Cluster Level Encryption with the vSAN Express Storage Architecture

데이터 암호화는 보안 기반 규제 요구사항을 충족하기 위한 중요한 단계입니다. 종종 암호화는 성능에 미치는 영향에 대해 상당한 비용, 복잡성 및 고려 사항을 추가합니다. VMware vSAN™ 8을 통해 암호화의 컴퓨팅 오버헤드를 강화하는 동시에 간편하고 간편한 운영 환경을 유지할 수 있습니다. vSAN 8 Encryption은 가용성, 비용 또는 성능 저하 없이 풍부한 데이터 서비스를 제공할 수 있도록 지원합니다.

vSAN의 원래 스토리지 아키텍처는 vSAN 클러스터의 데이터를 암호화하기 위한 개별 데이터 암호화 서비스를 제공하지만, vSAN 8 ESA는 완전히 새로운 방식으로 데이터 암호화를 수행합니다. 클러스터 기반 서비스로 유지되지만 vSAN 8 ESA의 압축 기능과 마찬가지로 암호화는 들어오는 쓰기를 수신할 때 vSAN의 상위 계층에서 발생하지만 압축이 발생한 후에 발생합니다. 이 암호화 단계는 한 번만 발생하며 스택에서 높게 발생하므로 호스트 간 이동 중 전송되는 모든 vSAN 트래픽도 암호화됩니다. 그 결과 이전 구현과 비교할 때 암호화를 수행하는 데 드는 노력과 오버헤드가 훨씬 적기 때문에 성능 저하 없이 보안이 향상됩니다.

후드 아래의 효율성

이러한 개선 사항을 완벽하게 이해하려면 압축을 통해 개선된 기타 기능과 Express Storage Architecture의 일부로 전용 캐시 계층 장치를 사용할 필요가 없습니다. 또한 DEK는 클러스터의 모든 호스트에서 공유되므로 해독할 필요 없이 호스트 간에 데이터를 이동, 복구 또는 읽을 수 있습니다. 기존 vSAN 아키텍처에 비해 처리되는 모든 I/O에 대한 리소스 비용이 크게 절감됩니다. 예:

  • 원래 크기의 절반인 2:1로 압축된 블록은 암호화되지 않은 데이터와 비교할 때 CPU 주기의 절반만 사용하여 암호화합니다.
  • 이전 릴리스의 vSAN 데이터가 이동되는 것과 달리 읽기 또는 다시 동기화된 데이터는 전송하기 전에 압축을 풀 필요가 없습니다.
  • 압축 비율은 네트워크 대역폭에 중요한 영향을 미칠 것이다. 원래 크기의 절반인 2:1로 압축된 블록은 읽기 및 쓰기 작업에 네트워크 대역폭의 절반만 사용합니다.
  • 암호화는 스택에서 한 번만 수행되며 원래 스토리지 아키텍처와 비교하면 전체 암호 해독 및 재암호화 절차가 제거됩니다. 이전에는 데이터를 압축한 다음 다시 암호화하기 전에 캐시 장치에서 암호를 해독해야 했습니다.

vSAN 암호화 작업

Express Storage Architecture의 이점은 향상된 암호화 이상의 것입니다. 새로운 파일 시스템과 결합하면 체크섬이 개선되고 특정 IO를 처리하기 위한 총 CPU 로드가 vSAN 원래 스토리지 아키텍처에 필요한 것의 3분의 1 이하로 감소할 수 있습니다. 또한 vSphere Native Key Provider를 사용하면 전용 외부 키 관리자 없이 몇 번의 클릭만으로 암호화를 설정할 수 있습니다. 이전부터 Transit의 vSAN 암호화는 옵션으로 남아 있습니다. 특정 규정 준수 요구사항이 있는 고객의 경우 새로운 무정지 암호화 시스템 외에도 활성화할 수 있는 옵션으로 남아 있습니다. 이때 클러스터를 생성할 때 vSAN 8 ESA 클러스터의 암호화를 사용하도록 설정해야 합니다.

추가 vSAN 암호화 리소스

vSAN 암호화 서비스에 대한 자주 묻는 질문의 목록은 vSAN FAQ의 “Security” 섹션에서 확인할 수 있습니다.

출처 : https://core.vmware.com/blog/cluster-level-encryption-vsan-express-storage-architecture

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like
Read More

Using the Perennially Reserved Flag for WSFC RDMs

출처 : https://blogs.vmware.com/virtualblocks/2020/07/31/using-perennially-reserved-flag-wsfc-rdms/ 고객이 환경에서 수많은 pRDM을 사용하는 경우 호스트 부팅 시간이나 스토리지 재스캔에 오랜 시간이 걸릴 수…
Read More

vSphere 8 U2 CNS Feature Highlight

vSphere 8 업데이트 2를 발표하면서 이번 업데이트에서 몇 가지 CNS/CSI 기능을 강조하고 싶었습니다. vSphere의 각 업데이트 릴리스에서 Tanzu/CNS…
Read More

vSAN 위에서 성능 중심 VDI

VDI(Virtual Desktop Infrastructure) 및 가상 애플리케이션 제공은 올해 내내 탄력을 받고 있습니다. 원격 작업자 지원 수요, 보안 컴플라이언스…
Read More

vSAN Witness Host의 이해

vSAN 메뉴얼이 한글화되지 않아서, witness에 대한 한글 표기가 명확하지 않습니다. 영어사전에는 "목격자, 증인, 증명" 등의 뜻으로 나오고, 파파고…
Read More

vSAN Objects and Components Revisited

대부분의 vSAN 고객은 “개체(Object)” 및 “구성 요소(component)”라는 용어에 익숙하지만, 신규 사용자와 경험이 풍부한 사용자 모두가 이러한 용어가 무엇인지,…