Azure VMware Solution의 고객 관리형 키 저장 데이터 암호화 구성

  • 아티클

이 문서에서는 고객 소유 Azure Key Vault 인스턴스가 관리하는 CMK(고객 관리형 키)로 VMware vSAN KEK(키 암호화 키)를 암호화하는 방법을 보여 줍니다.

Azure VMware Solution 프라이빗 클라우드에서 CMK 암호화를 사용하도록 설정하면 Azure VMware Solution은 키 자격 증명 모음의 CMK를 사용하여 vSAN KEK를 암호화합니다. vSAN 클러스터에 참여하는 각 ESXi 호스트는 ESXi가 미사용 디스크 데이터를 암호화하는 데 사용하는 임의로 생성된 DEK(디스크 암호화 키)를 사용합니다. vSAN은 Azure VMware Solution KMS(키 관리 시스템)에서 제공하는 KEK를 사용하여 모든 DEK를 암호화합니다. Azure VMware Solution 프라이빗 클라우드와 키 자격 증명 모음이 동일한 구독에 있을 필요가 없습니다.

자체 암호화 키를 관리할 수 있습니다.

  • vSAN 키에 대한 Azure 액세스를 제어합니다.
  • CMK의 수명 주기를 중앙에서 관리합니다.
  • KEK에 대한 Azure 액세스를 취소합니다.

CMK(고객 관리형 키) 기능은 다음 키 유형을 지원합니다.

  • RSA: 2048, 3072, 4096
  • RSA-HSM: 2048, 3072, 4096

토폴로지

다음 다이어그램에서는 Azure VMware Solution에서 Microsoft Entra ID와 키 자격 증명 모음을 사용하여 CMK를 제공하는 방법을 보여 줍니다.

고객 관리형 키 토폴로지를 보여 주는 다이어그램.

필수 조건

CMK 기능을 사용하도록 설정하기 전에 다음 나열된 요구 사항이 충족되는지 확인합니다.

  • CMK 기능을 사용하려면 키 자격 증명 모음이 필요합니다. 키 자격 증명 모음이 없는 경우 빠른 시작: Azure Portal을 사용하여 키 자격 증명 모음 만들기를 사용하여 키 자격 증명 모음을 만들 수 있습니다.

  • 키 자격 증명 모음에 대한 제한된 액세스를 사용하도록 설정한 경우 Microsoft Trusted Services가 Key Vault 방화벽을 바이패스하도록 허용해야 합니다. 자세한 내용은 Azure Key Vault 네트워킹 설정 구성으로 이동합니다.

    참고 항목

    방화벽 규칙이 적용되면 사용자의 요청이 허용되는 VM 또는 IPv4 주소 범위에서 시작되는 경우에만 사용자는 Key Vault 데이터 평면 작업을 수행할 수 있습니다. Azure Portal에서 Key Vault에 액세스하는 경우도 이 제한이 적용됩니다. 이는 Azure VMware Solution의 Key Vault 선택기에도 영향을 줍니다. 방화벽 규칙으로 인해 클라이언트 머신이 차단되거나 사용자에게 Key Vault에서 목록 권한이 없는 경우 사용자는 키 자격 증명 모음의 목록을 볼 수 있지만 키를 나열할 수 없을 것입니다.

  • SDDC(소프트웨어 정의 데이터 센터) 프로비전 중에 사용하도록 설정하지 않은 경우 Azure VMware Solution 프라이빗 클라우드에서 시스템 할당 ID를 사용하도록 설정합니다.

    시스템이 할당한 ID를 사용하려면 다음을 수행합니다.

    1. Azure Portal에 로그인합니다.

    2. Azure VMware Solution으로 이동하여 프라이빗 클라우드를 찾습니다.

    3. 가장 왼쪽 창에서 관리를 열고 ID를 선택합니다.

    4. 시스템 할당에서 사용>저장을 선택합니다. 이제 시스템 할당 ID를 사용하도록 설정해야 합니다.

    시스템 할당 ID를 사용하도록 설정한 후에 개체 ID 탭이 표시됩니다. 나중에 사용할 수 있도록 개체 ID를 기록해 둡니다.

  • 관리 ID에 권한을 부여하도록 키 자격 증명 모음 액세스 정책을 구성합니다. 키 자격 증명 모음에 대한 액세스 권한을 부여하는 데 사용됩니다.

    1. Azure Portal에 로그인합니다.
    2. 키 자격 증명 모음으로 이동하여 사용할 키 자격 증명 모음을 찾습니다.
    3. 가장 왼쪽 창의 설정에서 에이전트 정책을 선택합니다.
    4. 액세스 정책에서 액세스 정책 추가를 선택합니다.
      1. 키 권한 드롭다운에서 선택, 가져오기, 키 래핑, 키 래핑 해제를 선택합니다.
      2. 주체 선택에서 선택된 항목 없음을 선택합니다. 검색 상자가 있는 새 보안 주체 창이 열립니다.
      3. 검색 상자에 이전 단계의 개체 ID를 붙여넣습니다. 또는 사용하려는 프라이빗 클라우드 이름을 검색합니다. 완료되면 선택을 선택합니다.
      4. ADD를 선택합니다.
      5. 새 정책이 현재 정책의 애플리케이션 섹션 아래에 표시되는지 확인합니다.
      6. 변경 내용을 커밋하려면 저장을 선택합니다.

고객 관리형 키 버전 수명 주기

새 버전의 키를 만들어 CMK(고객 관리형 키)를 변경할 수 있습니다. 새 버전을 만들면 VM(가상 머신) 워크플로가 인터럽트되지 않습니다.

Azure VMware Solution에서 CMK 키 버전 회전은 CMK 설정 중에 선택한 키 선택 설정에 따라 달라집니다.

키 선택 설정 1

고객은 CMK에 대한 특정 키 버전을 제공하지 않고 CMK 암호화를 사용하도록 설정합니다. Azure VMware Solution은 고객의 키 자격 증명 모음에서 CMK에 대한 최신 키 버전을 선택하여 vSAN KEK를 암호화합니다. Azure VMware Solution은 버전 회전에 대한 CMK를 추적합니다. Key Vault에서 CMK 키의 새 버전이 만들어지면 vSAN KEK를 암호화하기 위해 Azure VMware Solution에서 자동으로 캡처됩니다.

참고 항목

Azure VMware Solution에서 새 자동 회전 키 버전을 검색하는 데 최대 10분이 걸릴 수 있습니다.

키 선택 설정 2

고객은 지정된 CMK 키 버전에 대해 CMK 암호화를 사용하도록 설정하여 URI에서 키 입력 옵션 아래에 전체 키 버전 URI를 제공할 수 있습니다. 고객의 현재 키가 만료되면 CMK 키 만료를 연장하거나 CMK를 사용하지 않도록 설정해야 합니다.

시스템 할당 ID를 사용하여 CMK 사용

시스템 할당 ID는 리소스당 하나로 제한되며 이 리소스의 수명 주기에 연결됩니다. Azure 리소스의 관리 ID에 권한을 부여할 수 있습니다. 관리 ID는 Azure AD를 사용하여 인증되므로, 코드에 자격 증명을 저장할 필요가 없습니다.

Important

Key Vault가 Azure VMware Solution 프라이빗 클라우드와 동일한 지역에 있는지 확인합니다.

Key Vault 인스턴스로 이동하여 MSI 사용 탭에서 캡처한 보안 주체 ID를 사용하여 Key Vault의 SDDC에 대한 액세스를 제공합니다.

  1. Azure VMware Solution 프라이빗 클라우드의 관리에서 암호화를 선택합니다. 그런 다음, CMK(고객 관리형 키)를 선택합니다.

  2. CMK는 Key Vault의 키 선택에 대한 두 가지 옵션을 제공합니다.

    옵션 1:

    1. 암호화 키에서 Key Vault에서 선택을 선택합니다.
    2. 암호화 유형을 선택합니다. 암호화 유형을 선택한 다음, Key Vault 및 키 선택 옵션을 선택합니다.
    3. 드롭다운 목록에서 Key Vault 및 키를 선택합니다. 그런 다음, 선택을 선택합니다.

    옵션 2:

    1. 암호화 키에서 URI에서 키 입력을 선택합니다.
    2. 키 URI 상자에 특정 키 URI를 입력합니다.

    Important

    자동으로 선택된 최신 버전 대신 특정 키 버전을 선택하려면 키 버전으로 키 URI를 지정해야 합니다. 이 선택은 CMK 키 버전 수명 주기에 영향을 줍니다.

    Key Vault 관리형 HSM(하드웨어 보안 모듈) 옵션은 키 URI 옵션에서만 지원됩니다.

  3. 저장을 선택하여 리소스에 대한 액세스 권한을 부여합니다.

고객 관리형 키에서 Microsoft 관리형 키로 변경

고객이 CMK에서 MMK(Microsoft 관리형 키)로 변경하려는 경우 VM 워크로드가 인터럽트되지 않습니다. CMK에서 MMK로 변경하려면 다음을 수행합니다.

  1. Azure VMware Solution 프라이빗 클라우드에서 관리에서 암호화를 선택합니다.
  2. MMK(Microsoft 관리형 키)를 선택합니다.
  3. 저장을 선택합니다.

제한 사항

Key Vault는 복구 가능으로 구성해야 합니다. 그러려면 다음 작업을 수행해야 합니다.

  • 일시 삭제 옵션을 사용하여 Key Vault를 구성합니다.
  • 일시 삭제 후에도 비밀/자격 증명 모음을 강제로 삭제하지 않도록 보호하려면 제거 보호를 설정합니다.

키가 만료되었거나 Azure VMware Solution 액세스 키가 해지된 경우 CMK 설정 업데이트가 작동하지 않습니다.

문제 해결 및 모범 사례

다음은 발생할 수 있는 몇 가지 일반적인 문제에 대한 문제 해결 팁과 따라야 할 모범 사례입니다.

실수로 키 삭제

Key Vault에서 실수로 키를 삭제하는 경우 프라이빗 클라우드는 일부 클러스터 수정 작업을 수행할 수 없습니다. 이 시나리오를 방지하려면 키 자격 증명 모음에서 일시 삭제를 사용하도록 설정하는 것이 좋습니다. 이 옵션을 사용하면 키가 삭제된 경우 기본 일시 삭제 보존의 일부로 90일 이내에 복구할 수 있습니다. 90일 이내인 경우 키를 복원하여 문제를 해결할 수 있습니다.

키 자격 증명 모음 권한 복원

CMK에 대한 액세스 권한을 상실한 프라이빗 클라우드가 있는 경우 MSI(관리형 시스템 ID)에 키 자격 증명 모음에 대한 권한이 필요한지 확인합니다. Azure에서 반환된 오류 알림이 키 자격 증명 모음에 권한이 필요한 MSI를 근본 원인으로 올바르게 나타내지 않을 수 있습니다. 또한 필수 권한은 get, wrapKey, unwrapKey입니다. 필수 구성 요소의 4단계를 참조하세요.

만료된 키 수정

자동 회전 함수를 사용하지 않고 CMK가 Key Vault에서 만료된 경우 키의 만료 날짜를 변경할 수 있습니다.

키 자격 증명 모음 액세스 복원

키 자격 증명 모음에 대한 프라이빗 클라우드 액세스를 제공하는 데 MSI가 사용되는지 확인합니다.

MSI 삭제

프라이빗 클라우드와 연결된 MSI를 실수로 삭제하는 경우 CMK를 사용하지 않도록 설정해야 합니다. 그런 다음, 단계를 따라 처음부터 CMK를 사용하도록 설정합니다.

다음 단계