Dell EMC PowerStore 보안 구성 가이드 1.
참고, 주의 및 경고 노트: 참고"는 제품을 보다 효율적으로 사용하는 데 도움이 되는 중요 정보를 제공합니다. 주의: 주의사항은 하드웨어의 손상 또는 데이터 유실 위험을 설명하며, 이러한 문제를 방지할 수 있는 방법을 알려줍니다. 경고: 경고는 재산 손실, 신체적 상해 또는 사망 위험이 있음을 알려줍니다. © 2020년 Dell Inc. 또는 자회사. 저작권 본사 소유. Dell, EMC 및 기타 상표는 Dell Inc. 또는 그 자회사의 상표입니다. 다른 상표는 해당 소유자의 상표 일 수 있습니다.
목차 추가 리소스.....................................................................................................................................5 장 1: 인증 및 액세스..........................................................................................................................6 사용자 계정, 역할 및 권한의 인증 및 관리...................................................................................................................... 6 공장 출하 기본값 관리..........................................................................
저장된 데이터 암호화........................................................................................................................................................34 암호화 활성화..................................................................................................................................................................... 34 암호화 상태....................................................................................................................................................................
서문 제품군을 향상시키기 위한 노력의 일환으로 소프트웨어와 하드웨어의 개정 버전을 정기적으로 릴리즈하고 있습니다. 이 문서에서 설 명하는 일부 기능은 현재 사용 중인 소프트웨어 또는 하드웨어의 일부 버전에서 지원되지 않을 수 있습니다. 제품 릴리스 노트에는 제 품 기능에 대한 최신 정보가 제공되어 있습니다. 제품이 올바르게 작동하지 않거나 이 문서에 설명된 대로 작동하지 않는 경우 기술 지원 전문가에게 문의하십시오. 지원 정보 지원, 제품 및 라이센스 정보는 다음과 같이 확인할 수 있습니다. ● 제품 정보 제품 및 기능 설명서 또는 릴리스 노트를 보려면 www.dell.com/powerstoredocs에서 PowerStore 설명서 페이지를 참조 바랍니다. ● 문제 해결 제품, 소프트웨어 업데이트, 라이선스 등록 및 서비스에 대한 자세한 내용은 www.dell.com/support에서 해당 제품 지원 페이지를 참조 바랍니다. ● 기술 지원 기술 지원 및 서비스 요청의 경우 www.dell.
1 인증 및 액세스 이 장에서 다루는 내용은 다음과 같습니다. 주제: • • • • • • • • • • • • • • 사용자 계정, 역할 및 권한의 인증 및 관리 인증서 클러스터 내 PowerStore 어플라이언스 간의 보안 통신 복제 및 데이터 가져오기에 대한 보안 통신 Storage Awareness 지원에 대한 vSphere Storage API CHAP 인증 CHAP 구성 외부 SSH 액세스 외부 SSH 액세스 구성 NFS 보안 파일 시스템 객체의 보안 멀티 프로토콜 환경의 파일 시스템 액세스 CAVA(Common AntiVirus Agent)의 이해 코드 서명 사용자 계정, 역할 및 권한의 인증 및 관리 클러스터에 대한 액세스 인증은 사용자 계정의 자격 증명을 토대로 수행됩니다. 사용자 계정은 PowerStore Manager에서 Settings > Users > Users를 통해 액세스 가능한 Users 페이지에서 생성하고 이후 관리할 수 있습니다.
세션 규칙 클러스터의 세션에는 다음과 같은 특징이 있습니다. ● 만료 기간이 1시간입니다. 노트: 세션이 비활성화된 후 사용자가 클러스터에서 자동으로 로그오프됩니다. ● 세션 시간 초과를 구성할 수 없습니다. 사용자 이름 및 암호 사용 시스템 계정 사용자 이름은 다음 요구 사항을 충족해야 합니다. 제한 사항 사용자 이름 요구 사항 구조 영숫자 문자로 시작하고 끝나야 합니다. 사례 모든 사용자 이름은 대/소문자를 구분하지 않습니다. 최소 영숫자 수 1 최대 영숫자 수 64 지원되는 특수 문자 . (dot) 시스템 암호는 다음 요구 사항을 충족해야 합니다. 제한 사항 암호 요구 사항 최소 문자 수 8 최소 대문자 수 1 최소 소문자 수 1 최소 숫자 수 1 최소 특수 문자 수 1 ● 지원되는 문자: ! @ # $ % ^ * _ ~ ? 노트: 암호에 작은따옴표('), 앰퍼샌드(&) 또는 공백이 포함 될 수 없습니다.
역할 및 권한 역할 기반 액세스 제어를 이용하면 여러 사용자가 서로 다른 권한을 가질 수 있습니다. 이로써 관리 역할이 기술 세트와 책임에 더욱 적절하게 부합하도록 관리 역할을 분리할 수 있습니다. 시스템이 지원하는 역할 및 권한은 다음과 같습니다. 노트: 상자 안의 타냅니다.
작업 연산자 VM 관리자 보안 관리자 스토리지 관리자 관리자 ● 파일 FTP 서버 또는 지정된 FTP 서버 목록 ● 파일 인터페이스 또는 지정된 파일 인터페이스 목록 ● 파일 인터페이스 라우트 또는 지정된 인터페이스 라우트 목 록 ● 파일 Kerberos 서버 또는 지정 된 Kerberos 서버 목록 ● 파일 LDAP 서버 또는 지정된 LDAP 서버 목록 ● 파일 NDMP 서버 또는 지정된 NDMP 서버 목록 ● 파일 NIS 서버 또는 지정된 NIS 서버 목록 ● 파일 시스템 또는 지정된 파일 시스템 목록 ● 파일 트리 할당량 또는 지정된 파일 트리 할당량 목록 ● 파일 사용자 할당량 또는 지정 된 사용자 할당량의 목록 ● 파일 바이러스 검사기 또는 지 정된 파일 바이러스 검사기 목 록 ● NAS 서버 또는 지정된 NAS 서 버 목록 ● NFS 내보내기 또는 지정된 NFS 내보내기의 목록 ● NFS 서버 또는 지정된 NFS 서 버 목록 ● SMB 서버 또는 지정된 SMB 서 버 목록 ● SMB
작업 연산자 VM 관리자 보안 관리자 스토리지 관리자 관리자 지정된 파일 바이러스 검사기 구성 다운로드 SMB 또는 NFS 서버 추가, 지정된 SMB 또는 NFS 서버 수정, 삭제, 연 결, 해제 SMB 공유 추가 또는 지정된 SMB 공유 수정, 삭제 NFS 내보내기 추가 또는 지정된 NFS 내보내기 수정, 삭제 파일 인터페이스 추가 또는 지정된 파일 인터페이스 수정, 삭제 파일 인터페이스 라우트 추가 또는 지정된 파일 인터페이스 라우트 수 정, 삭제 파일 DNS, 파일 FTP, 파일 Kerberos, 파일 LDAP, 파일 NDMP, 파일 NIS 서버 추가 또는 지정된 파 일 DNS, 파일 FTP, 파일 Kerberos, 파일 LDAP, 파일 NDMP, 파일 NIS 서버 수정, 삭제 Keytab Kerberos 파일 업로드 Keytab 파일 Kerberos 다운로드 파일 LDAP 구성 또는 LDAP 인증 서 업로드 파일 LDAP 인증서 다운로드 역할 권한에 따른 사용자 계정 관리 관리자 또는
관리자 및 서비스 계정 암호 재설정 어플라이언스는 배송 시에 초기 구성을 수행하는 데 사용할 수 있는 기본 관리자 사용자 계정이 함께 제공됩니다. 전문적인 서비스 기 능을 수행하는 데 사용할 수 있는 기본 서비스 사용자 계정과 함께 제공됩니다. 초기에 REST API 또는 the CLI와 같은 방법보다는 PowerStore Manager Ui를 사용하여 PowerStore을 구성하는 것이 좋습니다. PowerStore Manager Ui를 사용하면 모든 기본 암호가 변 경됩니다. 새 암호를 잊은 경우 다음과 같이 암호를 다시 기본값으로 재설정할 수 있습니다. 암호를 재설정하는 방법은 어플라이언스가 PowerStore T model인지 PowerStore X model인지에 따라 다릅니다. 해당되는 어플라이언 스에 알맞은 방법을 사용하여 관리자 암호나 서비스 암호, 또는 두 암호를 모두 재설정합니다.
전제조건 기본 어플라이언스의 기본 노드 이름(예: PSTX-44W1BW2-A PowerStore D6013)을 알고 있어야 합니다. 필요한 경우 reset.iso 파 일을 생성합니다. 이 작업 정보 PowerStore X model 어플라이언스의 경우 ISO 이미지를 사용하여 vSphere에서 마운트합니다. 미리 생성된 이미지 파일은 www.dell.com/support에서 다운로드할 수 있습니다. 어떤 암호를 재설정해야 하는지에 따라, 다음 터치 명령 중 하나 또는 둘 모두를 사용하여 Linux 시스템으로부터 보유한 이미지를 생성할 수도 있습니다. mkdir iso touch iso/admin touch iso/service mkisofs -V RSTPWD -o reset.iso iso 노트: ISO 이미지 reset.iso는 데이터 저장소에 상주해야 vSphere에서 가상 CD로 마운트할 수 있습니다.
● 서버 인증서 인증서 보기 이 작업 정보 어플라이언스에 저장된 각 인증서에 대해 다음과 같은 정보가 PowerStore Manager 에 표시됩니다. ● ● ● ● ● ● ● Service Type Scope Issued by Valid Valid to Issued to 노트: REST API 또는 CLI를 사용하여 추가 인증서 정보를 볼 수 있습니다. 인증서 정보를 보려면 다음을 수행합니다. 단계 1. PowerStore Manager를 실행합니다. 2. Settings를 클릭하고 Security에서 Certificates를 클릭합니다. 어플라이언스에 저장된 인증서에 대한 정보가 표시됩니다. 3. 인증서 및 서비스 관련 정보가 포함된 인증서 체인을 보려면 해당 서비스를 클릭합니다. View Certificate Chain이 표시되고 그 인증서를 포함하는 인증서 체인에 대한 정보가 나열됩니다.
습니다. 수신되는 모든 VASA API를 수신하는 VASA API 게이트웨이는 PowerStore 클러스터에서 기본 어플라이언스(부동 관리 IP를 소유하는 어플라이언스)에 배포됩니다. ESXi 호스트와 vCenter Server는 VASA Provider에 연결하여 사용 가능한 스토리지 토폴로지, 기능 및 상태에 대한 정보를 얻습니다. 이후 vCenter Server는 vSphere 클라이언트에 이 정보를 제공합니다. PowerStore Manager 클 라이언트가 아니라 VMware 클라이언트가 VASA를 사용합니다. vSphere 사용자는 이러한 VASA Provider 인스턴스를 클러스터에 대한 VASA 정보 공급자로 구성해야 합니다. 리드 어플라이언스가 중단될 경우 관련 프로세스는 다음 차례로 기본 어플라이언스가 되는 어플라이언스에서 VASA Provider와 함께 다시 시작됩니다. IP 주소는 자동으로 페일오버됩니다.
CHAP 인증 CHAP(Challenge Handshake Authentication Protocol)는 iSCSI 이니시에이터(호스트) 및 타겟(볼륨 및 스냅샷)을 인증하는 방법입니다. CHAP는 iSCSI 스토리지를 노출하고 동시에 안전한 표준 스토리지 프로토콜을 보장합니다. 인증은 인증자와 피어 모두에게 알려진 비밀 정보(암호와 유사)를 이용합니다. CHAP 프로토콜은 다음과 같은 두 가지 변형이 있습니다. ● 단일 CHAP 인증을 사용하면 iSCSI 타겟이 이니시에이터를 인증할 수 있습니다. 이니시에이터는 타겟에 연결을 시도할 때(일반 모 드 또는 검색 모드) 사용자 이름과 암호를 타겟에 제공합니다. ● 단일 CHAP 외에 상호 CHAP 인증도 적용됩니다. 상호 CHAP를 사용하면 iSCSI 타겟과 이니시에이터가 서로 인증할 수 있습니다. 그룹에서 제공하는 각 iSCSI 타겟은 iSCSI 이니시에이터가 인증합니다.
외부 SSH 액세스 각 어플라이언스는 어플라이언스 IP 주소의 SSH(secure shell) 포트에 대해 외부 SSH 액세스를 선택적으로 활성화할 수 있습니다. 이 때 사용자는 어플라이언스의 기본 노드에서 서비스 기능으로 이동됩니다. 어플라이언스 IP 주소는 기본 지정 사항이 변경될 때 어플 라이언스의 두 노드 간에 변경됩니다. 외부 SSH가 비활성화된 경우, SSH 액세스가 허용되지 않습니다. 어플라이언스가 처음에 실행되고 구성되지 않은 경우에는 SSH가 기본적으로 활성화되어 클러스터에 추가되기 전에 문제가 발생한 경우 어플라이언스를 서비스할 수 있습니다. 새 클러스터가 생성되거나 클러스터 작업에 연결되는 경우 모든 어플라이언스의 SSH는 처음에 비활성화로 설정되어야 합니다. 외부 SSH 액세스 구성 다음 방법 중 하나를 사용하여 클러스터 내에서 외부 SSH 대한 액세스를 구성할 수 있습니다.
● 액세스 제어 - 컨테이너 기술을 통해 제공되는 애플리케이션 격리 외에, 어플라이언스의 ACL(Access Control List) 메커니즘은 서 비스 계정의 시스템 리소스 액세스를 명시적으로 부여하거나 거부하기 위한 매우 구체적인 규칙 목록을 사용합니다. 이러한 규칙 은 표준 Linux 파일 시스템 권한에 의해 정의되지 않은 기타 어플라이언스 영역에 대한 서비스 계정 권한을 지정합니다. 어플라이언스 서비스 스크립트 어플라이언스의 소프트웨어 버전에 문제 진단, 시스템 구성 및 시스템 복구를 위한 문제 진단 세트가 설치됩니다. 이러한 스크립트는 PowerStore Manager를 통해 사용할 수 있는 것보다 더 심층적인 수준의 정보와 더 하위 레벨의 시스템 제어를 제공합니다. PowerStore Service Scripts Guide에서는 이러한 스크립트에 대해 설명하고 일반적인 활용 사례를 보여줍니다.
● 짧은 SPN: nfs/host@REALM ● 긴 SPN: nfs/host.domainFQDN@REALM 호스트 이름이 FQDN 형식이 아닌 경우에는 짧은 SPN만 사용됩니다. SMB 서버를 도메인에 연결할 수 있는 SMB와 마찬가지로, NFS 서버를 영역(Kerberos에서 도메인과 같은 의미로 사용되는 용어)에 연결할 수 있습니다. 이를 위해 다음 두 가지 옵션이 있습니다. ● 구성된 Windows 도메인 사용(있는 경우) ● UNIX KDC 기반 Kerberos 영역을 완전히 구성 관리자가 구성된 Windows 도메인을 사용하도록 선택하면 따로 해야 할 일은 없습니다. SMB 서버를 연결/연결 해제하면 NFS 서비스 에서 사용되는 모든 SPN이 자동으로 KDC에 추가되거나 KDC에서 제거됩니다. NFS 보안이 SMB 구성을 사용하도록 구성된 경우 SMB 서버를 제거할 수 없습니다. 관리자가 UNIX 기반 Kerberos 영역을 사용하도록 선택할 경우 추가적인 구성이 필요합니다.
파일 시스템 객체에 대한 액세스는 보안 설명자를 통해 사용 권한이 '허용'으로 설정되었는지 또는 '거부'로 설정되었는지에 따라 결 정됩니다. SD는 해당 ACL과 함께 객체의 소유자 및 객체의 그룹 SID를 기술합니다. ACL은 각 객체의 보안 설명자에 포함됩니다. 각 ACL에는 ACE(Access Control Entry)가 포함됩니다. 또한 ACE에는 사용자, 그룹 또는 컴퓨터를 식별하는 SID 한 개 및 해당 SID에 대해 거부되거나 허용되는 권한 목록이 포함됩니다. 멀티 프로토콜 환경의 파일 시스템 액세스 파일 액세스는 NAS 서버를 통해 제공됩니다. NAS 서버는 데이터가 저장되는 파일 시스템 세트를 포함합니다. NAS 서버는 SMB 공유 및 NFS 공유를 통해 파일 시스템을 공유하여 NFS 및 SMB 파일 프로토콜에서 이 데이터에 액세스할 수 있도록 합니다. NAS 서버의 멀티 프로토콜 공유 모드를 사용하면 SMB와 NFS 간에 동일한 데이터를 공유할 수 있습니다.
secmap secmap의 기능은 모든 SID-UID, 기본 GID 및 UID-SID 매핑을 저장하여 NAS 서버의 모든 파일 시스템 전체에서 일관성을 보장하는 것 입니다. ntxmap ntxmap은 이름이 서로 다른 Windows 계정을 UNIX 계정에 연결하는 데 사용됩니다. 예를 들어 같은 사용자가 Windows에서는 Gerald 라는 계정을, UNIX에서는 Gerry라는 계정을 사용하는 경우 ntxmap으로 두 계정 사이의 상관 관계를 설정할 수 있습니다. SID-UID, 기본 GID 매핑 다음 순서는 SID-UID, 기본 GID 매핑을 확인하는 데 사용되는 프로세스입니다. 1. secmap을 검색하여 SID를 찾습니다. SID가 검색되면 UID 및 GID 매핑이 확인됩니다. 2. secmap에서 SID가 검색되지 않으면 SID와 관련된 Windows 이름을 찾아야 합니다. a. NAS SMB 서버의 로컬 그룹 데이터베이스를 검색하여 SID를 찾습니다.
SID secmap secmap 에서 예 로컬 파일 또는 UDS에서 UID 및 기본 GID 아니요 로컬 그룹 데이터베이스 에서 UID 및 기본 GID 예 UID 및 기본 GID 예 UID 및 기본 GID 아니요 예 자동 매핑 SMB 엑세스 전용 Windows 이름 아니요 도메인 컨트롤러 에서 예 아니요 예 Windows 이름 아니요 알 수 없는 SID 액세스 거부 ntxmap 에서 아니요 예 UNIX 이름 Windows 이름 = UNIX 이름 기본 UNIX 계정 아니요 실패한 매핑 액세스 거부 그림 1 .
UID-SID 매핑 다음 순서는 UID-SID 매핑을 확인하는 데 사용되는 프로세스입니다. 1. secmap을 검색하여 UID를 찾습니다. UID가 검색되면 SID 매핑이 확인됩니다. 2. secmap에서 UID가 검색되지 않으면 UID와 관련된 UNIX 이름을 찾아야 합니다. a. UID를 사용하여 UDS(NIS 서버, LDAP 서버 또는 로컬 파일)를 검색합니다. UID가 검색되는 경우 관련된 UNIX 이름은 사용자 이름입니다. b. UDS에서 UID가 검색되지 않지만 기본 Windows 계정이 있는 경우 UID가 기본 Windows 계정의 SID에 매핑됩니다. 3. 기본 Windows 계정 정보가 사용되지 않는 경우 UNIX 이름이 Windows 이름으로 변환됩니다. ntxmap은 이 용도로 사용됩니다. a. ntxmap에서 UNIX 이름이 검색되면 해당 항목이 Windows 이름으로 사용됩니다. b.
UID secmap secmap 에서 예 도메인 컨트롤러 에서 SID 아니요 SID 아니요 아니요 로컬 파일 또는 UDS 에서 예 예 UNIX 이름 ntxmap 에서 아니요 예 Windows 이름 Windows 이름 = UNIX 이름 로컬그룹 데이터베이스 에서 예 SID 아니요 기본 Windows 계정 예 SID 아니요 확인 불가능한 UID 액세스 거부 그림 2 .
NFS, SMB 및 FTP의 액세스 정책 멀티 프로토콜 환경에서 스토리지 시스템은 파일 시스템 액세스 정책을 사용하여 파일 시스템의 사용자 액세스 제어를 관리합니다. 보안에는 UNIX와 Windows의 두 가지 종류가 있습니다. UNIX 보안 인증에서는 호스트 클라이언트가 자격 증명을 제공하는 비보안 NFS 액세스를 제외하고 UDS(UNIX Directory Service)에서 자격 증명이 생성됩니다. 사용자 권한은 모드 비트 및 NFSv4 ACL로 지정됩니다. 사용자 및 그룹 ID(각각 UID 및 GID)가 인증에 사용됩 니다. UNIX 보안에는 별도의 권한이 관련되지 않습니다. Windows 보안 인증에서는 자격 증명이 Windows DC(Domain Controller) 및 SMB 서버의 LGDB(Local Group Database)에서 생성됩니 다. 사용자 권한은 SMB ACL로 지정됩니다. SID(Security Identifier)가 인증에 사용됩니다.
● 확장 자격 증명 옵션이 설정된 경우 NFS를 통한 액세스용 Unix 자격 증명. NAS 서버마다 하나의 캐시 인스턴스가 있습니다. 매핑되지 않은 사용자의 액세스 허용 멀티 프로토콜의 필수 조건은 다음과 같습니다. ● Windows 사용자는 UNIX 사용자에 매핑되어야 합니다. ● UNIX 사용자는 Windows 사용자에 매핑되어야 합니다. 그래야만 사용자가 Windows 액세스 정책을 사용하는 파일 시스템을 액세 스할 때 Windows 자격 증명을 생성할 수 있습니다. 매핑되지 않은 사용자의 경우 두 가지 속성이 NAS 서버에 연결됩니다. ● 기본 UNIX 사용자. ● 기본 Windows 사용자. 매핑되지 않은 Windows 사용자가 멀티 프로토콜 파일 시스템에 연결을 시도하고 NAS 서버에 대해 기본 UNIX 사용자 계정이 구성된 경우 기본 UNIX 사용자의 UID(User Identifier) 및 기본 GID(Group Identifier)가 Windows 자격 증명에 사용됩니다.
NFS 요청에 대한 Windows 자격 증명 사용자가 NFS 요청을 통해 Windows 액세스 정책을 사용하는 파일 시스템에 액세스를 시도할 때만 Windows 자격 증명이 생성되거나 검색됩니다. UID는 NFS 요청에서 추출됩니다. 관련된 보존시간이 지정된 각 NFS 요청에 대해 자격 증명을 일일이 생성할 필요가 없 도록 전역 Windows 자격 증명 캐시가 운용됩니다. 이 캐시에 Windows 자격 증명이 있는 경우 별도의 작업이 필요하지 않습니다. Windows 자격 증명을 찾을 수 없는 경우 UDS 또는 로컬 파일을 쿼리하여 UID 이름을 찾습니다. 그런 다음 필요한 경우 ntxmap를 통해 이 이름을 사용하여 Windows 사용자를 찾고 Windows DC 또는 LGDB에서 자격 증명을 검색합니다. 매핑이 발견되지 않으면 기본 Windows 사용자의 Windows 자격 증명이 대신 사용되거나 액세스가 거부됩니다.
2 통신 보안 설정 이 섹션에서 다루는 내용은 다음과 같습니다. 주제: 포트 사용 • 포트 사용 다음 섹션은 어플라이언스에서 볼 수 있는 여러 네트워크 포트와 그 관련 서비스에 대해 설명합니다. 어플라이언스는 vCenter Server 와 통신하는 경우를 비롯한 여러 가지 환경에서 네트워크 클라이언트의 역할을 합니다. 이러한 경우 어플라이언스가 통신을 시작하 며 네트워크 인프라스트럭처는 해당 연결을 지원해야 합니다. 노트: 포트에 대한 자세한 내용은 기술 자료 문서 542240, PowerStore: 고객 네트워크 방화벽 규칙 - TCP/UDP 포트를 참조 바랍 니다. https://www.dell.com/support/kbdoc/en-us/542240로 이동합니다. 고객 네트워크 방화벽 규칙 도구를 사용하면 PowerStore 배포와 관련된 방화벽 규칙 및 포트 목록을 필터링하고 검토할 수 있습니다.
표 2. 어플라이언스 네트워크 포트 (계속) 포트 서비스 프로토콜 액세스 방향 설명 화벽 필터 모두에서 IP 프로토콜 번호 50 및 51을 허용합니다. ISAKMP(Internet Security Association and Key Management Protocol) 트래픽이 방화벽을 통과하여 전달될 수 있 도록 하려면 UDP 포트 500을 열어야 합니 다. IPSec ESP(Encapsulating Security Protocol) 트래픽이 전달될 수 있도록 하려 면 IP 프로토콜 ID 50을 설정해야 합니다. AH(Authentication Header) 트래픽이 전달될 수 있도록 하려면 IP 프로토콜 ID 51을 설정 해야 합니다. 이 포트가 닫힌 경우 PowerStore 어플라이언스 간의 IPsec 연결 을 사용할 수 없습니다. 587 SMTP TCP 아웃바운드 어플라이언스가 이메일을 보내도록 허용합 니다. 이 포트가 닫힌 경우 e-메일 알림을 사 용할 수 없습니다.
파일과 관련된 어플라이언스 네트워크 포트 다음 표에는 파일에 관련된 어플라이언스에서 찾을 수 있는 여러 네트워크 포트 및 해당 서비스가 정리되어 있습니다. 노트: 아웃바운드 포트는 사용 후 삭제됩니다. 표 3. 파일과 관련된 어플라이언스 네트워크 포트 포트 서비스 프로토콜 액세스 방향 설명 20 FTP TCP 아웃바운드 FTP 데이터 전송에 사용되는 포트. 이 포트 는 FTP를 활성화하여 열 수 있습니다. 인증 은 포트 21에서 수행되고 FTP 프로토콜에 의해 정의됩니다. 21 FTP TCP 인바운드 포트 21은 FTP 서비스가 들어오는 FTP 요청 을 수신 대기하는 제어 포트입니다. 22 SFTP TCP 인바운드 SFTP(FTP over SSH)를 통한 알림을 허용합 니다. SFTP는 클라이언트/서버 프로토콜입 니다. 사용자는 SFTP를 사용하여 로컬 서브 넷에 있는 어플라이언스에서 파일을 전송할 수 있습니다. 송신 FTP 제어 연결도 제공합 니다.
표 3. 파일과 관련된 어플라이언스 네트워크 포트 (계속) 포트 서비스 프로토콜 액세스 방향 설명 없습니다. 대안 수단으로 보안 LDAP를 구성 할 수 있습니다. 445 Microsoft SMB TCP 인바운드 Windows 2000 이상 클라이언트를 위한 SMB(도메인 컨트롤러에 있음) 및 SMB 연 결 포트입니다. 지속적인 작업을 위해서는 어플라이언스 SMB 서비스에 적합한 액세 스 권한이 있는 클라이언트가 네트워크를 통해 포트에 연결되어야 합니다. 이 포트를 비활성화하면 모든 SMB 관련 서비스가 비 활성화됩니다. 포트 139도 비활성화하면 SMB 파일 공유가 비활성화됩니다. 464 Kerberos TCP/UDP 아웃바운드 Kerberos 인증 서비스 및 SMB에 필요합니 다.
표 3. 파일과 관련된 어플라이언스 네트워크 포트 (계속) 포트 서비스 4003 프로토콜 액세스 방향 설명 XATTRPD(확장된 파 TCP/UDP 일 속성) 인바운드 멀티 프로토콜 환경에서 파일 특성을 관리 하는 데 필요합니다. 4658 PAX(NAS 서버 아카 이브) TCP 인바운드 PAX는 표준 UNIX 테이프 형식에서 작동하 는 어플라이언스 아카이브 프로토콜입니다. 8888 RCPD(복제 데이터 경로) TCP 인바운드 Replicator(보조측)에서 사용됩니다. 복제할 데이터가 있다면 즉시 Replicator가 이 서비 스를 열어둡니다. 서비스가 시작되면 중지 할 수 있는 방법이 없습니다. 10000 NDMP TCP 인바운드 ● 서버에 타사 소프트웨어를 설치할 필요 없이 네트워크 백업 애플리케이션을 사 용하여 NDMP(Network Data Management Protocol) 서버의 백업 및 복구를 제어할 수 있습니다.
표 4. PowerStore X model 어플라이언스와 관련된 네트워크 포트 (계속) 포트 서비스 프로토콜 액세스 방향 설명 ● vSphere Web Client의 경우 클라이언트 연결에 사용됩니다. 5900, 5901, 5902, 5903, 5904 RFB 프로토콜 TCP 인바운드 VNC와 같은 그래픽 사용자 인터페이스에 대한 원격 액세스. 5988 Common Information TCP Model (CIM) Server 인바운드 CIM용 서버. 5989 CIM 보안 서버 TCP 인바운드 CIM용 서버.
3 감사 이 장에서 다루는 내용은 다음과 같습니다. 주제: • 감사 감사 감사는 시스템에서의 사용자 활동에 대한 과거 내역 보기를 제공합니다. 관리자, 보안 관리자 또는 스토리지 관리자 역할을 가진 사용 자는 REST API를 사용하여 시스템에서 구성 변경 이벤트를 검색하고 볼 수 있습니다. 감사되는 이벤트는 보안과 관련된 것이 아니며, 모든 세트 작업(POST/PATCH/DELETE)은 감사 로그에 기록됩니다. PowerStore Manager UI 및 CLI와 같은 다른 인터페이스를 사용하여 감사 이벤트를 검색하고 볼 수 있습니다.
4 데이터 보안 설정 이 섹션에서 다루는 내용은 다음과 같습니다. 주제: • • • • • • • • 저장된 데이터 암호화 암호화 활성화 암호화 상태 키 관리 키 저장소 백업 파일 암호화가 활성화된 어플라이언스의 드라이브 용도 변경 암호화가 활성화된 시스템에서 베이스 인클로저 및 노드 교체 어플라이언스를 공장 출하 설정으로 재설정 저장된 데이터 암호화 PowerStore의 D@RE(Data at Rest Encryption)는 기본 스토리지(NVMe SSD, NVMe SCM, SAS SSD)에 대해 FIPS 140-2로 검증된 SED(Self-Encrypting Drive)를 사용합니다. NVRAM 캐싱 디바이스는 암호화되었지만 현재 FIPS 140-2로 검증되지 않았습니다. 데이터를 미디어에 쓰기 전에 각 드라이브 내에서 암호화가 수행됩니다. 이는 드라이브의 데이터가 도난 또는 손실되지 않도록 보호 하고 드라이브가 물리적으로 제거되어 직접 읽히지 못하도록 방지합니다.
● 암호화 중 – 암호화 활성화 프로세스 중에 표시됩니다. 암호화 프로세스가 성공적으로 완료되면 클러스터 수준의 암호화 상태가 암호화됨으로 표시됩니다. 드라이브 수준의 암호화 상태는 어플라이언스의 각 드라이브에 대해 제공되며 다음 중 하나로 표시됩니다. ● 암호화됨 - 드라이브가 암호화되어 있습니다. 이는 암호화가 가능한 어플라이언스에 있는 드라이브의 일반적인 상태입니다. ● 암호화 중 - 어플라이언스가 드라이브에 암호화를 활성화하는 중입니다. 이 상태는 어플라이언스에서 암호화를 처음 활성화는 중 이거나 이미 구성된 어플라이언스에 새 드라이브를 추가하는 동안에 표시될 수 있습니다. ● 비활성화됨 - 국가별 가져오기 제한 사항으로 인해 드라이브에서 암호화를 사용할 수 없습니다. 어느 하나의 드라이브라도 이 상 태를 보고하는 경우 클러스터의 모든 드라이브도 동일한 상태를 보고합니다. ● 알 수 없음 - 아직은 어플라이언스가 드라이브에서 암호화를 활성화하려고 시도하지 않았습니다.
암호화 상태가 Foreign인 드라이브의 용도를 변경하려면 다음을 수행합니다. 단계 1. 드라이브 후면의 레이블에 있는 PSID(Physical Security ID)를 기록해 둡니다. PSID는 용도 변경 프로세스 중에 제공해야 합니다. 2. PowerStore Manager에서 Hardware를 클릭하고 어플라이언스를 선택한 뒤 Hardware 카드를 선택합니다. 3. 용도를 변경할 드라이브를 선택합니다. 드라이브의 Encryption Status가 Foreign으로 나타날 것입니다. 4. Repurpose Drive를 클릭합니다. Repurpose Drive 슬라이드 아웃이 표시됩니다. 5. 드라이브의 PSID를 입력하고 Apply를 클릭합니다. 결과 용도 변경 프로세스가 완료되면 드라이브가 어플라이언스에서 새 드라이브로 용도 변경되며 암호화 상태는 Encrypted로 변경됩니 다.
5 보안 서비스 기능 설정 이 장에서 다루는 내용은 다음과 같습니다. 주제: • • • • • • • • 운영에 대한 설명: SupportAssist SupportAssist 옵션 SupportAssist Direct Connect 옵션 SupportAssist Direct Connect 옵션 SupportAssist Gateway Connect 요구 사항 SupportAssist Direct Connect에 대한 요구 사항 SupportAssist 구성 SupportAssist 구성 운영에 대한 설명: SupportAssist™ SupportAssist 기능은 Dell EMC 지원 부서에서 사용자의 어플라이언스로부터 오류 파일 및 알림 메시지를 받아 원격으로 문제 해결 절 차를 수행하여 문제를 빠르고 효율적으로 해결할 수 있도록 IP 기반 연결을 제공합니다. 노트: 문제 진단 및 문제 해결 속도를 높여 문제를 빠르게 해결하려면 SupportAssist 기능을 활성화하는 것이 매우 좋습니다.
이 서버를 사용하여 계속 작동합니다. 또한, SupportAssist Gateway Connect with remote assist 및 Gateway Connect without remote assist 옵션은 시스템의 지정된 기본 어플라이언스에만 구성해야 합니다. 어플라이언스 자체는 어떠한 정책도 구현하지 않습니다. 어플라이언스에 대한 원격 액세스를 더 세밀하게 제어해야 한다면 정책 관 리자를 사용하여 인증 사용 권한을 설정할 수 있습니다. 정책 관리자 소프트웨어 구성 요소는 고객이 제공한 서버에 설치됩니다. 디바 이스에 대한 원격 액세스를 제어하고 원격 연결의 감사 로그를 유지 관리하며 파일 전송 작업을 지원합니다. 어플라이언스에 액세스 할 수 있는 사용자, 액세스하는 내용 및 시기를 제어할 수 있습니다. 정책 관리자에 대한 자세한 내용은 www.dell.com/support를 참조 바랍니다.
또 다른 옵션인 비활성화됨은 사용할 수 있지만 권장되지 않습니다. 이 옵션을 선택하는 경우 Dell EMC 지원 부서가 어플라이언스의 문제에 대한 알림 메시지를 받지 않습니다. 따라서 지원 담당자가 어플라이언스의 문제를 해결하는 데 도움을 주기 위해 어플라이언 스 정보를 수동으로 수집해야 할 수 있습니다. SupportAssist Direct Connect 옵션 SupportAssist Gateway Connect는 게이트웨이 서버에서 실행됩니다. Gateway Connect without remote access 옵션 또는 Gateway Connect with remote access 옵션을 선택하면 해당 어플라이언스가 SupportAssist 클러스터의 다른 어플라이언스에 추가됩니다. 클 러스터는 Dell EMC 지원 서버와 오프 어레이 게이트웨이 서버 간 단일 공통(중앙 집중식) 보안 연결 뒤에 상주합니다.
노트: 절대 게이트웨이 서버에서 어플라이언스를 수동으로 추가 또는 제거해서는 안 됩니다. PowerStore Manager SupportAssist 구성 마법사를 사용하는 방법으로만 게이트웨이 서버에서 어플라이언스를 추가 또는 제거합니다. SupportAssist Direct Connect에 대한 요구 사항 Direct Connect without remote access 및 Direct Connect with remote access SupportAssist 구현 시 모두 다음 요구 사항이 적용 됩니다. ● 포트 443 및 8443(아웃바운드)에서 Dell EMC 지원 부서로의 네트워크 트래픽(HTTPS)이 허용되어야 합니다. 포트 8443이 열리지 않으면 성능에 심각한 영향(30~45%)을 미칩니다. 두 포트 모두 열리지 않으면 엔드 디바이스 관련 문제 해결이 지연될 수 있습니 다.
○ 네트워크 연결에서 프록시 서버를 사용하는 경우 프록시 서버의 IP 주소를 지정합니다. 노트: 시스템에서 이 프록시 서버를 사용하도록 구성하기 전에 프록시 서버가 준비되어 있고 실행 중이어야 합니다. ○ 컨트롤을 이용해, 네트워크의 프록시 서버에 연결하는 데 사용할 포트 번호를 선택합니다. ● Direct Connect with Remote Access 옵션: ○ 네트워크 연결에서 프록시 서버를 사용하는 경우 프록시 서버의 IP 주소를 지정합니다. 노트: 어플라이언스에서 이 프록시 서버를 사용하도록 구성하기 전에 프록시 서버가 준비되어 있고 실행 중이어야 합 니다. ○ 컨트롤을 이용해, 네트워크의 프록시 서버에 연결하는 데 사용할 포트 번호를 선택합니다. ○ 정책 관리자를 사용하여 시스템에 대한 원격 액세스를 제어하려는 경우 정책 관리자의 IP 주소를 지정합니다. 노트: 어플라이언스에서 이 정책 관리자를 사용하도록 구성하기 전에 정책 관리자가 준비되어 있고 실행 중이어야 합 니다.
A TLS 암호 그룹 이 부록에서 다루는 내용은 다음과 같습니다. 주제: • 지원되는 TLS 암호 그룹 지원되는 TLS 암호 그룹 암호 그룹은 TLS 통신 보안을 유지하는 기술 집합을 정의합니다. ● 키 교환 알고리즘(클라이언트에서 서버로 전송되는 데이터의 암호화에 암호 키를 사용하는 방법). 예: RSA 키 또는 DH(DiffieHellman) ● 인증 방법(호스트가 원격 호스트의 ID를 인증하는 방법). 예: RSA 인증서, DSS 인증서, 또는 인증하지 않음 ● 암호화(데이터 암호화 방법). 예: AES(256 또는 128비트) ● 해시 알고리즘(데이터의 수정 여부를 확인하는 방법을 제공하여 데이터 보안 유지). 예: SHA-2 또는 SHA-1 지원되는 암호 그룹에는 이 모든 항목이 결합됩니다. 다음은 어플라이언스 및 그 연결되는 포트에 사용할 수 있는 TLS 암호 그룹의 OpenSSL 이름 목록입니다. 표 5.