C OKM에서 Solaris ZFS 암호화 사용

이 부록에서는 OKM에서 Oracle Solaris 11 ZFS를 사용하여 ZFS 스토리지 풀에서 파일의 암호화 및 해독을 관리하는 방법에 대해 설명합니다. 이 솔루션에서는 Oracle StorageTek 테이프 드라이브에 사용된 것과 동일한 암호화 기술을 사용하여 ZFS 스토리지 풀에 대한 암호화 키를 관리할 수 있습니다.

이 부록에서는 사용자가 Solaris 11 및 Oracle Solaris ZFS에 익숙하다고 가정합니다.

• Oracle Solaris 11에 대한 자세한 내용은 Oracle Solaris 11 발행물을 참조하십시오.

• Oracle Solaris ZFS에 대한 자세한 내용은 Oracle Solaris Administration: ZFS File Systems 발행물을 참조하십시오.

ZFS는 OKM 클러스터에서 암호화 키를 검색하기 위해 OKM의 PKCS#11 공급자 pkcs11_kms를 사용하도록 구성할 수 있습니다. 이를 위해서는 이 OKM 클러스터에서 KMA에 대한 연결이 설정된 OKM 클러스터 및 Solaris 11 시스템이 구성되어 있어야 합니다.

Solaris 11 관리자가 pkcs11_kms를 설치 및 구성한 다음에는 pkcs11_kms가 키를 만들도록 요청한 후 ZFS가 이를 사용하도록 지정할 수 있습니다.

pkcs11_kms에 대해서는 부록 B에서 소개합니다. 자세한 내용은 다음을 참조하십시오.

• "OKM의 PKCS#11 공급자"

• "인증 자격 증명 관리"

• "로드 균형 조정 및 페일오버"

계획 고려 사항

이 통합을 계획할 때 적용될 수 있는 고려 사항은 다음 섹션을 참조하십시오.

• "OKM 성능 및 가용성 고려 사항"

• "재해 복구 계획"

• "네트워크 계획"

• "키 관리 계획"

OKM과 ZFS 통합

OKM을 ZFS와 통합하기 위해서는 다음 작업이 필요합니다.

• OKM 클러스터의 ZFS 구성

• Solaris 11 시스템에 pkcs11_kms 설치

• ZFS에서 사용할 수 있도록 pkcs11_kms 구성

• pkcs11_kms를 사용하도록 ZFS 구성

이러한 작업은 다음 섹션에서 설명됩니다.

주:

이러한 작업에 대한 정보 중 상당 수는 TDE(투명한 데이터 암호화)를 사용하는 OKM 구성에도 적용됩니다. 필요에 따라 다음 섹션에는 부록 B에 설명된 추가 정보에 대한 참조가 포함됩니다.

OKM 클러스터의 ZFS 구성

ZFS에 사용하도록 OKM 클러스터를 구성하려면 다음 단계를 수행합니다.

1. OKM 클러스터의 모든 KMA가 Oracle Key Manager 2.4.1 이상을 실행 중이고 OKM 클러스터에서 Replication Schema 버전 13을 사용하는지 확인합니다.

   GUI 및 CLI에 대해 지원되는 OKM 관리 플랫폼은 OKM 제품 릴리스 정보에 설명되어 있습니다. 여기에는 Oracle Solaris 및 Microsoft Windows 플랫폼에 대한 특정 고려 사항이 포함되어 있습니다.

2. 키 정책 및 키 그룹을 만들고 에이전트를 구성하고 이 키 그룹을 기본 키 그룹으로 사용하여 에이전트와 연관시킵니다. 자세한 내용은 "OKM 클러스터의 TDE 구성"을 참조하십시오.

   주:

   에이전트는 One Time Passphrase 등록 정보를 사용 안함으로 설정하도록 구성되어야 합니다. "에이전트 만들기" 또는 "에이전트 보기/수정"을 참조하십시오.

Solaris 11에 pkcs11_kms 설치

Oracle의 PKCS#11 공급자 pkcs11_kms를 Solaris 11 시스템에 설치하려면 "Oracle Solaris 11 또는 Solaris 11 Express용 pkcs11_kms 설치"에 설명된 단계를 수행합니다.

pkcs11_kms 구성

Solaris 11 시스템에서 pkcs11_kms를 구성하려면 "pkcs11_kms의 TDE 구성"에 설명된 대로 2 및 3단계를 수행합니다.

주:

Oracle RAC에 대한 참조는 OKM/ZFS 통합에 적용되지 않으므로 무시합니다.

pkcs11_kms를 사용하도록 ZFS 구성

pkcs11_kms 공급자가 설치 및 구성된 후에는 다음 단계를 수행하여 pkcs11_kms 공급자에서 키를 생성하고 특정 ZFS 풀에 포함된 파일 시스템에서 파일을 암호화할 때 이 키를 사용하도록 ZFS를 구성합니다.

Solaris pktool genkey 명령을 사용하여 AES 256비트 키를 만듭니다.

1. "Enter PIN for KMS" 프롬프트에서 pkcs11_kms를 구성할 때 kmscfg 유틸리티에 제공된 에이전트의 문장암호를 입력합니다.

   예를 들면 다음과 같습니다.

   # pktool list token=KMS objtype=key 
   Enter PIN for KMS: 
   # pktool genkey keystore=pkcs11 token=KMS keytype=aes keylen=256 label=zfscrypto_key_256 
   Enter PIN for KMS: 
   # pktool list token=KMS objtype=key label=zfscrypto_key_256 
   Enter PIN for KMS: 
   

2. zfs create 명령을 사용하여 이 키를 사용하도록 ZFS를 구성합니다.

   zfs create 명령의 "keysource" 인수에 1단계에서 생성한 키의 레이블을 지정합니다.

   "Enter 'KMS' PKCS#11 token PIN" 프롬프트에서 에이전트의 문장암호를 입력합니다.

   예를 들면 다음과 같습니다.

   # zfs create -o encryption=aes-256-ccm -o keysource="raw,pkcs11:token=KMS;object=zfscrypto_key_256" cpool_nd/cfs 
   Enter 'KMS' PKCS#11 token PIN for 'cpool_nd/cfs':  
   

문제 해결

문제 해결에 대한 자세한 내용은 "문제 해결"을 참조하십시오.