투명 클라우드 티어링 계획
투명 클라우드 티어링 계획에는 라이센스가 부여된 기능을 구매한 후 시스템에서 기능을 활성화하고 사용으로 설정하는 것이 포함됩니다.
투명 클라우드 티어링은 볼륨 데이터를 복사하여 클라우드 스토리지로 전송할 수 있도록 하는 라이센스가 부여된 기능입니다. 시스템은 볼륨 데이터의 사본을 프라이빗 또는 퍼블릭 클라우드 스토리지에 저장할 수 있도록 클라우드 서비스 제공자에 대한 연결 작성을 지원합니다.
관리자는 투명 클라우드 티어링을 사용하여 이전 데이터를 클라우드 스토리지로 옮겨 시스템의 사용 가능 공간을 늘릴 수 있습니다. 데이터의 특정 시점 스냅샷을 시스템에 작성한 다음 복사하여 클라우드 스토리지에 저장할 수 있습니다. 외부 클라우드 서비스 제공자가 클라우드 스토리지를 관리함으로써 시스템의 스토리지 비용이 감축됩니다. 데이터를 클라우드 스토리지로 복사할 수 있으려면 클라우드 서비스 제공자와의 연결이 시스템에 작성되어 있어야 합니다. 클라우드 계정은 특정 신임 정보 세트를 사용하여 클라우드 서비스 제공자와의 연결을 나타내주는 시스템상의 오브젝트입니다. 이러한 신임 정보는 지정되는 클라우드 서비스 제공자의 유형에 따라 다릅니다. 대다수의 클라우드 서비스 제공자는 클라우드 서비스 제공자의 호스트 이름 및 연관된 비밀번호를 요구하며 일부 클라우드 서비스 제공자는 클라우드 스토리지 사용자를 인증하기 위한 인증서도 요구합니다. 퍼블릭 클라우드는 잘 알려진 인증 기관에서 서명한 인증서를 사용합니다. 프라이빗 클라우드 서비스 제공자는 자체 서명 인증서를 사용하거나 신뢰할 수 있는 인증 기관에서 서명한 인증서를 사용할 수 있습니다. 이러한 신임 정보는 클라우드 서비스 제공자에 정의되어 클라우드 서비스 제공자의 관리자를 통해 시스템에 전달됩니다. 클라우드 계정은 시스템이 클라우드 서비스 제공자와 성공적으로 통신하고 계정 신임 정보를 사용하여 클라우드 서비스 제공자를 인증할 수 있을지 여부를 정의합니다. 인증에 성공하면 시스템은 클라우드 스토리지에 액세스하여 데이터를 클라우드 스토리지에 복사하거나 클라우드 스토리지에 복사한 데이터를 시스템에 복원할 수 있습니다. 시스템은 단일 클라우드 서비스 제공자에 대해 하나의 클라우드 계정을 지원합니다. 제공자 사이의 마이그레이션은 지원되지 않습니다.
각 클라우드 서비스 제공자는 클라우드 스토리지를 사용하는 각 클라이언트를 위해 클라우드 스토리지를 여러 세그먼트로 분할합니다. 이러한 오브젝트는 해당 클라이언트에 특정한 데이터만 저장합니다. 오브젝트의 이름은 시스템에 대한 계정 작성 시 지정하는 접두부로 시작됩니다. 접두부는 오브젝트가 저장하는 시스템 특정 컨텐츠를 정의하고, 데이터를 단일 클라우드 계정에 저장할 수 있도록 다중 독립 시스템을 지원합니다. 각 클라우드 서비스 제공자는 이들 스토리지 오브젝트에 대해 서로 다른 용어를 사용합니다.
- 지원되는 클라우드 서비스 제공자와의 서비스 계약이 있는지 확인하십시오.
- 시스템의 투명 클라우드 티어링을 위한 라이센스를 확보하십시오.
- 시스템에 DNS 서버가 구성되어 있는지 확인하십시오. 클라우드 계정 구성 중에
DNS 서버가 아직 구성되지 않은 경우 마법사가 DNS 서버를 작성하도록 프롬프트를 표시합니다. 모든 퍼블릭 클라우드 서비스 제공자는 호스트 이름을 사용하여
공용 네트워크에서 자신을 식별합니다. 시스템에는 이러한 호스트 이름을 IP 주소로 변환하여
클라우드 계정을 설정하기 위한 DNS(Domain Name System)가 필요합니다. DNS(Domain Name System)는 IP 주소를 호스트 이름으로 변환합니다.
클라우드 서비스 제공자에 대한 연결을 작성하기 전에 호스트 이름을 관리할 DNS 서버를 하나 이상 지정해야 합니다. 시스템에는 최대 2개의 DNS 서버를 구성할 수 있습니다. 시스템의 DNS를 구성하려면 각 서버에 대해 유효한 IP 주소와 이름을 입력하십시오. IPv4 및 IPv6 주소 형식이 모두 지원됩니다.
- 클라우드 계정에 대한 연결에 암호화가 필요한지 여부를 판별하십시오. 퍼블릭 클라우드 솔루션에 액세스하는 경우, 암호화는 외부 클라우드 서비스 제공자로의 전송 중 공격으로부터 데이터를 보호합니다. 클라우드 서비스 제공자에게 전송되는 데이터를 암호화하려면 시스템에서 암호화를 사용으로 설정해야 합니다.
클라우드 계정의 보안 고려사항
시스템이 외부 네트워크에 액세스할 때마다 고의든 고의가 아니든 민감한 데이터의 노출 가능성이 있다면 위험합니다. 공용 네트워크를 통해 클라우드 서비스 제공자에 시스템을 연결하는 경우, 암호화를 사용하여 클라우드 서비스 제공자에게 전송되는 데이터를 보호할 수 있습니다.
첫 번째 레벨의 암호화 기반 보안은 시스템과 클라우드 서비스 제공자 사이의 안전한 통신을 보장합니다. 표준 프로토콜인 TLS(Transport Layer Security)는 시스템과 클라우드 서비스 제공자 간에 전송되는 데이터를 암호화하여 이러한 연결을 보호합니다. 이러한 연결에는 보안 통신이 필수이며 클라우드 서비스 제공자와 시스템 사이에서 공용 인증서를 교환해야 합니다. 관리 GUI에서 보안 통신을 위한 인증서를 구성하려면 으로 이동하십시오. chsystemcert 명령을 사용하여 시스템 인증서를 작성할 수도 있습니다. 보안 통신을 사용하면 클라우드로 전송되는 동안에는 데이터가 암호화되지만 클라우드에는 복호화되어 저장될 수 있습니다. 각 클라우드 서비스 제공자는 데이터가 일단 클라우드 스토리지에 보관되면 데이터 보호를 위한 자체적인 보안 방책을 마련해두고 있습니다. 클라우드 서비스 제공자를 사용하는 클라이언트는 암호화 방법을 추가하여 클라우드에 저장된 데이터를 보호할 수 있습니다.
시스템에서 비활성 데이터의 암호화를 지원하므로 암호화 키 관리를 선택적으로 구성하여 클라우드 스토리지에 저장된 데이터의 보호를 강화할 수 있습니다. 시스템에 키 관리가 구성되면 시스템에서 클라우드로 전송되어 저장되기 전에 데이터가 암호화됩니다. 시스템은 USB 플래시 드라이브 또는 암호화 키 서버를 통해 키 관리를 지원합니다. 암호화가 구성되면 마스터 암호화 키가 작성되고 USB 플래시 드라이브 또는 키 서버에 별도로 저장됩니다. 구성된 클라우드 서비스 제공자로 전송할 데이터의 스냅샷을 작성하면 각 볼륨 및 각 클라우드 계정에 별도의 암호화 키가 포함됩니다. 클라우드 계정에서 사용되는 암호화 키는 볼륨에 대한 암호화 키를 보호합니다. 마스터 암호화 키는 클라우드 계정에서 사용되는 암호화 키를 보호합니다. USB 플래시 드라이브 또는 키 서버에 마스터 암호화 키가 실제로 존재하므로 해당 키를 도난당하거나 유실하지 않도록 보안 조치를 구현해야 합니다. 시스템과 클라우드 서비스 제공자 간에 데이터가 전송되는 경우에도 보안 통신에 대해 구성된 인증서를 사용하여 데이터가 암호화됩니다. 마스터 암호화 키는 전송 중인 데이터도 보호하며 데이터가 클라우드 스토리지에 저장될 때 암호화된 상태로 유지됩니다. 복원 조작 중에 클라우드에서 시스템으로 다시 전송될 때에도 데이터는 암호화 마스터 키로 계속 암호화됩니다. 마지막으로 시스템에 도달한 데이터를 복호화하거나 시스템의 암호화된 볼륨에 데이터를 저장할 수 있습니다.
클라우드 서비스 제공자에 대한 연결이 구성되면 이 계정에 대해 클라우드의 비활성 데이터를 암호화할지 여부를 결정해야 합니다. 결정한 후에는 클라우드의 모든 데이터를 복원하고 계정을 재구성하며 데이터의 클라우드 스냅샷을 재작성하지 않으면 계정에 대한 암호화 설정을 변경할 수 없습니다.