VSM 7에서는 스토리지 디스크 외장 장치 드라이브에 보관 중인 데이터를 암호화하기 위한 기능이 지원됩니다. 기능이 사용으로 설정된 경우 Solaris 11.3 ZFS는 실제 암호화를 수행합니다. Solaris ZFS는 FIPS 140-2 인증을 받았습니다.
서비스 담당자는 VSM 7 시스템 노드 1의 명령 셸에서 유틸리티를 실행하여 암호화 기능을 사용으로 설정합니다. VSM 7 응용 프로그램이 종료된 상태에서만 기능 유틸리티를 실행할 수 있습니다.
고객 데이터가 없는 새 설치의 경우 암호화를 사용 또는 사용 안함으로 설정하는 데 몇 분이면 충분합니다.
고객 데이터가 이미 있는 기존 VSM 7의 경우에는 스토리지 디스크 외장 장치 어레이의 현재 사용률이 총 물리적 용량의 90% 미만일 때만 암호화 기능을 사용으로 설정할 수 있습니다.
기존 데이터 변환(암호화되지 않은 데이터에서 암호화된 데이터로의 변환 또는 암호화된 데이터에서 암호화되지 않은 데이터로의 변환)은 물리적 데이터의 TB당 약 105분이 걸립니다.
보관 중인 VTV 데이터 암호화가 사용으로 설정된 경우 시스템의 다른 부분에서도 데이터를 디스크에 쓰기 전 데이터가 암호화되고 데이터를 읽을 때 데이터가 해독됩니다. 처리량 성능 저하는 5% 미만입니다.
암호화 기능이 사용으로 설정되면 미러링된 서버의 rpool 디스크 드라이브에 있는 고정된 위치에 암호화 권한 부여 키가 저장되며 USB 스토리지 장치에 백업 복사본이 만들어집니다. 이 기능을 사용으로 설정하려면 USB 스토리지 장치를 사용할 수 있어야 합니다.
암호화 권한 부여 키가 만들어질 때는 하나의 USB 스토리지 장치만 VSM 7 노드 1 USB 포트에 연결되어야 합니다. 검색된 USB 스토리지 장치가 여러 개인 경우 키가 만들어지지 않습니다.
암호화 권한 부여 키가 미러링된 서버의 rpool 디스크에서 손실된 경우 키가 만들어지거나 변경될 때 백업에 사용된 USB 스토리지 장치에서 키를 복원할 스크립트가 제공됩니다.
암호화 권한 부여 키가 없어 고객 데이터 파일 시스템을 마운트할 수 없을 경우 VSM 7 응용 프로그램이 시작되지 않습니다.
사용되는 ZFS 지원 암호화 알고리즘은 AES-256-CCM입니다. 권한 부여 키는 pktool(1) 유틸리티 프로그램을 통해 생성되며 암호화 기능 유틸리티를 통해 호출되는 256비트 파일입니다.
암호화가 사용으로 설정된 VSM 7을 용량 업그레이드하면 단순히 스토리지 디스크 외장 장치 어레이의 스토리지 크기만 늘어나며, 업그레이드 시에 존재하던 암호화 설정이 그대로 유지됩니다.
VSM 7으로 소프트웨어를 업그레이드하면 미러링된 서버의 rpool 디스크 드라이브에 저장된 암호화 권한 부여 키가 보존됩니다.
VSM 7 CLI에는 암호화 기능이 사용으로 설정되었는지 여부가 나타나며, 서비스 담당자가 암호화 권한 부여 키를 변경할 수 있습니다. 키를 변경하면 변경 전 저장된 VTV 데이터에 대해서는 액세스가 무효화되지 않습니다. 키를 변경하면 이전 암호화 권한 부여 키가 폐기되고 암호화된 VTV 파일 시스템에 대한 액세스를 검증하는 데 필요한 새 키가 생성됩니다. 만드는 과정 등에서 키를 변경하려면 미러링된 서버의 rpool 디스크 드라이브에 저장된 키에 대한 백업 위치로 단일 USB 스토리지 장치가 검색되어야 합니다.
암호화 권한 부여 키는 두 서버의 미러링된 rpool 디스크 드라이브에 저장됩니다. 키의 위치는 /lib/svc/method/application/vsm/.vsm_keystore 디렉토리입니다. 키의 파일 이름 형식은 _yyymmddhhmmssnnn.key입니다. 키의 이전 세대가 동일한 디렉토리에 유지됩니다. 키가 만들어지거나 변경될 때마다 이 디렉토리에 있는 키의 모든 세대가 USB 스토리지 장치에 백업됩니다.