BitLocker를 사용하여 클러스터 공유 볼륨 및 스토리지 영역 네트워크 보호
이 문서에서는 BitLocker를 사용하여 CSV(클러스터 공유 볼륨) 및 SAN(스토리지 영역 네트워크)을 보호하는 절차를 설명합니다.
BitLocker는 물리적 디스크 리소스와 클러스터 공유 볼륨 버전 2.0(CSV2.0)을 모두 보호합니다. 클러스터형 볼륨의 BitLocker는 중요한 고가용성 데이터를 보호하는 데 사용할 수 있는 추가 보호 계층을 제공합니다. 관리자는 이 추가 보호 계층을 사용하여 리소스에 대한 보안을 강화합니다. 특정 사용자 계정만 BitLocker 볼륨의 잠금을 해제할 수 있는 액세스 권한을 제공했습니다.
클러스터 공유 볼륨에서 BitLocker 구성
클러스터 내의 볼륨은 클러스터 서비스가 보호할 볼륨을 보는 방법에 따라 BitLocker의 도움을 받아 관리됩니다. 볼륨은 SAN의 LUN(논리 단위 번호) 또는 NAS(네트워크 연결 스토리지)와 같은 실제 디스크 리소스일 수 있습니다.
중요
BitLocker와 함께 사용되는 SAN은 Windows 하드웨어 인증을 획득해야 합니다. 자세한 내용은 Windows 하드웨어 랩 키트를 검사.
클러스터에 대해 지정된 볼륨은 다음 작업을 수행해야 합니다.
- BitLocker 켜기: 이 작업이 완료된 후에만 볼륨을 스토리지 풀에 추가할 수 있습니다.
- BitLocker 작업이 완료되기 전에 리소스를 유지 관리 모드로 전환해야 합니다.
Windows PowerShell 또는 manage-bde.exe
명령줄 도구는 CSV2.0 볼륨에서 BitLocker를 관리하는 기본 방법입니다. CSV2.0 볼륨은 탑재 지점이므로 BitLocker 제어판 항목에 이 메서드를 사용하는 것이 좋습니다. 탑재 지점은 다른 볼륨에 진입점을 제공하는 데 사용되는 NTFS 개체입니다. 탑재 지점은 드라이브 문자를 사용할 필요가 없습니다. 드라이브 문자가 없는 볼륨은 BitLocker 제어판 항목에 표시되지 않습니다. 또한 클러스터 디스크 리소스 또는 CSV2.0 리소스에 필요한 새 Active Directory 기반 보호기 옵션은 제어판 항목에서 사용할 수 없습니다.
참고
탑재 지점은 SMB 기반 네트워크 공유에서 원격 탑재 지점을 지원하는 데 사용할 수 있습니다. 이 유형의 공유는 BitLocker 암호화에 지원되지 않습니다.
VHD(동적 가상 하드 디스크)와 같이 씬 프로비전된 스토리지가 있는 경우 BitLocker는 사용된 디스크 공간 전용 암호화 모드에서 실행됩니다. 이 manage-bde.exe -WipeFreeSpace
명령은 씬 프로비전된 스토리지 볼륨에서 볼륨을 전체 볼륨 암호화로 전환하는 데 사용할 수 없습니다. 비어 있는(사용 가능한) 공간을 초기화하면서 전체 백업 저장소를 차지하도록 씬 프로비전된 볼륨을 확장하지 않도록 명령 사용 manage-bde.exe -WipeFreeSpace
이 차단됩니다.
Active Directory 기반 보호기
AD DS(Active Directory Domain Services) 보호기를 사용하여 AD DS 인프라 내에 있는 클러스터형 볼륨을 보호할 수도 있습니다. ADAccountOrGroup 보호기는 사용자 계정, 컴퓨터 계정 또는 그룹에 바인딩할 수 있는 SID(도메인 보안 식별자) 기반 보호기입니다. 보호된 볼륨에 대한 잠금 해제 요청이 수행되면 다음 이벤트가 발생합니다.
BitLocker 서비스는 요청을 중단하고 BitLocker protect/unprotect API를 사용하여 요청의 잠금을 해제하거나 거부합니다.
BitLocker는 다음 순서로 보호기를 시도하여 사용자 개입 없이 보호된 볼륨의 잠금을 해제합니다.
키 지우기
드라이버 기반 자동 잠금 해제 키
ADAccountOrGroup 보호기
a. 서비스 컨텍스트 보호기
b. 사용자 보호기
레지스트리 기반 자동 잠금 해제 키
참고
이 기능이 제대로 작동하려면 Windows Server 2012 이상의 도메인 컨트롤러가 필요합니다.
Windows PowerShell 사용하여 클러스터에 디스크를 추가하기 전에 BitLocker 켜기
이러한 디스크를 클러스터 스토리지 풀에 추가하기 전에 디스크에 BitLocker 암호화를 사용할 수 있습니다.
참고
BitLocker 암호화의 장점은 클러스터 스토리지 풀에 추가된 디스크에도 사용할 수 있습니다. 클러스터에 볼륨을 추가하기 전에 볼륨을 암호화하는 장점은 작업을 완료하기 위해 디스크 리소스를 일시 중단할 필요가 없다는 것입니다. 클러스터에 추가하기 전에 디스크에 대해 BitLocker를 켜려면 다음을 수행합니다.
아직 설치되지 않은 경우 BitLocker 드라이브 암호화 기능을 설치합니다.
디스크가 NTFS 형식이고 드라이브 문자가 할당되어 있는지 확인합니다.
Windows PowerShell 사용하여 클러스터의 이름을 식별합니다.
Get-Cluster
클러스터 이름을 사용하여 ADAccountOrGroup 보호기를 사용하여 볼륨에서 BitLocker를 사용하도록 설정합니다. 예를 들어 다음과 같은 명령을 사용합니다.
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Warning
ADAccountOrGroup 보호기는 클러스터 공유 볼륨에서 공유되거나 기존 장애 조치(failover) 클러스터에서 제대로 장애 조치(failover)하려면 BitLocker 사용 볼륨에 대해 클러스터 CNO를 사용하여 구성해야 합니다.
클러스터의 각 디스크에 대해 이전 단계를 반복합니다.
클러스터에 볼륨을 추가합니다.
Windows PowerShell 사용하여 클러스터형 디스크에 대해 BitLocker 켜기
클러스터 서비스가 이미 디스크 리소스를 소유하는 경우 BitLocker를 사용하도록 설정하려면 디스크 리소스를 유지 관리 모드로 설정해야 합니다. Windows PowerShell 사용하여 클러스터형 디스크에 대해 BitLocker를 켜려면 다음 단계를 수행합니다.
아직 설치되지 않은 경우 BitLocker 드라이브 암호화 기능을 설치합니다.
Windows PowerShell 사용하여 클러스터 디스크의 상태 확인합니다.
Get-ClusterResource "Cluster Disk 1"
Windows PowerShell 사용하여 실제 디스크 리소스를 유지 관리 모드로 전환합니다.
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
Windows PowerShell 사용하여 클러스터의 이름을 식별합니다.
Get-Cluster
클러스터 이름을 사용하여 ADAccountOrGroup 보호기를 사용하여 BitLocker 볼륨을 사용하도록 설정합니다. 예를 들어 다음과 같은 명령을 사용합니다.
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Warning
클러스터 공유 볼륨에서 공유되거나 기존 장애 조치(failover) 클러스터에서 제대로 장애 조치(failover)하려면 BitLocker 사용 볼륨에 대해 클러스터 CNO를 사용하여 ADAccountOrGroup 보호기를 구성해야 합니다.
Resume-ClusterResource를 사용하여 유지 관리 모드에서 실제 디스크 리소스를 되돌릴 수 있습니다.
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
클러스터의 각 디스크에 대해 이전 단계를 반복합니다.
를 사용하여 클러스터에 BitLocker 암호화 볼륨 추가 manage-bde.exe
Manage-bde.exe
을 사용하여 클러스터된 볼륨에서 BitLocker를 사용하도록 설정할 수도 있습니다. 기존 클러스터에 물리적 디스크 리소스 또는 CSV2.0 볼륨을 추가하는 데 필요한 단계는 다음과 같습니다.
BitLocker 드라이브 암호화 기능이 컴퓨터에 설치되어 있는지 확인합니다.
새 스토리지의 형식이 NTFS인지 확인합니다.
볼륨을 암호화하고, 복구 키를 추가하고, 명령 프롬프트 창에서 를 사용하여
manage-bde.exe
클러스터 관리자를 보호기 키로 추가합니다. 예시:manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync
- BitLocker는 디스크가 이미 클러스터의 일부인지 확인하기 위해 검사. 이 경우 관리자는 하드 블록이 발생합니다. 그렇지 않으면 암호화가 계속됩니다.
- -sync 매개 변수를 사용하는 것은 선택 사항입니다. 그러나 -sync 매개 변수를 사용하면 볼륨에 대한 암호화가 완료될 때까지 명령이 대기하도록 하는 이점이 있습니다. 그런 다음 클러스터 스토리지 풀에서 사용하기 위해 볼륨이 해제됩니다.
장애 조치(failover) 클러스터 관리자 스냅인 또는 클러스터 PowerShell cmdlet을 열어 디스크를 클러스터화할 수 있도록 합니다.
- 디스크가 클러스터되면 CSV에 대해 사용하도록 설정됩니다.
리소스 온라인 작업 중에 클러스터는 디스크가 BitLocker 암호화되었는지 여부를 확인합니다.
- 볼륨이 BitLocker를 사용하도록 설정되지 않은 경우 기존 클러스터 온라인 작업이 발생합니다.
- 볼륨이 BitLocker를 사용하도록 설정된 경우 BitLocker는 볼륨이 잠겨 있는지 확인합니다. 볼륨이 잠긴 경우 BitLocker는 CNO를 가장하고 CNO 보호기를 사용하여 볼륨의 잠금을 해제합니다. BitLocker에서 이러한 작업이 실패하면 이벤트가 기록됩니다. 기록된 이벤트는 볼륨의 잠금을 해제할 수 없고 온라인 작업이 실패했음을 나타냅니다.
디스크가 스토리지 풀에서 온라인 상태가 되면 디스크 리소스를 마우스 오른쪽 단추로 클릭하고 "클러스터 공유 볼륨에 추가"를 선택하여 CSV에 추가할 수 있습니다.
CSV에는 암호화된 볼륨과 암호화되지 않은 볼륨이 모두 포함됩니다. BitLocker 암호화에 대한 특정 볼륨의 상태 검사 볼륨에 대한 경로를 가진 관리자 권한으로 명령을 실행 manage-bde.exe -status
합니다. 경로는 CSV 네임스페이스 내에 있어야 합니다. 예시:
manage-bde.exe -status "C:\ClusterStorage\volume1"
실제 디스크 리소스
CSV2.0 볼륨과 달리 실제 디스크 리소스는 한 번에 하나의 클러스터 노드에서만 액세스할 수 있습니다. 이 조건은 볼륨 암호화, 암호 해독, 잠금 또는 잠금 해제와 같은 작업을 수행하려면 컨텍스트가 필요하다는 것을 의미합니다. 예를 들어 디스크 리소스를 사용할 수 없기 때문에 디스크 리소스를 소유하는 클러스터 노드를 관리하지 않는 경우 실제 디스크 리소스의 잠금을 해제하거나 암호를 해독할 수 없습니다.
클러스터 볼륨이 있는 BitLocker 작업에 대한 제한 사항
다음 표에는 실제 디스크 리소스(즉, 기존 장애 조치(failover) 클러스터 볼륨) 및 CSV(클러스터 공유 볼륨) 및 각 상황에서 BitLocker에서 허용하는 작업에 대한 정보가 포함되어 있습니다.
작업 | 장애 조치(failover) 볼륨의 소유자 노드에서 | CSV의 MDS(메타데이터 서버)에서 | CSV의 On(데이터 서버) DS | 유지 관리 모드 |
---|---|---|---|---|
Manage-bde.exe -on |
차단됨 | 차단됨 | 차단됨 | 허용 |
Manage-bde.exe -off |
차단됨 | 차단됨 | 차단됨 | 허용 |
Manage-bde.exe Pause/Resume |
차단됨 | 차단** | 차단됨 | 허용 |
Manage-bde.exe -lock |
차단됨 | 차단됨 | 차단됨 | 허용 |
Manage-bde.exe -wipe |
차단됨 | 차단됨 | 차단됨 | 허용 |
Unlock | 클러스터 서비스를 통한 자동 | 클러스터 서비스를 통한 자동 | 클러스터 서비스를 통한 자동 | 허용 |
Manage-bde.exe -protector -add |
허용 | 허용 | 차단됨 | 허용 |
Manage-bde.exe -protector -delete |
허용 | 허용 | 차단됨 | 허용 |
Manage-bde.exe -autounlock |
허용됨(권장되지 않음) | 허용됨(권장되지 않음) | 차단됨 | 허용됨(권장되지 않음) |
Manage-bde.exe -upgrade |
허용 | 허용 | 차단됨 | 허용 |
축소 | 허용 | 허용 | 차단됨 | 허용 |
확장 | 허용 | 허용 | 차단됨 | 허용 |
참고
manage-bde.exe -pause
명령은 클러스터에서 차단되지만 클러스터 서비스는 MDS 노드에서 일시 중지된 암호화 또는 암호 해독을 자동으로 다시 시작합니다.
실제 디스크 리소스가 변환 중에 장애 조치(failover) 이벤트를 경험하는 경우 새 소유 노드는 변환이 완료되지 않은 것을 감지하고 변환 프로세스를 완료합니다.
CSV2.0에서 BitLocker를 사용할 때의 기타 고려 사항
클러스터형 스토리지에서 BitLocker를 고려해야 하는 몇 가지 다른 고려 사항은 다음과 같습니다.
- BitLocker 볼륨을 초기화하고 암호화를 시작해야 CSV2.0 볼륨에 추가할 수 있습니다.
- 관리자가 CSV 볼륨의 암호를 해독해야 하는 경우 클러스터에서 볼륨을 제거하거나 디스크 유지 관리 모드로 전환합니다. 암호 해독이 완료될 때까지 기다리는 동안 CSV를 클러스터에 다시 추가할 수 있습니다.
- 관리자가 CSV 볼륨 암호화를 시작해야 하는 경우 클러스터에서 볼륨을 제거하거나 유지 관리 모드로 전환합니다.
- 암호화가 진행 중인 상태에서 변환이 일시 중지되고 CSV 볼륨이 클러스터에서 오프라인 상태인 경우 볼륨이 클러스터에 온라인 상태일 때 클러스터 스레드(상태 검사)가 자동으로 변환을 다시 시작합니다.
- 암호화가 진행 중인 상태에서 변환이 일시 중지되고 실제 디스크 리소스 볼륨이 클러스터에서 오프라인 상태이면 볼륨이 클러스터로 온라인 상태일 때 BitLocker 드라이버가 자동으로 변환을 다시 시작합니다.
- CSV 볼륨이 유지 관리 모드인 동안 암호화를 사용하여 변환이 일시 중지된 경우 유지 관리에서 볼륨을 다시 이동할 때 클러스터 스레드(상태 검사)가 자동으로 변환을 다시 시작합니다.
- 디스크 리소스 볼륨이 유지 관리 모드인 동안 암호화가 진행 중인 상태에서 변환이 일시 중지되면 볼륨이 유지 관리 모드에서 다시 이동되면 BitLocker 드라이버가 자동으로 변환을 다시 시작합니다.