6.2. S3 서버 측 암호화
Ceph Object Gateway는 S3 API(애플리케이션 프로그래밍 인터페이스)에 대해 업로드된 오브젝트의 서버 측 암호화를 지원합니다. 서버 측 암호화는 S3 클라이언트가 HTTP를 통해 암호화되지 않은 형태로 데이터를 보내고 Ceph Object Gateway는 해당 데이터를 Red Hat Ceph Storage 클러스터에 암호화된 형식으로 저장함을 의미합니다.
Red Hat은 SLO(Static Large Object) 또는 DLO(Dynamic Large Object)의 S3 객체 암호화를 지원하지 않습니다.
암호화를 사용하려면 클라이언트 요청에서 SSL 연결을 통해 요청을 보내야 합니다. Red Hat은 Ceph Object Gateway에서 SSL을 사용하지 않는 한 클라이언트에서 S3 암호화를 지원하지 않습니다. 그러나 테스트 목적으로 관리자는 ceph 구성 set client.rgw 명령을 사용하여 런타임 시 다음 Ceph Object Gateway 인스턴스를 다시 시작하여 테스트 중에 SSL을 비활성화할 수 있습니다.
rgw_crypt_require_ssl 구성 설정을 false 로 설정한
프로덕션 환경에서는 암호화된 요청을 SSL을 통해 보낼 수 없습니다. 이러한 경우 HTTP를 서버 측 암호화와 함께 사용하여 요청을 보냅니다.
서버 측 암호화를 사용하여 HTTP를 구성하는 방법에 대한 자세한 내용은 아래 추가 리소스 섹션을 참조하십시오.
암호화 키 관리에 대한 두 가지 옵션이 있습니다.
고객 제공 키
고객 제공 키를 사용하는 경우 S3 클라이언트는 암호화된 데이터를 읽거나 쓰기 위한 각 요청과 함께 암호화 키를 전달합니다. 이러한 키를 관리하는 것은 고객의 책임입니다. 고객은 각 오브젝트를 암호화하는 데 사용되는 Ceph 개체 게이트웨이를 기억해야 합니다.
Ceph Object Gateway는 Amazon SSE-C 사양에 따라 S3 API에서 고객 제공 키 동작을 구현합니다.
고객이 키 관리를 처리하고 S3 클라이언트는 Ceph Object Gateway에 키를 전달하므로 Ceph Object Gateway에는 이 암호화 모드를 지원하는 특별한 구성이 필요하지 않습니다.
키 관리 서비스
키 관리 서비스를 사용하는 경우 보안 키 관리 서비스는 키를 저장하고 Ceph Object Gateway는 필요에 따라 데이터를 암호화하거나 암호 해독하기 위한 요청을 제공합니다.
Ceph Object Gateway는 Amazon SSE-KMS 사양에 따라 S3 API에서 키 관리 서비스 동작을 구현합니다.
현재 테스트된 유일한 키 관리 구현은 H¢Corp Vault와 OpenStack Barbican입니다. 그러나 OpenStack Barbican은 기술 프리뷰이며 프로덕션 시스템에서 사용할 수 없습니다.
