5.3. 데이터 암호화 옵션

암호화를 사용하면 필요한 암호화 키 없이 데이터를 읽을 수 없도록 인코딩할 수 있습니다. 이 메커니즘은 물리적 보안 위반 시 물리적 미디어가 보호되지 않도록 만드는 경우 데이터의 기밀성을 보호합니다. 데이터는 디스크에 기록될 때 암호화되며 디스크에서 읽을 때 암호를 해독합니다. 암호화된 데이터로 작업하면 성능이 저하될 수 있습니다.

암호화는 OpenShift Container Storage 4.6 이상을 사용하여 배포된 새 클러스터에서만 지원됩니다. 외부 KMS(Key Management System)를 사용하지 않는 기존 암호화된 클러스터는 외부 KMS를 사용하도록 마이그레이션할 수 없습니다.

현재는 클러스터 전체 및 영구 볼륨 암호화에 대해 지원되는 유일한 KMS입니다. OpenShift Container Storage 4.7.0 및 4.7.1에서는 KV(HookCorp Vault Key/Value) 시크릿 엔진 API만 지원되고 버전 1이 지원됩니다. OpenShift Container Storage 4.7.2부터 H¢Corp Vault KV 시크릿 엔진 API, 버전 1 및 2가 지원됩니다.

중요

Red Hat은 기술 파트너와 협력하여 이 문서를 고객에게 서비스로 제공하고 있습니다. 하지만 Red Hat은 H¢corp 제품에 대한 지원을 제공하지 않습니다. 이 제품에 대한 기술 지원이 필요한 경우 Hsea corp에 문의하십시오.

5.3.1. 클러스터 전체 암호화

Red Hat OpenShift Container Storage는 스토리지 클러스터의 모든 디스크 및 Multicloud Object Gateway 작업에 대해 클러스터 전체 암호화(encryption-at-rest)를 지원합니다. OpenShift Container Storage는 키 크기가 512비트이고 각 장치에 다른 암호화 키가 있는 aes-xts-plain64 암호와 함께 Linux 통합 키(LUKS) 버전 2 기반 암호화를 사용합니다. 키는 Kubernetes 시크릿 또는 외부 KMS를 사용하여 저장됩니다. 두 방법 모두 상호 배타적이며 메서드 간에 마이그레이션할 수 없습니다.

암호화는 기본적으로 비활성화되어 있습니다. 배포 시 클러스터의 암호화를 활성화할 수 있습니다. 자세한 내용은 배포 가이드를 참조하십시오.

클러스터 전체 암호화는 KMS(Key Management System) 없이 OpenShift Container Storage 4.6에서 지원되지만 KMS 포함 또는 없는 OpenShift Container Storage 4.7에서 지원됩니다.

현재 HCorp Vault는 유일하게 지원되는 KMS입니다. OpenShift Container Storage 4.7.0 및 4.7.1에서는 H¢Corp Vault KV 시크릿 엔진만 지원되고 API 버전 1이 지원됩니다. OpenShift Container Storage 4.7.2부터 H¢Corp Vault KV 시크릿 엔진 API, 버전 1 및 2가 지원됩니다.

중요

Red Hat은 기술 파트너와 협력하여 이 문서를 고객에게 서비스로 제공하고 있습니다. 하지만 Red Hat은 H¢corp 제품에 대한 지원을 제공하지 않습니다. 이 제품에 대한 기술 지원이 필요한 경우 Hsea corp에 문의하십시오.