5.3. 데이터 암호화 옵션

Red Hat OpenShift Data Foundation은 스토리지 클러스터의 모든 디스크 및 Multicloud Object Gateway 작업에 대해 클러스터 전체 암호화(encryption-at-rest)를 지원합니다. OpenShift Data Foundation은 키 크기가 512비트이고 각 장치에 다른 암호화 키가 있는 aes-xts-plain64 암호와 함께 Linux Unified Key System(LUKS) 버전 2 기반 암호화를 사용합니다. 키는 Kubernetes 시크릿 또는 외부 KMS를 사용하여 저장됩니다. 두 방법 모두 함께 사용할 수 없으며 메서드 간에 마이그레이션할 수 없습니다.

블록 및 파일 스토리지에 대해 암호화는 기본적으로 비활성화되어 있습니다. 배포 시 클러스터에 대한 암호화를 활성화할 수 있습니다. MultiCloud Object Gateway는 기본적으로 암호화를 지원합니다. 자세한 내용은 배포 가이드를 참조하십시오.

클러스터 전체 암호화는 KMS(Key Management System) 없이 OpenShift Data Foundation 4.6에서 지원됩니다. OpenShift Data Foundation 4.7부터는 HashiCorp Vault KMS를 지원하며 사용하지 않습니다. OpenShift Data Foundation 4.12부터 HashiCorp Vault KMS 및 Thales CipherTrust Manager KMS를 모두 지원하며 사용하지 않습니다.

보안 일반적인 관행에는 정기적으로 암호화 키 순환이 필요합니다. Red Hat OpenShift Data Foundation은 kubernetes 시크릿(non-KMS)에 저장된 암호화 키를 매주 자동으로 순환합니다.

HashiCorp Vault KMS를 사용한 클러스터 전체 암호화는 다음 두 가지 인증 방법을 제공합니다.

외부 KMS(Key Management System)를 사용하여 스토리지 클래스 암호화를 사용하여 영구 볼륨(블록만 해당)을 암호화하여 장치 암호화 키를 저장할 수 있습니다. 영구 볼륨 암호화는 RADOS 블록 장치(RBD) 영구 볼륨에서만 사용할 수 있습니다. 영구 볼륨 암호화를 사용하여 스토리지 클래스를 생성하는 방법을 참조하십시오.

스토리지 클래스 암호화는 HashiCorp Vault KMS를 사용하여 OpenShift Data Foundation 4.7 이상에서 지원됩니다. 스토리지 클래스 암호화는 HashiCorp Vault KMS 및 Thales CipherTrust Manager KMS를 사용하여 OpenShift Data Foundation 4.12 이상에서 지원됩니다.

Red Hat OpenShift Data Foundation 버전 4.12는 배포에 Thales CipherTrust Manager를 추가 KMS(Key Management System) 공급자로 도입했습니다. Thales CipherTrust Manager는 중앙 집중식 키 라이프사이클 관리를 제공합니다. CipherTrust Manager는 키 관리 시스템 간 통신을 가능하게 하는 KMIP(Key Management Interoperability Protocol)를 지원합니다.

배포 중에 CipherTrust Manager가 활성화됩니다.

OpenShift Data Foundation 버전 4.14부터 Red Hat Ceph Storage의 전달자 버전 2 프로토콜을 사용하여 데이터를 전송 중으로 암호화할 수 있습니다. 이는 인프라에 대한 중요한 보안 요구 사항을 제공합니다.

클러스터를 생성하는 동안 배포 중에 전송 중 암호화를 활성화할 수 있습니다. 클러스터 생성 중 데이터 암호화 활성화에 대한 지침은 환경에 대한 배포 가이드를 참조하십시오.

msgr2 프로토콜은 다음 두 가지 연결 모드를 지원합니다.

crc

보안

기본 모드는 crc 입니다.