20.8. 데이터 암호화


이 옵션은 구현자가 디스크에 저장되거나 네트워크를 통해 전송되는 경우(예: 아래 설명된 OpenStack 볼륨 암호화 기능)를 통해 프로젝트 데이터를 암호화하는 데 있습니다. 이는 사용자가 공급자에게 전송하기 전에 자신의 데이터를 암호화하는 일반적인 권장 사항 이상입니다.

프로젝트를 대신하여 데이터를 암호화하는 것의 중요성은 공격자가 프로젝트 데이터에 액세스할 수 있는 공급자가 가정하는 위험과 관련이 있습니다. 여기에는 정부 요구 사항, 정책별 요구 사항, 프라이빗 계약 또는 퍼블릭 클라우드 공급자의 프라이빗 계약 관련 법률이 있을 수 있습니다. 프로젝트 암호화 정책을 선택하기 전에 위험 평가 및 법적 조언을 얻는 것이 좋습니다.

인스턴스별 또는 개체별 암호화는 내림차순, 프로젝트별, 호스트별 및 클라우드별 집계에 더 적합합니다. 이 권장 사항은 구현의 복잡성과 어려움에 반하지 않습니다. 현재 일부 프로젝트에서는 프로젝트별로도 암호화를 느슨하게 세밀하게 구현하기가 어렵거나 불가능합니다. 구현자는 프로젝트 데이터를 암호화할 때 고려해야 합니다.

종종 데이터 암호화는 단순히 키를 던지고 프로젝트 및 인스턴스별 데이터를 안정적으로 삭제하는 기능과 관련이 있습니다. 이렇게 하면 안정적이고 안전한 방식으로 키를 파괴하는 것이 중요합니다.

사용자에 대한 데이터를 암호화할 수 있는 기회가 있습니다.

  • Object Storage 오브젝트
  • 네트워크 데이터

20.8.1. 볼륨 암호화

OpenStack의 볼륨 암호화 기능은 프로젝트별로 개인 정보 보호를 지원합니다. 지원되는 기능은 다음과 같습니다.

  • 대시보드 또는 명령줄 인터페이스를 통해 시작된 암호화된 볼륨 유형 생성 및 사용
  • 암호화 알고리즘 및 키 크기와 같은 선택 매개변수 활성화
  • iSCSI 패킷에 포함된 볼륨 데이터가 암호화됨
  • 원래 볼륨이 암호화된 경우 암호화된 백업 지원
  • 볼륨 암호화 상태의 대시보드 표시입니다. 볼륨이 암호화되었음을 나타내고 알고리즘 및 키 크기와 같은 암호화 매개변수를 포함합니다.
  • 키 관리 서비스와 인터페이스

20.8.2. Object Storage 오브젝트

Object Storage(swift)는 스토리지 노드에서 미사용 오브젝트 데이터의 선택적 암호화를 지원합니다. 오브젝트 데이터의 암호화는 권한이 없는 당사자가 디스크에 대한 물리적 액세스 권한을 얻는 경우 사용자의 데이터를 읽을 위험을 완화하기 위한 것입니다.

미사용 데이터의 암호화는 프록시 서버 WSGI 파이프라인에 포함될 수 있는 미들웨어에 의해 구현됩니다. 기능은 swift 클러스터 내부이며 API를 통해 노출되지 않습니다. 클라이언트는 이 기능을 통해 이 기능을 통해 swift 서비스로 암호화됨을 인식하지 못합니다. 내부적으로 암호화된 데이터는 swift API를 통해 클라이언트에 반환되지 않아야 합니다.

다음 데이터는 swift에 있는 동안 암호화됩니다.

  • 예를 들어 오브젝트 콘텐츠(예: 오브젝트 PUT 요청 본문)입니다.
  • 콘텐츠가 0이 아닌 오브젝트의 entity 태그(ETag)입니다.
  • 모든 사용자 정의 사용자 오브젝트 메타데이터 값입니다. 예를 들어 X-Object-Meta- 접두사가 지정된 헤더와 PUT 또는 POST 요청을 사용하여 전송된 메타데이터입니다.

위 목록에 포함되지 않은 데이터 또는 메타데이터는 다음을 포함하여 암호화되지 않습니다.

  • 계정, 컨테이너 및 오브젝트 이름
  • 계정 및 컨테이너 사용자 정의 사용자 메타데이터 값
  • 모든 사용자 정의 사용자 메타데이터 이름
  • Object Content-Type values
  • 오브젝트 크기
  • 시스템 메타데이터

20.8.3. 블록 스토리지 성능 및 백엔드

운영 체제를 활성화할 때 Intel 및 AMD 프로세서 모두에서 사용 가능한 하드웨어 가속 기능을 사용하여 OpenStack 볼륨 암호화 성능을 향상시킬 수 있습니다.

OpenStack 볼륨 암호화 기능은 호스트에서 dm-crypt 또는 기본 QEMU 암호화 지원을 사용하여 볼륨 데이터를 보호합니다. 암호화된 볼륨을 생성할 때 LUKS 볼륨 암호화 유형을 사용하는 것이 좋습니다.

20.8.4. 네트워크 데이터

컴퓨팅 노드의 프로젝트 데이터는 IPsec 또는 기타 터널을 통해 암호화할 수 있습니다. 이 방법은 OpenStack에서 일반 또는 표준이 아니지만 의도하고 관심 있는 구현자에게 사용할 수 있는 옵션입니다. 마찬가지로 암호화된 데이터는 네트워크를 통해 전송될 때 암호화됩니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.