암호화 계획
암호화 계획에는 시스템에서 기능을 사용으로 설정하는 것이 포함됩니다. 시스템에 대해 USB 암호화, 키 서버 암호화 또는 둘 다를 사용으로 설정할 수 있습니다. 시스템은 키 서버 암호화를 위해 IBM Security Key Lifecycle Manager 버전 2.6.0 이상을 지원합니다.
드라이브에 저장되는 데이터를 암호화하려면 암호화를 사용할 수 있는 노드가 암호화를 사용하도록 구성되어야 합니다. 시스템에서 암호화가 사용으로 설정되면 시스템이 드라이브를 잠금 해제하거나 사용자가 새 키를 생성할 때 유효한 암호화 키가 시스템에 있어야 합니다. 시스템에서 USB 암호화가 사용으로 설정된 경우 암호화 키는 암호화가 사용으로 설정될 때 생성된 키 사본을 포함하는 USB 플래시 드라이브에 저장되어야 합니다.
암호화를 사용하여 클라우드 스토리지에 복사된 데이터를 보호하는 경우, 클라우드 계정은 항상 시스템 암호화 설정과 동기화됩니다. USB 플래시 드라이브와 키 서버가 둘 다 구성된 경우, 작성된 클라우드 계정은 이러한 두 방법을 모두 지원합니다. 한 가지 암호화 방법만 구성되고 다른 하나는 사용 안함으로 설정된 경우, 클라우드 계정은 나머지 구성된 암호화 방법으로 암호화를 지원합니다. 클라우드 계정이 암호화를 지원하도록 하려면 클라우드 계정이 작성될 때 하나 또는 두 방법 모두 활성 키로 구성되어야 합니다.
클라우드 계정이 하나의 암호화 방법으로 작성되는 경우에는 두 번째 방법을 나중에 구성할 수 있지만 구성이 발생할 때 해당 클라우드 계정이 온라인 상태여야 합니다. 두 번째 방법을 구성한 후 클라우드 계정은 두 키 제공자를 모두 지원합니다.
키 서버 암호화
키 서버는 암호화 키 생성, 백업 및 상호 운용성에 도움이 되는 개방형 표준 준수 등에 사용할 수 있는 유용한 기능을 제공합니다. 키 서버 암호화를 계획 중인 경우 다음 항목을 고려해야 합니다.
- 인증서는 키 서버가 클라이언트(예: 시스템 노드)를 인증하기 위해 사용하는 기본 방법이며, 키 서버에 저장된 키에 대한 액세스가 허용되는지 확인하기 위해 클러스터가 키 서버를 인증하는 데 사용하는 기본 방법입니다. 클라이언트의 인증은 키 서버가 신뢰되지 않는 당사자에게 키에 대한 액세스를 부여하지 않는지 확인합니다. 키 서버 인증은 신뢰되지 않는 당사자가 저장하는 민감한 키를 클라이언트가 요청하지 않도록 해줍니다. 시스템에는 IBM Security Key Lifecycle Manager 서버와 통신하도록 허용하는 서버 인증서가 필요합니다. 키 서버 프로비저닝 프로세스의 일부로, 사용자는 키 서버의 인증서를 인증하는 데 필요한 인증 기관(CA) 인증서를 내보내서 에 설치해야 합니다. 모든 IBM Security Key Lifecycle Manager 키 서버가 단일 CA 인증서(모든 키 서버에 사용되는)를 사용하도록 구성할 수도 있고 각 개별 키 서버에 자체 서명 인증서가 있도록 구성할 수도 있습니다. 또한 사용자는 각 키 서버에 시스템 인증서를 설치해야 하며, 그런 다음 IBM Security Key Lifecycle Manager 관리자가 인증서를 승인하여 키 서버에 대한 시스템 액세스 권한을 부여할 수 있습니다. 키 서버 암호화를 구현하려면 키를 생성하고 해당 키의 저장소로 동작하는 외부 키 서버가 있어야 합니다.
- 현재는 한 가지 유형의 키 서버만 지원됩니다. 시스템은 클라이언트와 서버 사이에 SSL 연결을 통해 전송되는 KMIP(Key Management Interoperability Protocol)를 구현합니다. 자체 서명 인증서 및 CA 서명 인증서에 대한 지원이 제공됩니다. 시스템은 서버의 SSL 인증서를 유효성 검증하며 KMIP 표준을 준수합니다. 기존 SAS 하드웨어는 잠금 해제를 위해 하나 이상의 마스터 키에 대한 액세스 권한이 필요하며 키 서버 마스터 키에 응답할 수 있어야 합니다. 키 서버를 처음으로 사용으로 설정하는 것은 단순한 프로시저입니다. 키 서버 암호화가 사용으로 설정되면 유형이 구성되고 사용으로 설정될 수 있으며, 서버 엔드포인트가 작성된 후 키가 준비되고 커미트될 수 있습니다.
- 모든 키 서버 통신의 보안은 TLS 1.2 프로토콜에 의해 관리됩니다. 암호화 키는 TLS 1.2를 사용하여 시스템에서 클러스터화됩니다. 시스템은 OpenSSL 라이브러리 인터페이스를 사용하는 AES-128 암호화를 사용합니다.
키 서버와 통신하려는 모든 노드에는 해당 서비스 IP 주소가 구성되어 있어야 합니다. 노드가 키 서버에 연결을 시도하기 위한 후보가 되려면 노드에 전체 서비스 IP 스택(주소, 게이트웨이, 마스크)이 구성되어 있어야 합니다. 키 서버는 일반적으로 개인용 LAN을 설정하며, 여기에는 서비스 IP 주소의 적용이 필요합니다. 노드의 서브세트에만 서비스 IP 주소가 설정된 경우, 서비스 IP 주소가 없는 노드는 오류를 로그합니다. 사용자가 제공하는 IP 주소는 시스템이 키 서버와 통신하는 데 사용하는 것이어야 합니다.
각 키 서버에는 액세스와 연관된 TCP 포트가 있습니다. 키 서버는 여러 클라이언트에 서비스를 제공하므로, 시스템은 사용자가 각 서버에 대해 다른 포트를 사용하도록 허용하고 필요한 경우 이러한 포트에 액세스할 수 있도록 허용합니다. KMIP 서버 준수는 TCP 포트 5696이 지원되도록 지시하므로 이 포트가 서버 엔드포인트의 기본 포트입니다.
키 서버 암호화가 사용되는 경우 키 서버는 마스터 키를 생성하고 관리합니다. 노드는 다른 모든 키를 생성합니다.
키 데이터베이스는 사용되는 키 서버 유형에 따라 클러스터화되거나 클러스터화되지 않을 수 있습니다. 클러스터화되지 않은 키 서버의 경우, 사용자는 키 데이터베이스의 백업 및 복제를 고려해야 합니다. IBM Security Key Lifecycle Manager는 IBM Security Key Lifecycle Manager 인스턴스 사이에 암호화 키가 자동으로 공유되도록 하기 위해 복제가 구성되어야 하는 키 서버 제품의 예입니다. 복제가 구성되지 않으면 수동 백업 및 복원 조작이 사용되어야 합니다. 다른 제품도 자신을 복제할 수 있으므로 다른 키 서버 인스턴스에 자동으로 새 키가 작성될 수 있습니다. IBM Security Key Lifecycle Manager의 경우 다음 IBM Security Key Lifecycle Manager 사용자 안내서에 따라 백업 및 복원을 완료하십시오.
- 7.8.0보다 이전의 코드 레벨 시스템에서 암호화가 사용으로 설정되고 시스템이 코드 레벨 7.8.x 이상으로 업데이트된 경우에는 USB 키 재입력 조작을 실행하여 키 서버 암호화를 사용으로 설정해야 합니다. 키 서버 암호화를 사용으로 설정하기 전에 관리 GUI를 사용하거나 chencryption 명령을 실행하십시오. 키 재입력 조작을 수행하려면 관리 GUI를 사용하거나 다음 명령을 실행하십시오.
chencyrption -usb newkey -key prepare chencryption -usb newkey -key commit 키 재입력 조작은 7.8.x 이상의 코드 레벨로 업데이트가 완료된 후 키 서버 암호화를 사용으로 설정하기 전에 실행되어야 합니다.