[번역] vSphere 7 – vSphere Trust Authority

출처 : https://blogs.vmware.com/vsphere/2020/04/vsphere-7-vsphere-trust-authority.html

vSphere-Icon-Color-2020.png

VMware에서는 vSphere 환경의 보안이 사후 고려 사항이 아닌 심층적으로 제품에 적용된다는 개념인 고유한 보안에 대해 많은 이야기를 나누었다. 보안은 vSphere 7의 가장 큰 관심사지만, 일반적으로 인증서 관리 개선, vSGX, ID Federation 및 vSphere Trust Authority에 관한 것이었습니다. vSphere Lifecycle Manager와 Update Planner를 통해 패치 및 업그레이드에 대한 모든 대규모 개선 사항도 보안 기능이다. 패치를 적용할 수 없는 경우 발견된 취약성, 버그 및 드라이버 문제와 같은 운영 문제로부터 환경을 보호할 수 없다(이론적으로는 물론). 운영상의 문제는 보안과 직결되는 가용성에 영향을 미치며, 모두 리스크에 얽매여 있다.

vSphere 7이 내부 보안을 향상시키는 방법 중 하나는 vSphere 관리자가 인프라 자체에 더 깊숙이 관리할 수 있도록 하는 것이다. 이제 Lifecycle Manager가 업데이트 적용 주기의 일부로 서버 펌웨어를 관리하기 위해 Dell EMC OpenManage Integration for VMware vCenter 및 HPE iLO 앰프와 같은 툴과 함께 작업할 수 있는 것을 확인하자. 이는 서버 및 관리 컨트롤러에도 취약성이 있으며 ESXi 업데이트만으로 해결되는 것이 아니기 때문에 큰 일이다. 우리는 하드웨어도 업데이트되도록 해야 한다. 그래야 우리가 기반시설을 구축할 수 있는 견고하고 안전한 기반이다.

트러스트의 토대

vSphere Trust Authority(vTA)는 인프라가 안전하고 안전하도록 보장하고 보안이 문제가 될 경우 이를 수리하기 위해 조치를 취하도록 지원하는 도구다. vTA를 이해하려면 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 지원 및 호스트 증명 프로세스를 도입한 vSphere 6.7을 되돌아볼 필요가 있다. TPM은 지난 10년 동안 제작된 서버 내부에 설치할 수 있는 저렴한 구성품이다. 서버를 주문할 때 간과되는 경우가 많으므로, 사용자는 서버를 설치하지 않을 수 있지만, 모듈형이며 서버를 구축한 후 추가할 수 있다(사전 설치된 경우 훨씬 쉬우나, 다음 하드웨어 주문에 대한 팁).

Dell-R630-Trusted-Platform-Module.jpg

TPM은 세 가지 일을 한다.

첫째, TPM은 암호화 프로세서의 역할을 하며, 임의의 숫자뿐만 아니라 암호 키를 생성할 수 있다. TPM은 서버 내부의 직렬 버스를 통해 연결되며, 내가 "직렬"이라고 말할 때, 그것은 USB를 줄이고 더 많은 "1990년대 모뎀 속도"를 의미한다. 사실, 대부분의 암호화 작업은 현재 주요 CPU에 의해 수행되고 있는데, 그 CPU들은 매우 빠른 암호화 기능을 가지고 있기 때문이다(그래서 VM Encryption과 vSAN Encryption과 같은 기술은 오버헤드가 매우 낮다). 그럼에도 불구하고, 모뎀 속도는 키와 인증서 등을 저장하고 검색하는데 괜찮다. 이것들은 모두 매우 작다. TPM 랜덤 숫자 생성기는 하이퍼바이저와 같이 베어 메탈에서 실행되는 CPU 및 운영 체제에서 무작위 숫자 생성기를 점프 시동하거나 "시딩"하는 데도 매우 유용할 수 있다.

둘째, TPM은 키, 인증서 및 서명 같은 암호 자료를 저장할 수 있다. 그것은 "바인딩"과 "밀봉"이라고 불리는 기술을 가지고 있는데, 어떻게 그것이 저장하는 비밀들이 검색될 수 있는지 통제하는데 도움을 준다. 게다가, 사람들이 물리적으로 TPM을 훔치고 비밀에 접근하는 것을 막기 위해, TPM은 당신이 처음 실행한 서버에 암호화되어 있다. eBay에서 구입하거나 이전 시스템에서 재활용하지 않는다("TPM 서버"를 검색하려면 eBay에서 모든 종류의 서버를 볼 수 있다!).

마지막으로, TPM은 "증명(attestation)"이라고 불리는 것을 함으로써 시스템의 무결성이 손상되지 않았는지 확인하는 것을 도울 수 있다. TPM은 보안 정보를 측정하고 저장한 후 암호학적으로 매우 강력한 방식으로 요약할 수 있다. 서버에서 UEFI Secure Boot를 사용하고 TPM을 사용하도록 설정한 경우 vCenter Server는 이러한 보안 측정값을 수집하여 시스템이 신뢰할 수 있는 소프트웨어로 부팅되었는지 여부를 확인할 수 있다. 이는 증명이며, 모니터 탭의 vSphere Client "보안" 섹션에서 확인할 수 있다.

vSphere-7-Attestation-Status.png

그러나 vSphere 6.7의 증명은 보기 전용이다. 문제가 있을 때 경보를 넘어 증명이 실패할 경우 실제로 어떤 영향도 미치지 않는다. 즉, VM Encryption을 사용하여 디스크의 데이터를 보호하는 것과 같은 보안 워크로드가 DRS에 의해 의심스러운 호스트로 다시 이동할 수 있다는 것을 의미한다. 또한 클러스터에 대한 모든 암호화 키를 처리하는 vCenter Server가 클러스터 내에서 실행 중이면 암호화 키가 취약할 수 있음을 의미한다. 마지막으로, 종속성 루프가 있기 때문에 vCenter Server도 암호화할 수 없다.

vSphere Trust Authority

이것이 vSphere Trust Authority가 들어오는 부분이다. vTA는 신뢰의 하드웨어 루트 역할을 하는 자체 관리 클러스터를 구축한다. 이 클러스터는 환경에서 일반적인 vSphere 클러스터 외부의 매우 안전하고 정밀하게 조사된 소규모 클러스터입니다. 클러스터는 다른 모든 클러스터와 분리되어 있으며 관리자의 수가 매우 적다는 것이 이상적이다. 이 클러스터를 구성하는 호스트는 ESXi를 실행하며 워크로드가 실행되지 않을 가능성이 높으므로 매우 작은 시스템일 수 있다. 별도의 클러스터 대신 기존 관리 클러스터가 신뢰의 vTA 루트 역할을 할 수 있어 시작도 용이하다.

vSphere-Trust-Authority-Diagram.png

vTA 관리 클러스터가 구축되면 두 개의 큰 작업을 처리한다. 우선, 키 관리 서버(KMS)로부터 암호화 키의 분배를 이어받는다. 이는 vCenter Server가 더 이상 이러한 키의 중요한 경로에 있지 않다는 것을 의미하며, 이는 vCenter Server를 암호화하여 키를 보호할 수 있음을 의미하기도 한다. 둘째, vTA는 다른 호스트의 증명을 처리한다. vTA는 암호화 키를 처리하므로 호스트가 실패하면 vTA가 암호화 키에서 키를 보류한다. 이렇게 하면 문제가 해결될 때까지 보안 워크로드가 해당 호스트로 이동하는 것을 방지할 수 있다. 그것이 바로 우리가 원하는 것이다, 왜냐하면 우리는 우리의 비밀들이 잠재적으로 신뢰할 수 없는 서버에 주어지는 것을 원하지 않기 때문이다.

맺음말

vSphere Trust Authority는 현재 새롭고 매우 기초적인 기술로, 보다 심층적인 수준에서 하드웨어 및 소프트웨어 구성에 대한 신뢰를 구축할 수 있도록 도와준다. 언뜻 보면 vSphere Trust Authority가 별도의 클러스터와 추가 구성 작업을 통해 복잡성을 가중시키고 있는 것처럼 보일 수 있다. 몇몇 사람들에게는 그것이 사실이다.

그러나 대규모 배포를 사용하는 보안 지향 고객들은 이것이 운영 환경을 단순화할 수 있는 매우 실질적인 잠재력을 가지고 있다는 것을 알게 될 것이다. vTA 관리 클러스터를 사용하여 수천 개의 호스트와 클러스터를 증명할 수 있으므로, vTA가 전체 엔터프라이즈에 제공하는 낮은 위험과 높은 신뢰도로 인해 해당 클러스터의 비용과 복잡성이 상쇄된다.