[번역] vSphere 7 – Certificate Management

출처 : https://blogs.vmware.com/vsphere/2020/04/vsphere-7-certificate-management.html

이제 vSphere 7이 출하되고 vSphere 6.0에 대한 지원이 종료되었으므로 vSphere 환경을 관리할 때 사용하는 많은 인증서 관리 방법과 기법을 다시 살펴보도록 하자. 인증서는 vSphere와의 모든 네트워크 통신을 보호하는 TLS 암호화를 드라이브하는 것이다.

먼저 vCenter Server 7.0은 인증서 관리를 더 쉽게 할 수 있도록 몇 가지 흥미로운 작업을 수행했다. 그 시작으로, 솔루션 인증서가 없어지고 복잡성이 감소되었다:

vSphere-7-Certificate-Management.png

둘째, 이제 vCenter Server 인증서를 처리하기 위한 REST API가 있으며, 이는 vSphere의 거의 모든 것에 대해 API가 존재하도록 보장하기 위한 노력의 일환이다.

API-Explorer-TLS-Certificate.png

또한 vCenter Server 및 ESXi의 서비스용 인증서 주변에 추가 단순화가 있어 수동으로 관리하든, vCenter Server에 속한 VMCA(VMware Certificate Authority)가 클러스터 인증서를 관리할 수 있도록 허용하든, 관리해야 할 인증서 수가 훨씬 적다. VMCA는 vSphere 클러스터의 암호화 요구를 관리하기에 "충분한 인증 기관"이다. 기업 PKI 인프라의 일부로 종종 발견되는 것과 같은 범용 인증 기관(CA)과 혼동해서는 안 된다. 예를 들어 회사 블로그에 대한 인증서를 VMCA에 요청할 수는 없다.

vSphere 인증서 관리 모드

vSphere 7의 인증서 관리 변경은 진화적인 것으로, 우리를 위한 관리 활동을 원활하게 한다. vSphere 7에서는 다음과 같은 네 가지 주요 인증서 관리 방법이 있다.

완전 관리 모드(Fully Managed Mode)

vCenter Server가 설치되면 VMCA가 새 루트 CA 인증서로 초기화된다. 이 기능은 클러스터 내부 인증서(ESXi 호스트 간, ESXi 호스트와 vCenter Server 간 통신 보호)와 "시스템 인증서"라고 불리는 것을 관리하는 데 사용된다. 컴퓨터 인증서는 이름에도 불구하고 vSphere Client에 로그인할 때 브라우저에서 우리 인간이 보는 것이다. 우리는 신뢰를 확립하기 위해 메인 vCenter Server 웹 페이지에서 VMCA 루트 CA 인증서를 다운로드하여 PC로 가져올 수 있다. 또한 "VMware Engineering" 등과 같은 기본 텍스트 값 대신 자체 정보를 사용하여 원하는 경우 VMCA 루트 인증서를 재생성할 수 있다.

하이브리드 모드

VMCA는 vSphere 클러스터 내에서 인증서 관리를 자동화하는 데 엄청난 시간을 절약하고 인증서 갱신을 잊은 경우와 같이 오류 발생 가능성을 방지해 준다. 그러나 vSphere Client에 액세스하는 사람이 많은 경우 VMCA 루트 CA 인증서를 가져오도록 모든 사용자에게 요청하는 것은 비현실적인 경우가 많다. 대신 vSphere Client가 사용하는 인증서를 교체하여 클라이언트 브라우저에서 기본적으로 수락할 수 있도록 할 수 있다. 이는 인프라 내부의 보안을 위한 심층 자동화 및 vSphere Client 사용자의 관리 작업 최소화라는 두 가지 방법 중 최고다. 그러나 vSphere 관리자는 관리 인터페이스에 VMCA가 서명한 인증서가 있는 ESXi 호스트와 신뢰를 구축하기 위해 VMCA 루트 CA 인증서를 가져오려고 할 것이다. 대부분의 경우 vSphere Admin 팀은 규모가 작으므로 이 작업을 매우 쉽게 관리할 수 있다.

Download-Trusted-Root-CA-Certificates-768x432.png

하이브리드 모드와 기본 모드 모두에서 완전히 관리되는 ESXi 호스트나 vSphere Client 모두 자체 서명된 인증서를 가지고 있지 않다는 것은 일반적인 오해라는 점에 유의하십시오. 그것들은 VMCA에 의해 서명되었다. VMCA는 vCenter Server의 필수적인 부분이다. 우리는 vCenter Server가 인프라의 핵심을 관리하도록 신뢰하고, 따라서 VMCA도 암시적으로 신뢰한다. VMCA가 신뢰할 수 없다고 말하는 것은 vCenter Server의 신뢰성에 대해서도 의문을 제기하는 것이다. VMCA 루트 CA 인증서가 브라우저 및 운영 체제에서 우리의 동의 없이 나타나는 다른 루트 CA 인증서보다 신뢰도가 높거나 낮은가? 수천 명의 VMware 고객이 특히 자신의 정보로 재생하는 경우 "더 신뢰할 수 있다"고 답하고 있다. 마찬가지로, 많은 고객은 엔터프라이즈 PKI 인프라의 일부가 vSphere 내부에서 실행될 경우 잠재적 종속성 루프를 피할 뿐만 아니라 "업무의 분리" 관점에서 인프라 신뢰를 엔터프라이즈 PKI 인프라의 나머지 부분으로부터 분리하는 것을 즐긴다.

종속 CA 모드(Subordinate CA Mode)

VMCA는 회사 CA로부터 위임된 하위 CA로 작동할 수 있다. 이를 통해 vCenter Server는 생성된 인증서가 조직의 일부로 신뢰된다는 점을 제외하고, 완전히 관리되는 모드에서와 마찬가지로 인증서 관리를 계속 자동화할 수 있다. 이것은 일부 조직에게 어필하지만, VMCA로 핵심 자료를 가져올 필요가 있는데, 만약 운송 중에 잘못 저장(또는 만약의 경우에 대비하여 몰래 저장)한다면, 공격자가 조직을 사칭하고 중간지점처럼 공격을 행하는 데 사용할 수 있다. 대부분의 경우, 이러한 수준의 자동화를 추구하는 조직은 잠재적 장애 도메인을 분리하는 데 도움이 되기 때문에 대신 하이브리드 모드를 사용하게 된다.

전체 사용자 지정 모드(Full Custom Mode)

이 모드에서는 VMCA가 사용되지 않으므로 사용자는 vSphere 클러스터에 있는 모든 인증서를 설치하고 관리해야 한다. vSphere 7의 단순화에도 불구하고 이는 여전히 수십 개의 인증서에 해당할 수 있으며 인증서가 만료될 경우 운영상의 문제 및 운영 중단의 가능성이 있다. 또한 vCenter Server는 인증서를 사용하여 호스트와 신뢰 관계를 설정하므로 ESXi 호스트의 인증서를 교체하려면 해당 인증서를 vCenter Server에 연결 해제하고 다시 연결해야 한다. Distributed Switch와 vSAN 스토리지의 경우 이러한 연결이 끊기는 것을 좋아하지 않는 경우에 이는 다소 부담스러울 수 있다. 수백 개의 키, CSR을 생성하고 인증서에 서명하는 것 또한 vSphere Admins뿐만 아니라 엔터프라이즈 PKI 팀에게도 오류가 발생하기 쉽고 시간이 많이 소요된다.

확실한 우승자

vSphere 7: Hybrid Mode에서 어떤 모드를 추천하는지 분명할 것이다. 자동화 및 vCenter Server 설치에 대한 신뢰를 활용하되, 인간이 브라우저에서 더 나은 경험을 할 수 있도록 시스템 인증서를 교체해 봅시다.

분명히 말하면, 우리가 하이브리드 모드에 대해 강하게 느끼더라도, 네 가지 모드는 모두 문서화되고 완전히 지원된다. 한 가지 사이즈가 이 세상에 모두 맞는 것은 아니다.

VMCA와의 자동화는 특히 대규모 기관, 특히 컴플라이언스 및 보안 부담이 큰 기관에서 매우 강력한 성능을 발휘한다. 이것은 직관에 반하는 것처럼 보일 수도 있지만, 사실은, 대부분의 사람들에게, 인증서에 대한 논의는 암호화와 매우 위험한 방법으로 신뢰를 붕괴시킨다는 것이다. 신뢰보다는 암호화에 더 중점을 두는 Let's Encrypt와 같은 인증 기관에서는 더욱 그렇다. 그 모든 것을 가지고, 10년 전의 "최고의" 관행 한 잔, 컴플라이언스 프레임워크 & 감사자의 갤런, 헷갈리는 전문용어 두 잔, 그리고 "이곳에서는 그런 식으로 일을 하지 않는다"고 잘난 체하는 몇 스푼을 섞으면, 당신은 문제, 직원 시간, 사기, 가동 시간, 그리고 실제 보안에 대한 비법이 있다. 간단하고 안전하게 지켜라.

인증서 관리는 아마도 우리가 접하는 가장 혼란스러운 주제일 것이다. 그래서 우리는 이 주제에 대해 더 많은 것을 가지고 있다. 채널 고정!