17.4. 재해 복구 고려 사항
이 섹션에서는 몇 가지 잠재적 재해 상황과 각 상황에 대응하는 절차에 대해 설명합니다. 추가 상황이 발견되거나 가능할 것으로 추정되면 여기에 추가됩니다.
17.4.1. 클라이언트 시스템 손실
Tang 서버를 사용하여 디스크 파티션을 해독하는 클러스터 노드가 손실되는 것은 재해가 아닙니다. 시스템이 도난되었는지, 하드웨어 장애 발생 또는 다른 손실 시나리오는 중요하지 않습니다. 디스크는 암호화되어 복구할 수 없는 것으로 간주됩니다.
그러나 도난이 발생하는 경우 Tang 서버의 키를 미리 교체하고 나머지 모든 노드의 키를 다시 입력하여 공격자가 Tang 서버에 액세스할 수 있는 경우에도 디스크를 복구할 수 없게 됩니다.
이 상황에서 복구하려면 노드를 다시 설치하거나 교체합니다.
17.4.2. 클라이언트 네트워크 연결 손실에 대한 계획
개별 노드에 대한 네트워크 연결이 끊어지면 자동으로 부팅할 수 없게 됩니다.
네트워크 연결이 끊어질 수 있는 작업을 계획하는 경우 현장 기술자가 수동으로 사용할 암호를 표시한 다음 나중에 키를 교체하여 무효화할 수 있습니다.
프로세스
네트워크를 사용할 수 없게 되기 전에 다음 명령을 사용하여
/dev/vda2
장치의 첫 번째-s 1
슬롯에 사용된 암호를 표시하십시오.$ sudo clevis luks pass -d /dev/vda2 -s 1
이 값을 무효화하고 다음 명령을 사용하여 임의의 부팅 시간 암호를 다시 생성합니다.
$ sudo clevis luks regen -d /dev/vda2 -s 1
17.4.3. 예기치 않은 네트워크 연결 손실
네트워크 중단이 예기치 않고 노드가 재부팅되면 다음 시나리오를 고려하십시오.
- 노드가 여전히 온라인 상태인 경우 네트워크 연결이 복원될 때까지 재부팅하지 않아야 합니다. 이는 단일 노드 클러스터에는 적용되지 않습니다.
- 노드는 네트워크 연결이 복원되거나 사전 설정된 암호가 콘솔에 수동으로 입력될 때까지 오프라인 상태로 유지됩니다. 예외적으로 네트워크 관리자는 액세스를 다시 설정하기 위해 네트워크 세그먼트를 재구성할 수 있지만, NBDE의 의도에 어긋나는 것으로 네트워크 액세스 권한이 부족하다는 것은 부팅 기능이 없다는 것을 의미합니다.
- 노드에서 네트워크 액세스 권한이 부족하면 노드의 기능 및 부팅 기능에 영향을 줄 것으로 예상할 수 있습니다. 노드가 수동 조작을 통해 부팅되는 경우에도 네트워크 액세스 부족으로 인해 거의 사용되지 않습니다.
17.4.4. 수동으로 네트워크 연결 복구
네트워크 복구를 위해 현장 기술자도 다소 복잡하고 수동 집약적인 프로세스를 사용할 수 있습니다.
프로세스
- 현장 기술자는 하드 디스크에서 Clevis 헤더를 추출합니다. BIOS 잠금에 따라 이 작업을 수행하려면 디스크를 제거하고 랩 시스템에 설치해야 할 수 있습니다.
- 현장 기술자는 Tang 네트워크에 대한 합법적 액세스 권한이 있는 Clevis 헤더를 동료에게 전송합니다. 그런 다음 암호 해독을 수행합니다.
- Tang 네트워크에 대한 제한된 액세스의 필요성으로 인해 기술자는 VPN 또는 기타 원격 연결을 통해 해당 네트워크에 액세스할 수 없어야 합니다. 마찬가지로 기술자는 디스크의 암호를 자동으로 해독하기 위해 원격 서버를 이 네트워크에 패치할 수 없습니다.
- 기술자는 디스크를 다시 설치하고 동료가 제공한 일반 텍스트 암호를 수동으로 입력합니다.
- Tang 서버에 직접 액세스하지 않아도 시스템이 성공적으로 시작됩니다. 설치 사이트에서 네트워크 액세스가 가능한 다른 사이트로 주요 자료의 전송은 신중하게 수행해야 합니다.
- 네트워크 연결이 복원되면 기술자는 암호화 키를 교체합니다.
17.4.5. 네트워크 연결의 긴급 복구
네트워크 연결을 수동으로 복구할 수 없는 경우 다음 단계를 고려하십시오. 네트워크 연결을 복구하는 다른 방법을 사용할 수 있는 경우 이러한 단계는 권장되지 않습니다.
- 이 방법은 매우 신뢰할 수 있는 기술자만 수행해야 합니다.
- Tang 서버의 핵심 자료를 원격 사이트로 가져오는 것은 주요 자료의 위반으로 간주되며 모든 서버를 재암호화하고 다시 암호화해야 합니다.
- 이 방법은 극단적 사례에서만 사용하거나 실효성을 입증하기 위해 개념 증명 복구 방법으로 사용해야 합니다.
- 마찬가지로 극단적이지만 이론적으로 가능한 것은 무중단 전력 공급 장치(UPS)로 서버에 전원을 공급하고, 서버를 네트워크 연결이 있는 위치로 전송하여 디스크를 부팅하고 암호를 해독한 다음, 계속 작업을 계속하기 위해 원래 위치에 서버를 복원하는 것입니다.
- 백업 수동 암호를 사용하려면 오류 상황이 발생하기 전에 생성해야 합니다.
- 공격 시나리오가 독립 실행형 Tang 설치에 비해 TPM 및 Tang에서 더 복잡해지므로 동일한 방법을 활용하는 경우 긴급 재해 복구 프로세스도 더 복잡해집니다.
17.4.6. 네트워크 세그먼트 손실
네트워크 세그먼트가 손실되어 Tang 서버를 일시적으로 사용할 수 없게 되므로 다음과 같은 결과가 발생합니다.
- 다른 서버를 사용할 수 있는 경우 OpenShift Container Platform 노드는 정상적으로 계속 부팅됩니다.
- 새 노드는 네트워크 세그먼트가 복원될 때까지 암호화 키를 설정할 수 없습니다. 이 경우 고가용성 및 중복성을 위해 원격 지리적 위치에 대한 연결을 확인하십시오. 새 노드를 설치하거나 기존 노드를 다시 시작하는 경우 해당 작업에서 참조하는 모든 Tang 서버를 사용할 수 있어야 하기 때문입니다.
각 클라이언트가 가장 가까운 세 클라이언트에 연결되어 있는 5개 지역과 같이 매우 다양한 네트워크를 위한 하이브리드 모델은 조사할 만한 가치가 있습니다.
이 시나리오에서 새 클라이언트는 연결할 수 있는 서버의 하위 집합을 사용하여 암호화 키를 설정할 수 있습니다. 예를 들어 tang1
, tang2
및 tang3
서버 세트에서 tang2
에 연결할 수 없는 클라이언트가 여전히 tang1
및 tang3
을 사용하여 암호화 키를 설정할 수 있고 나중에 전체 세트로 다시 설정될 수 있습니다. 이로 인해 수동 조작이나 사용 가능한 더 복잡한 자동화가 포함될 수 있습니다.
17.4.7. Tang 서버 손실
주요 자료가 동일한 서버 세트 내에서 부하 분산된 서버 집합 내에서 개별 Tang 서버가 손실되는 것은 클라이언트에 완전히 투명합니다.
동일한 URL(즉, 전체 부하 분산 집합)과 연결된 모든 Tang 서버의 일시적인 오류는 네트워크 세그먼트 손실과 동일하게 간주될 수 있습니다. 미리 구성된 다른 Tang 서버를 사용할 수 있는 한 기존 클라이언트는 디스크 파티션을 암호 해독할 수 있습니다. 새 클라이언트는 이러한 서버 중 하나 이상이 온라인 상태가 될 때까지 등록할 수 없습니다.
서버를 다시 설치하거나 백업에서 서버를 복원하여 Tang 서버의 물리적 손실을 완화할 수 있습니다. 주요 자료의 백업 및 복원 프로세스가 무단 액세스로부터 적절히 보호되는지 확인합니다.
17.4.8. 손상된 주요 자료 키 재지정
Tang 서버 또는 관련 데이터의 물리적 도난을 통해 키 자료가 권한 없는 타사에 노출되는 경우 키를 즉시 교체합니다.
프로세스
- 영향을 받는 자료를 보관하는 모든 Tang 서버에 키를 다시 입력합니다.
- Tang 서버를 사용하여 모든 클라이언트를 다시 입력합니다.
- 원래의 주요 자료를 삭제합니다.
- 마스터 암호화 키의 의도하지 않은 노출을 초리해는 모든 경우를 확인합니다. 가능한 경우 손상된 노드를 오프라인으로 사용하여 디스크를 다시 암호화합니다.
속도가 느리지만 동일한 물리적 하드웨어에 다시 포맷하고 다시 설치하면 자동화 및 테스트가 쉽습니다.