7 운영자 작업
이 장에서는 운영자 역할이 지정된 사용자가 수행할 수 있는 작업에 대해 설명합니다. 여러 역할이 지정된 경우 특정 역할 수행에 대한 지침은 해당 장을 참조하십시오.
Key Groups 메뉴
Key Groups 메뉴를 통해 다음 작업을 수행할 수 있습니다.
-
키 그룹 목록 보기
-
키 그룹에 대한 에이전트 지정 사항 보기
-
키 그룹에 대한 전송 파트너 지정 사항 보기
Agent Assignment to Key Groups
Agent Assignment to Key Groups 메뉴 옵션을 사용하여 키 그룹에 지정된 에이전트를 볼 수 있습니다. 절차는 "Agent Assignment to Key Groups 메뉴"를 참조하십시오.
Transfer Partner Assignment to Key Groups
Transfer Partner Assignment to Key Groups 옵션을 통해 특정 키 그룹에 대한 액세스가 허용되는 키 전송 파트너 세트에 지정된 키 전송 파트너를 볼 수 있습니다. 절차는 "Transfer Partner Assignment to Key Groups 메뉴"를 참조하십시오.
Agent List 메뉴
Agent List 메뉴 옵션을 통해 다음 작업을 수행할 수 있습니다.
-
에이전트 보기
-
에이전트 만들기
-
에이전트 보기/수정
-
기존 에이전트 삭제
에이전트 목록 보기
Agent List 메뉴 옵션을 통해 특정 키 그룹과 연관된 모든 에이전트를 볼 수 있습니다.
이 화면을 보려면 다음과 같이 하십시오.
-
Agents 메뉴에서 Agent List를 선택합니다. Agent List 화면이 표시됩니다.
-
Key Group 필드 옆에 있는 아래쪽 화살표를 누르고 키 그룹을 선택합니다. 키 그룹과 연관된 에이전트가 표시됩니다.
또한 목록을 스크롤하고 다음 키를 사용하여 에이전트 목록을 필터링할 수 있습니다.
-
Agent ID
-
Description
-
Site
-
Default Key Group
-
Enabled
-
Failed Login Attempts
-
Enrolled
-
One Time Passphrase
Use 버튼을 누르면 표시되는 에이전트 목록에 필터가 적용됩니다.
필드 및 해당 설명은 다음과 같습니다.
Filter:
KMA에 대한 질의 결과를 필터링하는 데 사용할 수 있는 필드를 표시합니다. 가능한 값은 다음과 같습니다.
-
Agent ID
-
Description
-
Site
-
Default Key Group
-
Enabled
-
Failed Login Attempts
-
Enrolled
Filter Operator 상자:
아래쪽 화살표를 누르고 원하는 필터 작업을 선택합니다. 가능한 값은 다음과 같습니다.
-
같음 =
-
같지 않음 <>
-
보다 큼 >
-
보다 작음 <
-
크거나 같음 >=
-
작거나 같음 <=
-
다음으로 시작 ~
-
비어 있음
-
비어 있지 않음
Filter Value 텍스트 상자:
선택한 속성을 필터링할 값을 입력합니다. 이 필터 옵션은 일부 필터 속성에 대해 표시되지 않습니다.
Filter Value 콤보 상자:
아래쪽 화살표를 누르고 선택한 속성을 필터링할 값을 선택합니다. 이 필터 옵션은 일부 필터 속성에 대해 표시되지 않습니다.
다른 필터를 추가하려면 더하기 버튼을 누릅니다.
필터를 제거하려면 빼기 버튼을 누릅니다. 이 버튼은 표시된 필터가 둘 이상인 경우에만 표시됩니다.
Use:
선택한 필터를 표시된 목록에 적용하고 첫번째 페이지로 이동하려면 이 버튼을 누릅니다.
Refresh:
목록을 새로 고치려면 이 버튼을 누릅니다.
Reset:
모든 필터를 제거하고 표시된 목록을 첫번째 페이지로 재설정하려면 이 버튼을 누릅니다.
목록의 첫번째 페이지로 이동하려면 이 버튼을 누릅니다.
이전 페이지로 이동하려면 이 버튼을 누릅니다.
다음 페이지로 이동하려면 이 버튼을 누릅니다.
Results in Page:
Options 대화 상자의 Query Page Size 필드에서 구성된 페이지당 레코드 수를 표시합니다.
Agent ID
각 에이전트를 구별하기 위해 사용자가 지정한 고유 식별자를 표시합니다.
Description
에이전트에 대해 설명합니다.
Site
에이전트가 속한 사이트를 나타내는 고유 식별자를 표시합니다.
Default Key Group
에이전트가 명시적으로 다른 키 그룹을 지정하지 않은 경우 이 에이전트가 만든 모든 키와 연관된 키 그룹입니다.
Enabled
에이전트 상태를 나타냅니다. 가능한 값은 True 또는 False입니다. 이 필드가 False이면 에이전트가 KMA에 대한 세션을 설정할 수 없습니다.
Failed Login Attempts
시도된 로그온이 실패한 횟수를 표시합니다.
Enrolled
에이전트가 OKM 클러스터에 성공적으로 등록했는지 여부를 나타냅니다. 가능한 값은 True 또는 False입니다. 이 필드는 에이전트가 처음 만들어진 경우 또는 에이전트의 문장암호가 변경된 경우 False입니다.
에이전트 만들기
에이전트를 만들려면 다음과 같이 하십시오.
-
Agents List 화면에서 Create 버튼을 누릅니다. General 탭이 열린 상태로 Create Agent 대화 상자가 표시됩니다.
-
다음 매개변수의 값을 입력합니다.
Agent ID
에이전트를 고유하게 식별하는 값을 입력합니다. 이 값은 1 ~ 64자(포함) 사이일 수 있습니다.
Description
에이전트를 설명하는 값을 입력합니다. 이 값은 1 ~ 64자(포함) 사이일 수 있습니다.
Site ID
아래쪽 화살표를 누르고 에이전트가 속한 사이트를 강조 표시합니다. 이 필드는 선택 사항입니다.
Flags
에이전트가 문장암호를 재설정한 후 에이전트 ID 및 새 문장암호를 다시 등록하지 않고는 X.509 인증서를 검색할 수 없도록 One Time Passphrase를 선택합니다. 이는 기본값입니다.
One Time Passphrase를 선택하지 않을 경우 에이전트가 언제든지 X.509 인증서를 검색하고, CA 및 인증서 서비스를 사용하고, 에이전트 ID 및 문장암호를 통해 성공적으로 인증할 수 있습니다.
테이프 드라이브 에이전트는 기본값을 지정해야 합니다. PKCS#11 유형의 에이전트에는 이 설정이 보다 편리합니다. 특히 사용자가 다중 노드에서 OKM을 인증할 수 있는 클러스터 구성에서는 이 설정을 사용하는 것이 좋습니다.
Default Key Group ID
준수 관리자 권한이 있을 경우 아래쪽 화살표를 누르고 기본 키 그룹을 강조 표시합니다.
-
Passphrase 탭을 엽니다.
-
다음 매개변수의 값을 입력합니다.
Passphrase
이 사용자에 대한 문장암호를 입력합니다. 최소값은 8자이고 최대값은 64자입니다. 기본값은 8입니다.
문장암호 요구 사항:
-
문장암호에는 사용자의 에이전트 ID가 포함되지 않아야 합니다.
-
문장암호에 대문자, 소문자, 숫자, 특수 문자의 4개 문자 클래스 중 3개를 포함해야 합니다.
-
다음 특수 문자가 허용됩니다.
~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ " < > , . / ?
-
탭, 줄바꿈을 포함한 제어 문자는 허용되지 않습니다.
주:
문장암호의 최소 길이 요구 사항을 수정하려면 "보안 매개변수 수정"을 참조하십시오.Confirm Passphrase
Enter Passphrase 필드에 입력한 것과 동일한 값을 입력합니다.
완성된 Create Agent 대화 상자의 예는 다음과 같습니다.
-
-
Save 버튼을 누릅니다. 에이전트 레코드가 데이터베이스에 추가되고 Agent List 화면에 표시됩니다.
-
에이전트 특정 인터페이스를 사용하여 에이전트 특정 등록 절차를 완료합니다. 예를 들어, StorageTek 드라이브의 경우 VOP(Virtual Operator Panel)를 사용하여 등록 절차를 완료해야 합니다.
에이전트 보기/수정
에이전트 세부 정보를 수정하려면 다음과 같이 하십시오.
-
Agents List 화면에서 세부 정보를 확인할 에이전트 항목을 두 번 누르거나 에이전트 항목을 강조 표시하고 Details 버튼을 누릅니다. Agents Details 대화 상자가 표시됩니다.
-
General 탭을 열고 필요에 따라 다음 필드를 수정합니다.
-
Description
-
Site ID
-
Flags
-
Enabled - 해당 에이전트가 클러스터와 통신할 수 있도록 하려면 이 확인란을 선택합니다.
-
Enrolled - 에이전트가 클러스터에 성공적으로 등록했는지 여부를 나타냅니다. 이 필드는 읽기 전용입니다.
-
One Time Passphrase - 에이전트가 문장암호를 재설정한 후 에이전트 ID 및 새 문장암호를 다시 등록하지 않고는 X.509 인증서를 검색할 수 없도록 하려면 이 확인란을 선택합니다. 이는 기본값입니다.
-
-
One Time Passphrase를 선택하지 않을 경우 에이전트가 언제든지 X.509 인증서를 검색하고, CA 및 인증서 서비스를 사용하고, 에이전트 ID 및 문장암호를 통해 성공적으로 인증할 수 있습니다.
-
테이프 드라이브 에이전트는 기본값을 지정해야 합니다. PKCS#11 유형의 에이전트에는 이 설정이 보다 편리합니다. 특히 사용자가 다중 노드에서 OKM을 인증할 수 있는 클러스터 구성에서는 이 설정을 사용하는 것이 좋습니다.
-
Default Key Group ID - 준수 관리자 권한이 있을 경우 아래쪽 화살표를 누르고 기본 키 그룹을 강조 표시합니다.
-
-
완료되면 Save 버튼을 누릅니다. OKM Manager 데이터베이스가 변경되고 Agents List 화면으로 돌아갑니다.
주:
문장암호가 노출된 경우에만 에이전트 문장암호를 변경해야 합니다. 절차는 "에이전트 문장암호 설정"을 참조하십시오.
에이전트 문장암호 설정
에이전트 문장암호를 설정한 경우 에이전트가 KMA에 대해 자체 인증을 수행하는 데 사용하는 에이전트 인증서를 취소하는 것이 효과적입니다. 운영자는 에이전트 인증서 및/또는 문장암호가 노출된 경우 에이전트 문장암호 인증서를 설정할 수 있습니다.
에이전트 문장암호를 설정하려면 다음과 같이 하십시오.
-
Agents List 화면에서 문장암호를 설정할 에이전트 항목을 두 번 누르거나 에이전트 항목을 강조 표시하고 Details 버튼을 누릅니다. Agent Details 대화 상자가 표시됩니다. Passphrase 탭을 엽니다.
-
다음 필드를 수정하고 Save 버튼을 누릅니다.
-
Enter Passphrase
-
Confirm Passphrase
-
-
데이터베이스가 변경되고 Agents List 화면으로 돌아갑니다.
-
에이전트 특정 절차를 사용하여 에이전트를 다시 등록합니다. 예를 들어, StorageTek 테이프 드라이브의 경우 VOP(Virtual Operator Panel)를 사용하여 OKM 클러스터에 에이전트를 다시 등록해야 합니다. 에이전트 문장암호가 변경된 후 에이전트는 다시 등록되기 전까지 OKM 클러스터에 대한 요청을 생성할 수 없습니다.
Key Group Assignment to Agents 메뉴
Key Group Assignment to Agents 메뉴 옵션을 통해 에이전트에 지정된 키 그룹을 볼 수 있습니다. 절차는 "Key Group Assignment to Agents 메뉴"를 참조하십시오.
Agent Performance List 메뉴
이 메뉴 옵션을 통해 에이전트 성능 정보를 질의할 수 있습니다.
이 패널에는 각 에이전트가 실행한 키 만들기, 키 검색 및 key-wrapping-key 등록 요청에 대한 성능 정보가 표시됩니다. 이 정보에는 속도/개수 값과 처리 시간이 포함됩니다. 키 가져오기 요청은 이러한 값에 포함되지 않습니다.
주:
HP 및 IBM LTO 테이프 드라이브는 키 만들기 요청을 실행하지 않습니다. 대신 키 검색 요청을 실행합니다.속도 값은 이 에이전트가 선택된 기간 내에 해당 요청을 실행한 속도를 나타냅니다. 이는 선택된 속도 표시 간격 시간 단위를 통해 추정된 해당 요청의 평균 속도로 표시됩니다(예: 일별 키 만들기 요청의 추정 평균 수). 속도 표시 간격을 "entire time period"로 설정하면 해당 패널에는 이 에이전트가 선택된 기간 내에 실행한 요청 수가 표시됩니다.
처리 시간은 이 에이전트가 선택된 기간 내에 실행한 요청을 처리하는 데 걸린 평균 시간(밀리초)을 나타냅니다. 이러한 처리 시간은 KMA 관점에서 내부적으로 요청을 처리하는 데 필요한 시간을 설명합니다. 네트워크상의 전송 시간이나 SSL 연결을 설정하는 데 필요한 시간은 포함되지 않습니다.
요청 처리 시간이 사용 가능하려면 OKM 클러스터가 복제 버전 15 이상을 사용해야 합니다.
에이전트 성능을 질의하려면 다음과 같이 하십시오.
-
Agents 메뉴에서 Agent Performance List를 선택합니다.
-
에이전트에 대한 세부 정보를 표시하려면 에이전트를 선택하고 Details 버튼을 누르거나 에이전트를 두 번 누릅니다. Agent Performance Details 대화 상자가 표시됩니다.
Import Keys 메뉴
이 메뉴 옵션은 OKM 클러스터로 키 및 데이터 장치를 가져옵니다. 키 및 데이터 장치 정보는 키 전송 파트너로부터 받은 키 전송 파일에 포함되어 있습니다.
주:
이 화면에서는 OKM 클러스터로 키를 업로드하고 가져올 수 있습니다. 해당 키는 다른 OKM 클러스터에서 내보냅니다.키를 가져오려면 다음과 같이 하십시오.
-
Transfer Partners 메뉴에서 Import Keys를 선택합니다. Import Keys 화면이 표시됩니다.
-
다음 매개변수의 값을 입력합니다.
Destination Key Group:
해당 키를 가져올 대상 키 그룹을 선택합니다.
이 키 그룹의 키 정책에 대해 "Allow Imports" 플래그를 선택해야 합니다. 이 키 그룹은 선택된 보내는 전송 파트너에 대해 허용되는 키 그룹이어야 합니다.
Sending Transfer Partner:
해당 키를 내보낸 보내는 전송 파트너를 선택합니다.
Key Transfer File:
키 전송 파일의 이름을 입력합니다. Browse를 눌러 대상 경로를 선택할 수도 있습니다.
-
Start 버튼을 눌러 업로드 및 키 가져오기 프로세스를 시작합니다. 파일이 업로드되고 적용될 때 이를 나타내는 메시지가 표시됩니다.
데이터 장치
데이터 장치는 논리적 스토리지 장치(예: 디스크, 테이프, 객체)입니다. 데이터 장치는 키 그룹과 연관된 유효한 키 정책으로 보안됩니다. 에이전트는 선택된 데이터 장치에 대한 액세스 권한을 가져야 합니다.
주:
운영자는 데이터 장치 키 그룹 수정을 제외한 모든 기능을 수행할 수 있습니다. 준수 관리자만 데이터 장치의 키 그룹을 수정할 수 있습니다.Data Unit List 메뉴
Data Unit List 메뉴를 통해 다음 작업을 수행할 수 있습니다.
-
데이터 장치 보기
-
데이터 장치 세부 정보 보기/수정
-
데이터 장치에 대한 작동 내역 보기
-
데이터 장치에 대한 사후 작업 키 삭제
-
키 수 보기
데이터 장치 보기
데이터 장치를 보려면 Data Units 메뉴에서 Data Unit List를 선택합니다. Data Unit List 화면이 표시됩니다.
또한 데이터베이스를 스크롤하고 다음 키를 사용하여 데이터 장치 목록을 필터링할 수 있습니다.
-
Data Unit ID
-
External Unique ID
-
Description
-
External Tag
-
Created Date
-
Exported
-
Imported
-
State
Use 버튼을 누르면 표시되는 데이터 장치 목록에 필터가 적용됩니다.
필드 및 해당 설명은 다음과 같습니다.
Filter:
KMA에 대한 질의 결과를 필터링하는 데 사용할 수 있는 필드를 표시합니다. 가능한 값은 다음과 같습니다.
-
Data Unit ID
-
External Unique ID
-
Description
-
External Tag
-
Created Date
-
Imported
-
Exported
-
State
Filter Operator 상자:
아래쪽 화살표를 누르고 원하는 필터 작업을 선택합니다. 가능한 값은 다음과 같습니다.
-
같음 =
-
같지 않음 <>
-
보다 큼 >
-
보다 작음 <
-
크거나 같음 >=
-
작거나 같음 <=
-
다음으로 시작 ~
-
비어 있음
-
비어 있지 않음
Show Data Units in Any Key Group. Use:
표시된 목록에 필터를 적용하려면 이 버튼을 누릅니다.
Refresh:
목록을 새로 고치려면 이 버튼을 누릅니다.
Reset:
모든 필터를 제거하고 표시된 목록을 첫번째 페이지로 재설정하려면 이 버튼을 누릅니다.
목록의 첫번째 페이지로 이동하려면 이 버튼을 누릅니다.
이전 페이지로 이동하려면 이 버튼을 누릅니다.
다음 페이지로 이동하려면 이 버튼을 누릅니다.
Results in Page:
Options 대화 상자의 Query Page Size 필드에서 구성된 페이지당 레코드 수를 표시합니다.
Data Unit ID
각 데이터 장치를 구별하기 위해 시스템에서 생성한 고유 식별자를 표시합니다.
External Unique ID
데이터 장치에 대한 고유 외부 식별자를 표시합니다.
이 값은 에이전트에 의해 OKM으로 전송되고 최종 사용자에게 외부적으로 표시되지 않을 수 있습니다. LTO 4세대 및 5세대 테이프의 경우 제조 시 카트리지에 찍히는 카트리지 일련 번호가 이에 해당합니다. 이 값을 광학 바코드 또는 ANSI 테이프 레이블의 volser와 혼동하지 마십시오. StorageTek 테이프 드라이브에 대해서는 이 값이 사용되지 않습니다.
Description
데이터 장치에 대해 설명합니다.
External Tag
데이터 장치에 대한 고유 외부 태그를 설명합니다.
StorageTek 테이프 라이브러리에 있는 테이프 또는 ANSI 표준 레이블을 사용하는 테이프의 경우 이 필드는 volser입니다. 테이프가 라이브러리에 있고 ANSI 레이블을 사용하면 ANSI 레이블에 포함된 volser와 다를 경우 라이브러리 volser(광학 바코드)가 사용됩니다. ANSI 레이블이 없는 독립형 드라이브에 기록되는 테이프의 경우 이 필드가 비어 있습니다.
주:
LTO 4세대 및 5세대 테이프 드라이브가 기록하는 데이터 장치의 경우 32자가 입력되도록 이 필드의 오른쪽에 공백이 채워집니다. 외부 태그를 채우기 위해 공백을 추가할 필요가 없도록 "Equals =" 필터 연산자 대신 "Starts With ~" 필터 연산자를 사용하는 것이 더 편리할 수 있습니다. 예를 들어, "Starts With" 필터를 사용하는 경우 "External Tag" ~ "ABCDEF"를 입력할 수 있습니다. 대신 "Equals" 필터를 사용하는 경우 32자가 입력되도록 채워야 하므로 "External Tag" = "ABCDEF "를 입력해야 합니다.Created Date
데이터 장치가 만들어지고 등록된 날짜 및 시간을 나타냅니다.
Exported
이 데이터 장치와 연관된 키를 내보냈는지 여부를 나타냅니다.
Imported
이 데이터 장치와 연관된 키를 가져왔는지 여부를 나타냅니다.
State
데이터 장치 상태를 나타냅니다. 가능한 값은 다음과 같습니다.
-
No Key: 데이터 장치가 만들어졌지만 키가 만들어지지 않은 경우 설정됩니다.
-
Readable: 데이터 장치의 키가 데이터 장치의 일부분을 해독(읽기)할 수 있도록 허용하는 경우 설정됩니다.
-
Normal: 데이터 장치의 키가 데이터 장치의 일부분을 해독(읽기)할 수 있도록 허용하는 경우 설정됩니다. 또한 데이터 장치의 Protect and Process 상태 키 하나 이상을 사용하여 데이터를 암호화할 수 있으므로 데이터 장치에 쓸 수 있습니다.
-
Needs Re-key: 데이터 장치에 하나 이상의 Protect and Process 상태 키가 없는 경우 설정됩니다. 데이터 장치의 키가 다시 입력되고 새 활성 키가 지정되기 전까지는 데이터를 암호화하고 이 데이터 장치에 쓰지 않아야 합니다. 에이전트는 암호화에 대해 Protect and Process 상태가 아닌 키를 사용하지 않아야 합니다. 데이터 장치에는 Process Only, Deactivated 또는 Compromised 상태의 키가 있을 수 있습니다. 이러한 세 가지 상태의 키는 해독에 사용할 수 있습니다.
-
Shredded: 이 데이터 장치에 대한 모든 키가 삭제되는 경우 설정됩니다. 데이터 장치를 읽거나 쓸 수 없습니다. 하지만 이 데이터 장치에 대한 새 키를 만들 수 있습니다. 이 경우 상태가 다시 Normal로 바뀝니다.
데이터 장치 세부 정보 보기/수정
주:
운영자가 아닌 경우 데이터 장치 세부 정보를 볼 때 Save 버튼을 비롯한 모든 필드가 사용 안함으로 설정됩니다. 준수 관리자인 경우 Key Group 필드가 사용으로 설정됩니다. Key List 탭에서 Compromise 버튼은 준수 관리자인 경우 사용으로 설정되며 준수 관리자가 아닌 경우 사용 안함으로 설정됩니다.데이터 장치 정보를 수정하려면 다음과 같이 하십시오.
-
Data Unit List 화면에서 수정할 데이터 장치를 선택하고 Details 버튼을 누릅니다. Data Unit Details 대화 상자가 표시됩니다.
-
다음 매개변수를 수정할 수 있습니다.
Description
새 값을 입력합니다. 원래 정보는 등록 중 소프트웨어 암호화 드라이버가 제공합니다. 이 값은 1-64자(포함) 또는 공백일 수 있습니다.
중요 – Description 필드에 문자열 ”
PKCS#11v2.20”이 포함된 경우 Oracle Database TDE(투명한 데이터 암호화)에 사용된 특수 키를 나타냅니다. 이 필드를 변경하지 마십시오. 변경할 경우 OKM이 TDE와 상호 작용하는 방식이 변경될 수 있습니다.External Tag
데이터 장치에 대한 고유 외부 식별자를 입력합니다. 이 값은 1-64자(포함) 또는 공백일 수 있습니다. 일반적으로 이 필드에는 테이프 카트리지의 레이블 또는 바코드가 포함됩니다.
-
Save 버튼을 눌러 변경 사항을 저장합니다.
다음 필드는 편집할 수 없습니다.
General Tab
Data Unit ID
External Unique ID
Created Date
State
Flags Imported/Exported
Key List Tab
Data Unit ID
데이터 장치를 고유하게 식별합니다.
Data Unit Description
데이터 장치에 대해 설명합니다.
Key ID
데이터 장치에 대한 키 정보를 표시합니다.
Key Type
이 키가 사용하는 암호화 알고리즘의 유형을 나타냅니다. 값으로는 AES-256만 사용할 수 있습니다.
Created Date
키가 만들어진 날짜 및 시간을 표시합니다.
Activation Date
키가 활성화된 날짜 및 시간을 표시합니다. 이는 키가 에이전트에 처음 제공된 날짜 및 시간으로, 키의 암호화 기간과 암호화 사용 기간에 대한 시작 날짜 및 시간입니다.
Destroyed Date
키가 삭제된 날짜를 표시합니다. 이 필드가 비어 있으면 키가 삭제되지 않은 것입니다.
Destruction Comment
키 삭제에 대해 사용자가 제공한 정보를 표시합니다. 이 필드가 비어 있으면 키가 삭제되지 않은 것입니다.
Exported
데이터 장치를 내보냈는지 여부를 나타냅니다.
Imported
데이터 장치를 가져왔는지 여부를 나타냅니다.
Derived
마스터 키 공급자가 생성한 마스터 키에서 키가 파생되었는지 여부를 나타냅니다. 자세한 내용은 OKM-ICSF Integration Guide를 참조하십시오.
Revoked
에이전트가 데이터 장치와 연관된 키를 취소했는지 여부를 나타냅니다. "키 정책 보기/수정"을 참조하십시오.
OKM GUI가 연결된 KMA가 OKM 2.5.2 이상을 실행하지만 현재 OKM 클러스터가 복제 버전 13 또는 이전 버전을 사용하는 경우 이 속성이 "(Unknown)"으로 표시됩니다.
Key Group
데이터 장치와 연관된 키 그룹을 표시합니다.
Encryption End Date
데이터 암호화에 키 사용이 중지될 예정이거나 이미 중지된 날짜 및 시간을 표시합니다.
Deactivation Date
키가 비활성화될 예정되거나 이미 비활성화된 날짜 및 시간을 표시합니다.
Compromised Date
키가 노출된 날짜를 표시합니다. 이 필드가 비어 있으면 키가 노출되지 않은 것입니다.
Compromised Comment
키 노출에 대해 사용자가 제공한 정보를 표시합니다. 이 필드가 비어 있으면 키가 노출되지 않은 것입니다.
Key State
데이터 장치의 키 상태를 나타냅니다. 가능한 값은 다음과 같습니다.
Generated
OKM 클러스터의 한 KMA에서 키가 만들어진 경우 설정됩니다. 다중 OKM 클러스터에서 하나 이상의 다른 KMA에 복제될 때까지 생성됨 상태로 유지됩니다. KMA가 하나인 클러스터에서 키는 하나 이상의 백업에서 기록될 때까지 생성된 상태로 유지됩니다.
Ready
복제 또는 백업으로 인한 손실로부터 키가 보호된 경우 설정됩니다. 준비 키는 지정에 사용할 수 있습니다.
Protect and Process
키가 지정되었으며 암호화 에이전트가 새 키를 만들도록 요청한 경우 설정됩니다. 이 상태의 키는 암호화 및 해독 모두에 사용할 수 있습니다.
Process Only
키가 지정되었지만 암호화 기간이 만료된 경우 설정됩니다. 이 상태의 키는 해독에 사용할 수 있지만 암호화에 사용할 수 없습니다.
Deactivated
키의 암호화 사용 기간이 지났지만 정보 처리(해독)에 키가 계속 필요한 경우 설정됩니다.
Compromised
권한이 부여되지 않은 엔티티가 키를 해제하거나 검색한 경우 설정됩니다. 이 상태의 키는 해독에 사용할 수 있지만 암호화에 사용할 수 없습니다.
Incompletely Destroyed
키가 삭제되었지만 하나 이상의 백업에 계속 나타나는 경우 설정됩니다.
Completely Destroyed
삭제된 키가 나타나는 모든 백업이 삭제된 경우 설정됩니다.
Compromised and Incompletely Destroyed
노출된 키가 하나 이상의 백업에 계속 나타나는 경우 설정됩니다.
Compromised and Completely Destroyed
노출된 키가 나타나는 모든 백업이 삭제된 경우 설정됩니다.
Recovery Activated
복구 작업으로 키가 데이터 장치에 연결되었는지 여부를 나타냅니다. 이 상태는 OKM 클러스터의 특정 KMA가 데이터 장치에 키를 사용한 후 실패로 인해 나중에 다른 KMA에서 데이터 장치에 대해 해당 키가 요청되는 경우 발생합니다. 실패(예: 네트워크 중단)로 인해 데이터에 대한 키 할당이 두번째 KMA로 전파되지 않은 경우 두번째 KMA가 데이터 장치에 대한 연결을 만듭니다. 해당 키는 "Recovery Activated" 상태가 되며 관리자는 시스템에서 KMA 또는 네트워크 중단을 평가할 수 있습니다. 가능한 값은 True 및 False입니다.
데이터 장치 키세부 정보
Data Unit Details 화면에서 세부 정보를 표시할 키를 선택하고 Details 버튼을 누릅니다. 다음 화면이 나타납니다.
In Use By Data Unit
복제 버전이 14 이상인 경우 운영자는 이 키와 연관된 데이터 장치의 관계를 나타내는 In Use By Data Unit 확인란을 변경할 수 있습니다. 테이프 드라이브 에이전트에 사용되는 키 정책이 잘못 업데이트되어 Allow Agents To Revoke Keys 속성이 사용으로 설정된 경우 이 확인란을 선택하는 것이 좋습니다. 이 속성에 대한 설명은 "키 정책 보기"를 참조하십시오.
Backups with Destroyed Keys List 탭
데이터 장치는 데이터 장치 키가 포함된 모든 백업이 삭제되기 전까지 "완전히 삭제"된 것으로 간주할 수 없습니다.
Data Unit Details 대화 상자의 Backups with Destroyed Keys List 탭에서 선택된 데이터 장치에 대한 데이터 장치 키와 백업의 삭제 상태를 포함하는 백업을 식별할 수 있습니다.
백업에 특정 데이터 장치 키가 포함되어 있는지 여부를 확인하는 논리는 다음과 같습니다.
데이터 장치 키가 만들어진 후 백업이 만들어졌으며 해당 데이터 장치 키가 삭제되지 않은 경우 또는 데이터 장치 키가 삭제되었으며 백업이 만들어진 후 삭제가 발생한 경우 백업에 데이터 장치 키가 포함됩니다.
하지만 클러스터 내 다양한 KMA의 시계가 자동으로 동기화되지 않아(NTP 서버가 지정되지 않은 경우) 시간이 다르게 보고될 수 있으므로 날짜/시간 비교를 고려해야 합니다. KMA 간의 시간 불일치 가능성을 해결하기 위해 비교에 백업 시간 범위가 사용됩니다. 백업 시간 범위는 5분으로 고정됩니다. 백업 시간 범위를 사용하면 비교 검사가 다음과 같이 작동합니다.
백업 생성 후 5분 이내에 데이터 장치 키가 만들어졌으며 백업 생성 후 5분 이내에 데이터 장치 키가 삭제된 경우 백업에 데이터 장치 키가 포함됩니다.
백업 시간 범위는 데이터 장치가 특정 백업에 존재하지만 존재하지 않는 것으로 잘못 보고될 가능성을 최소화하는 데 사용됩니다. 이 경우를 "가음성"이라고 하며 데이터 삭제에 대한 준수 요구 사항을 심각하게 약화시킵니다. 하지만 백업 시간 범위를 활용하면 데이터 장치 키가 존재하지 않지만 백업에 속하는 것으로 잘못 보고될 가능성이 높아집니다. "가음성"과 달리 "가양성"은 데이터 삭제에 대한 준수 요구 사항을 약화시키지 않습니다.
Data Unit ID
데이터 장치를 고유하게 식별합니다.
Data Unit Description
데이터 장치에 대해 설명합니다.
Data Unit Destruction Status
데이터 장치의 삭제 상태를 나타냅니다.
Backup ID
백업을 식별합니다.
Created Date
백업 파일이 만들어진(백업이 시작된) 날짜 및 시간을 표시합니다.
Destroyed Date
백업 파일이 삭제된 날짜 및 시간을 표시합니다.
Pending:
백업이 아직 보류 중인지 여부를 나타냅니다. 가능한 값은 True 또는 False입니다.
Completed Date:
백업 파일이 완료된 날짜 및 시간을 표시합니다.
Downloaded Date:
백업 파일이 다운로드된 날짜 및 시간을 표시합니다.
-
Save 버튼을 눌러 변경 사항을 저장합니다.
사후 작업 키 삭제
데이터 장치와 연관된 사후 작업 키를 삭제하려면 다음과 같이 하십시오.
-
Data Unit List 화면에서 삭제할 데이터 장치를 강조 표시하고 Destroy Keys 버튼을 누릅니다.
-
삭제할 키를 지정하라는 다음 대화 상자가 표시됩니다.
Deactivated keys
암호화 사용 기간이 지났지만 데이터 정보 처리(해독)에 계속 필요한 키를 삭제하려면 이 확인란을 선택합니다.
Compromised keys
권한이 부여되지 않은 엔티티에 의해 해제되었거나 검색된 키를 삭제하려면 이 확인란을 선택합니다.
해당 키의 삭제에 대한 설명을 입력합니다.
Destruction Comment
-
Destroy 버튼을 누르면 해당 키의 삭제를 확인하는 다른 대화 상자가 표시됩니다.
-
Yes 버튼을 누릅니다. 삭제된 키 수를 보여 주는 다른 대화 상자가 표시됩니다.
Software Upgrade 메뉴
Software Upgrade 메뉴 옵션을 통해 운영자는 소프트웨어 업그레이드 프로세스의 첫번째 단계를 수행할 수 있습니다.
-
KMA으로 소프트웨어 업그레이드 파일 업로드
-
즉시 업그레이드 적용
주:
프로세스의 두번째 단계(소프트웨어 버전 활성화)는 보안 관리자가 수행해야 합니다. 자세한 내용은 "Software Upgrade"를 참조하십시오.
소프트웨어 업데이트를 적용하기 전에 Oracle에서 서명하고 KMA에서 확인합니다.
소프트웨어 업그레이드를 구현하기 위한 지침
-
이 기능을 실행하기 전에 시스템을 백업합니다. 절차는 "백업 만들기"를 참조하십시오.
-
KMA에 로드할 업그레이드 버전과 일치하는 OKM Manager GUI 릴리스를 사용합니다.
-
KMS 2.1 이하를 실행 중인 KMA는 OKM 2.3 이상으로 업그레이드하기 전에 KMS 2.2로 업그레이드해야 합니다.
-
OKM Manager가 KMA에 원격으로 연결되거나 OKM Manager와 KMA 간의 연결이 느린 경우 업로드/적용 프로세스 시간이 길어질 수 있습니다. 이 문제를 해결하려면 OKM Manager가 설치된 랩탑/워크스테이션과, KMA와 동일한 서브넷에 연결된 랩탑/워크스테이션으로 소프트웨어 업그레이드 파일을 다운로드할 수 있습니다. OKM Manager와 KMA 간의 라우터 상태에 따라 업그레이드 프로세스가 느려질 수 있습니다.
-
OKM Manager와 KMA 간의 연결이 양호하면 업로드/적용 프로세스가 최적으로 30분 정도 걸립니다. 활성화 프로세스는 최적으로 5 ~ 15분 정도 걸립니다. 업로드 프로세스가 너무 느리면 KMA와 동일한 서브넷에 연결해 보십시오.
-
(네트워크 로드가 고르게 분산되도록) 한 번에 하나씩 각 KMA에 소프트웨어 업그레이드 파일을 업로드/적용하고 (동시에 오프라인 상태인 KMA 수를 최소화하기 위해) 한 번에 하나씩 각 KMA에 소프트웨어 업그레이드를 활성화합니다.
-
업그레이드 프로세스 중 하나라도 실패하면(업로드, 확인, 적용, 활성화, 복제 버전 전환) OKM Manager가 실패 이유와 권장 해결 방법을 설명하는 감사 메시지를 생성합니다.
-
업그레이드된 KMA에 기술 지원 계정이 사용 안함으로 설정되므로, 필요한 경우 계정을 다시 사용으로 설정해야 합니다.
소프트웨어 업그레이드 업로드 및 적용
소프트웨어 업그레이드 프로세스의 첫번째 단계는 소프트웨어 업그레이드 파일을 업로드 및 적용하는 것입니다.
-
전달 위치에서 PC 또는 워크스테이션으로 소프트웨어 업그레이드 파일을 다운로드합니다. 버전은 파일 이름에 표시됩니다.
주:
OKM Manager GUI에서 이동할 수 있는 위치에 파일을 저장하십시오. -
Local Configuration 메뉴에서 Software Upgrade를 선택합니다. Software Upgrade 화면이 표시됩니다.
소프트웨어의 활성 버전이 강조 표시되며 Active 열이 True로 설정되고 비활성 버전이 표시됩니다.
이 화면에 나타나는 버튼은 다음과 같습니다.
Activate
보안 관리자는 비활성 소프트웨어 버전을 선택한 다음 이 버튼을 눌러 선택된 소프트웨어 버전을 활성화할 수 있습니다. 이 소프트웨어 버전을 활성화할 때 KMA가 재부트된다는 메시지가 표시됩니다.
Switch Replication Version
보안 관리자는 활성 소프트웨어 버전을 선택한 다음 이 버튼을 눌러 현재 복제 버전을 전환할 수 있습니다.
Software Upgrade File Name
소프트웨어 업그레이드 파일의 이름을 입력합니다.
Browse
로컬 시스템에서 소프트웨어 업그레이드 파일을 찾으려면 이 버튼을 누릅니다.
Upload and Apply
업로드 및 적용 프로세스를 시작하려면 이 버튼을 누릅니다. 소프트웨어 업그레이드 파일이 업로드되고 적용될 때 이를 나타내는 메시지가 표시됩니다.
-
Software Upgrade File Name 필드에 소프트웨어 업그레이드 파일의 이름을 입력합니다. Browse 버튼을 선택하여 파일을 찾을 수도 있습니다. Upload and Apply 버튼을 누릅니다.
OKM이 업로드, 확인 및 적용 프로세스를 시작하고 프로세스 진행 단계를 나타내는 진행률 표시기를 보여 줍니다.
주:
업로드 프로세스로 인해 네트워크에 트래픽이 가중되므로 사용 중인 클러스터에서 KMA를 동시에 업로드하지 않을 수도 있습니다.
소프트웨어 버전 활성화
소프트웨어 업그레이드 프로세스의 두번째 단계는 업로드 및 적용한 비활성 소프트웨어 버전을 활성화하는 것입니다. 보안 관리자가 이 작업을 구현해야 합니다. 자세한 내용은 "Software Upgrade"를 참조하십시오.
기타 기능
운영자는 다음 메뉴에도 액세스할 수 있습니다.
-
백업 파일 세부 정보 확인 절차는 "Backup List 메뉴"를 참조하십시오.
-
감사 이벤트 목록 확인 절차는 "Audit Event List 메뉴"를 참조하십시오.
-
KMA 목록 확인 절차는 "KMA List 메뉴"를 참조하십시오.
-
사이트 목록 확인 절차는 "Site List 메뉴"를 참조하십시오.
-
SNMP 관리자 목록 확인 절차는 "SNMP Manager List 메뉴"를 참조하십시오.
-
KMA 잠금 상태 확인 절차는 "Lock/Unlock KMA"를 참조하십시오.
-
KMA List 메뉴 액세스 절차는 "KMA List 메뉴"를 참조하십시오.
-
이 OKM 클러스터의 KMA에 대한 KMA 성능 정보 질의 절차는 "KMA Performance List 메뉴"를 참조하십시오.
-
GUI가 연결된 KMA에 대한 로드 정보 질의 절차는 "Current Load 메뉴"를 참조하십시오.
-
데이터 장치를 질의하지 않고 바로 키를 질의하는 절차는 "Key List 메뉴"를 참조하십시오.