어플라이언스는 내장 LOCAL 키 저장소 및 OKM 및 KMIP 키 저장소에 연결할 수 있는 기능을 제공합니다. 암호화된 각 풀, 프로젝트 또는 공유에는 키 저장소의 래핑 키가 필요합니다. 데이터 암호화 키는 스토리지 어플라이언스에 의해 관리되며 키 저장소의 래핑 키에 의해 암호화되어 영구적으로 저장됩니다.
OKM은 급증하는 엔터프라이즈의 스토리지 기반 데이터 암호화에 대한 요구에 부응하는 포괄적인 KMS(키 관리 시스템)입니다. 개방형 표준을 준수하도록 개발된 이 기능은 널리 배포된 이기종 스토리지 기반구조에서 중앙 집중식으로 암호화 키를 관리할 수 있는 용량, 확장성 및 상호 운용성을 제공합니다.
OKM은 다음과 같은 스토리지 키 관리만의 문제를 해결합니다.
장기 키 보존 – OKM은 아카이브 데이터를 항상 사용할 수 있도록 보장하며, 전체 데이터 수명 주기 동안 암호화 키를 안전하게 보존합니다.
상호 운용성 - OKM은 단일 스토리지 키 관리 서비스를 통해 메인프레임 또는 개방형 시스템에 연결된 다양한 범위의 스토리지 장치를 지원하는 데 필요한 상호 운용성을 제공합니다.
고가용성 - OKM은 어플라이언스가 같은 지점에 모여 있는지 전 세계에 분포되어 있는지에 상관없이 활성 N 노드 클러스터링, 동적 로드 균형 조정, 자동화된 페일오버를 통해 고가용성을 제공합니다.
고용량 - OKM은 수많은 스토리지 장치와 그보다 더 많은 수의 스토리지 키를 관리합니다. 단일 클러스터화된 어플라이언스는 수천 개의 스토리지 장치 및 수백 개의 스토리지 키에 대한 키 관리 서비스를 제공할 수 있습니다.
유연한 키 구성 - OKM 클러스터마다 키를 자동으로 생성하거나, LOCAL 또는 OKM 키 저장소에 대해 개별적으로 키를 생성할 수 있습니다. 보안 관리자가 키 이름을 제공합니다. 키 이름을 키 저장소와 함께 사용할 경우 제공된 래핑 키가 풀, 프로젝트 또는 공유와 연관됩니다.
KMIP 키 저장소는 Oracle Key Vault를 포함하여 KMIP 호환 서버와 함께 사용됩니다. Oracle Key Vault는 전용 서버에 설치되고 OASIS KMIP 표준을 지원하는 소프트웨어 어플라이언스입니다.
여러 KMIP 서버가 나열된 경우 현재 서버가 응답하지 않으면 어플라이언스가 대체 서버로 페일오버합니다. 구성된 각 KMIP 서버는 어플라이언스에 동일한 키 세트를 제공해야 하며 클라이언트 인증을 위해 어플라이언스에서 제공되는 동일한 인증서를 수락해야 합니다.
KMIP 서버 및 클라이언트 인증서 세트는 키 저장소에서 키를 제거하지 않고도 변경될 수 있습니다.
Match Hostname(호스트 이름 일치)
이 옵션이 사용으로 설정되었으면 시스템에서 지정된 KMIP 서버가 피어 서버 인증서에 지정된 호스트와 일치하는지 확인합니다.
KMIP를 사용하면 호스트 이름 또는 IP 주소를 사용하여 KMIP 서버를 지정할 수 있습니다. KMIP 서버의 IP 주소를 지정할 때 CA로 설명된 인증서 주체 일반 이름에 도메인 이름만 포함된 경우, 인증서에 대한 호스트 검증이 실패합니다. Match Hostname(호스트 이름 일치) BUI 옵션이 사용 안함으로 설정되었거나 host_match CLI 등록 정보가 false로 설정된 경우 호스트 검증이 수행되지 않습니다.
더 강력한 보안을 위해서는 호스트 검증을 수행하십시오. 호스트 이름을 사용하여 KMIP 서버를 지정하고 호스트 검증 옵션을 사용으로 설정합니다.
Destroy or Preserve a Key on the Server(서버에서 키 삭제 또는 보존)
KMIP에는 어플라이언스에서 키를 삭제할 때 KMIP 서버에서 키를 삭제하거나 보존하는 옵션이 있습니다. 이 옵션을 사용으로 설정하면 어플라이언스에 알려진 키 목록에서 삭제되는 키가 키 서버에서도 삭제됩니다. 이 옵션이 사용 안함으로 설정되었으면 어플라이언스의 키 목록에서 삭제된 후 키 서버에 보존됩니다.
어플라이언스에서 삭제된 후 키 서버에 키를 보존해야 하는 경우에 대한 한 가지 예는 Oracle Key Vault에서 여러 개별 어플라이언스에 동일한 키 세트가 표시되도록 구성된 경우입니다. 한 어플라이언스에서 키를 삭제하고, 이 키가 키 서버에서 삭제되면, 키를 찾을 수 없고, 키가 이미 삭제된 것으로 표시되기 때문에 이 키를 삭제할 수 없고, 다른 어플라이언스의 목록에는 키가 보존됩니다.
어플라이언스에서 키를 삭제한 후 키 서버에 키를 보존해야 하는 경우에 대한 또 다른 예는 복제를 사용하여 어플라이언스 용도를 바꾸려는 경우입니다. 어플라이언스에서 모든 소스를 이동(복제)하고 이동된 소스를 동일한 키로 암호화해야 합니다. 애플리케이션 프로세스가 원래 소스 어플라이언스를 지우고 키를 삭제할 때 키가 키 서버에서 삭제된 경우 복제본의 공유를 해당 키로 암호화할 수 없습니다.
비활성 상태의 OKM 또는 KMIP 키를 사용하는 공유, 프로젝트 및 풀에는 계속 액세스할 수 있습니다. OKM 또는 KMIP 키가 사용되지 않도록 방지하려면 키를 명시적으로 삭제해야 합니다.
암호화된 공유, 프로젝트 및 풀에 액세스할 수 있도록 하려면 어플라이언스 구성 및 LOCAL 키 저장소 키 값을 백업하십시오. 키를 사용할 수 없는 경우 해당 키를 사용하는 공유, 프로젝트 또는 풀에 액세스할 수 없게 됩니다.
풀 키를 사용할 수 없는 경우 해당 풀에 프로젝트를 새로 만들 수 없습니다.
프로젝트 키를 사용할 수 없는 경우 해당 프로젝트에 공유를 새로 만들 수 없습니다.
키는 다음과 같은 방법으로 사용할 수 없게 만들 수 있습니다.
키 삭제
암호화를 지원하지 않는 릴리스로 롤백
키가 구성되지 않은 릴리스로 롤백
공장 초기화 재설정
OKM 또는 KMIP 서버를 사용할 수 없음
다음 표는 BUI 및 CLI 암호화 키 값 및 설명을 보여줍니다. 암호화 유형에서 데이터 중복 제거가 가능한지 여부도 나타냅니다.
|