오.
- 구성된 각 키 서버에서 SPECTRUM_VIRT 장치 그룹에 대해
시스템의 공개 키를 신뢰 저장소에 추가하여 복사하십시오.
세부사항은
IBM® Security Key Lifecycle Manager Knowledge Center를 참조하십시오.
- 시스템 암호화 인증서 페이지로 돌아가서 시스템의 공개 키 인증서가 구성된 각 키 서버에 전송되었습니다를 선택하십시오.
- 암호화 방법으로 USB 플래시 드라이브가 구성된 경우,
USB 암호화 사용 안함 페이지가 표시됩니다. 키 서버로 마이그레이션하고 USB 플래시 드라이브를
사용 안함으로 설정하려면 예를 선택하십시오. 두 암호화 방법이 동시에 구성되도록 하려면
아니오를 클릭하십시오.
- 다음을 클릭하십시오.
- 요약 페이지에서 키 서버의 구성을 확인하고 완료를 클릭하십시오.
명령행 인터페이스 사용
키 서버를 사용하여 암호화를 허용하려면 다음 단계를 완료하십시오.
- 다음 CLI 명령을 입력하여 시스템에서 암호화를 사용으로 설정하십시오.
chencryption -keyserver enable
- 키 서버 유형을 사용으로 설정하고 필요한 경우 인증 기관(CA) 서명 인증서를 제공하십시오.
chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
- 기본 키 서버를 작성하고 키 서버 인증서를 지정하십시오.
mkkeyserver -ip ip_address -port port -primary
- 동일한 키 서버 인증서로 최대 세 개의 추가 보조 키 서버를 작성하십시오.
mkkeyserver -ip ip_address -port port
- 키 서버에 시스템에 대한 암호화 키를 작성하십시오.
chencryption -keyserver newkey -key prepare
이 명령은 준비된 키를
현재 키로 만들고 해당 키를 기본 키 서버로 구성된 키 서버에 넣습니다.
- 시스템이 준비되었는지 확인하려면 다음 명령을 입력하십시오.
lsencryption
keyserver_rekey 매개변수 값이
prepared인지 확인하십시오. prepared 값은 새 키가 커미트될 준비가 되었음을 표시합니다.
- 키를 커미트하려면 다음 명령을 입력하십시오.
chencryption -keyserver newkey -key commit
이 명령은 새 키를 현재 키로 만들고 해당 키를 기본 키 서버에 복사합니다.
