다음을 통해 공유

BitLocker로 클러스터 공유 볼륨 및 저장 영역 네트워크 보호

  • 아티클

이 항목은 IT 전문가를 대상으로 하며, BitLocker로 CSV 및 SAN을 보호하는 방법을 설명합니다.

BitLocker는 실제 디스크 리소스와 CSV2.0(클러스터 공유 볼륨 버전 2.0)을 모두 보호할 수 있습니다. 가용성이 높고 중요한 데이터를 보호하려는 관리자는 추가적인 보호 계층으로 클러스터된 볼륨의 BitLocker를 고려할 수 있습니다. 또한 관리자는 클러스터된 볼륨에 추가 보호기를 추가하여 특정 사용자 계정에만 BitLocker 볼륨의 잠금을 해제할 수 있는 액세스를 허용함으로써 조직 내에 리소스에 대한 추가적인 보안 장벽을 추가할 수 있습니다.

클러스터 공유 볼륨에서 BitLocker 구성

클러스터된 볼륨에서 BitLocker 사용

클러스터 내 볼륨의 BitLocker는 클러스터 서비스가 보호할 볼륨을 "확인하는" 방식에 따라 관리됩니다. 볼륨은 SAN(저장 영역 네트워크) 또는 NAS(네트워크 연결 저장소)의 LUN(논리 단위 번호)과 같은 실제 디스크 리소스일 수 있습니다.

중요  

BitLocker에 사용된 SAN은 확실히 Windows 하드웨어 인증을 받았습니다. 자세한 내용은 Windows 하드웨어 랩 키트(영문)를 참조하세요.

 

또는 볼륨은 클러스터 내에서 클러스터 공유 볼륨, 공유 네임스페이스일 수 있습니다. Windows Server 2012는 CSV 아키텍처(현재 CSV2.0으로 알려짐)를 확장하여 BitLocker에 대한 지원을 가능하게 합니다. 클러스터용으로 지정된 볼륨에서 BitLocker를 사용할 경우 해당 볼륨은 클러스터 내 저장소 풀에 추가되기 전에 BitLocker를 켜거나 BitLocker 작업이 완료되기 전에 리소스를 유지 관리 모드로 전환해야 합니다.

Windows PowerShell 또는 manage-bde 명령줄 인터페이스는 CSV2.0 볼륨에서 BitLocker를 관리하는 기본 방법입니다. CSV2.0 볼륨이 탑재 지점이므로 이 방법이 BitLocker 제어판 항목보다 권장됩니다. 탑재 지점은 다른 볼륨에 대한 진입점을 제공하는 데 사용되는 NTFS 개체입니다. 탑재 지점에는 드라이브 문자를 사용하지 않아도 됩니다. 드라이브 문자가 없는 볼륨은 BitLocker 제어판 항목에 표시되지 않습니다. 또한 클러스터 디스크 리소스 또는 CSV2.0 리소스에 필요한 새로운 Active Directory 기반 보호기 옵션은 제어판 항목에서 사용할 수 없습니다.

참고  

탑재 지점은 SMB 기반 네트워크 공유에서 원격 탑재 지점을 지원하는 데 사용할 수 있습니다. 이 유형의 공유는 BitLocker 암호화에 대해 지원되지 않습니다.

 

동적 VHD(가상 하드 디스크)와 같은 씬 프로비전된 저장소의 경우 BitLocker는 사용된 디스크 공간만 암호화 모드에서 실행됩니다. 이러한 유형의 볼륨에서 전체 볼륨 암호화로 볼륨을 전환하는 데 manage-bde –WipeFreeSpace 명령을 사용할 수 없습니다. 전체 암호화에 볼륨에 대한 끝 표식이 필요하고 동적 확장 VHD에 볼륨 표식의 고정적인 끝이 없으므로 이러한 문제가 발생합니다.

Active Directory 기반 보호기

AD DS(Active Directory 도메인 서비스) 인프라 내에 유지되는 클러스터된 볼륨을 보호하는 데 AD DS 보호기를 사용할 수도 있습니다. ADAccountOrGroup 보호기는 사용자 계정, 컴퓨터 계정 또는 그룹에 바인딩할 수 있는 도메인 SID(보안 식별자) 기반 보호기입니다. 보호된 볼륨에 대해 잠금 해제가 요청된 경우 BitLocker 서비스는 요청을 중단하고 BitLocker 보호/보호 해제 API를 사용하여 잠금을 해제하거나 요청을 거부합니다. BitLocker는 다음 순서로 보호기를 시도하여 사용자 개입 없이 보호된 볼륨의 잠금을 해제합니다.

  1. 암호화되지 않은 키

  2. 드라이버 기반 자동 잠금 해제 키

  3. ADAccountOrGroup 보호기

    1. 서비스 컨텍스트 보호기

    2. 사용자 보호기

  4. 레지스트리 기반 자동 잠금 해제 키

참고  

이 기능이 제대로 작동하려면 Windows Server 2012 이상 도메인 컨트롤러가 필요합니다.

 

Windows PowerShell을 사용하여 클러스터에 디스크를 추가하기 전에 BitLocker 켜기

BitLocker 암호화는 클러스터 저장소 풀에 추가되기 전후에 디스크에서 사용할 수 있습니다. 볼륨을 클러스터에 추가하기 전에 암호화할 경우의 장점은 디스크 리소스가 작업을 완료하기 위해 리소스를 일시 중단하지 않아도 된다는 것입니다. 디스크를 클러스터에 추가하기 전에 디스크에 대한 BitLocker를 켜려면 다음을 수행하세요.

  1. 아직 설치되지 않은 경우 BitLocker 드라이브 암호화 기능을 설치합니다.

  2. 디스크가 NTFS 파일 시스템으로 포맷되었는지와 드라이브 문자가 할당되었는지 확인합니다.

  3. 선택한 보호기를 사용하여 볼륨에서 BitLocker를 사용하도록 설정합니다. 아래 Windows PowerShell 스크립트 예제에서는 암호 보호기가 사용됩니다.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  4. Windows PowerShell을 사용하여 클러스터의 이름을 확인합니다.

    Get-Cluster

  5. 다음과 같은 명령을 사용하여 해당 클러스터 이름을 사용하는 볼륨에 ADAccountOrGroupprotector를 추가합니다.

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    경고  

    BitLocker 사용 볼륨이 클러스터 공유 볼륨에서 공유되거나 기존의 장애 조치(Failover) 클러스터에서 제대로 장애 조치하도록 하려면 클러스터 CNO를 사용하여 ADAccountOrGroup 보호기를 추가해야 합니다.

     

  6. 클러스터의 각 디스크에 대해 1-6단계를 반복합니다.

  7. 클러스터에 볼륨을 추가합니다.

Windows PowerShell을 사용하여 클러스터된 디스크에 대한 BitLocker 켜기

클러스터 서비스에서 디스크 리소스를 이미 소유한 경우 유지 관리 모드로 설정해야 BitLocker를 사용하도록 설정할 수 있습니다. 클러스터된 디스크에 대해 BitLocker를 켜려면 다음 단계를 따르세요.

  1. 아직 설치되지 않은 경우 BitLocker 드라이브 암호화 기능을 설치합니다.

  2. Windows PowerShell을 사용하여 클러스터 디스크의 상태를 확인합니다.

    Get-ClusterResource "Cluster Disk 1"

  3. Windows PowerShell을 사용하여 실제 디스크 리소스를 유지 관리 모드로 전환합니다.

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource

  4. 선택한 보호기를 사용하여 볼륨에서 BitLocker를 사용하도록 설정합니다. 아래 예제에서는 암호 보호기가 사용됩니다.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  5. Windows PowerShell을 사용하여 클러스터의 이름을 확인합니다.

    Get-Cluster

  6. 다음과 같은 명령을 사용하여 볼륨에 CNO(클러스터 이름 개체)와 함께 ADAccountOrGroup 보호기를 추가합니다.

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    경고  

    BitLocker 사용 볼륨이 클러스터 공유 볼륨에서 공유되거나 기존의 장애 조치(Failover) 클러스터에서 제대로 장애 조치하도록 하려면 클러스터 CNO를 사용하여 ADAccountOrGroup 보호기를 추가해야 합니다.

     

  7. 클러스터의 각 디스크에 대해 1-6단계를 반복합니다.

  8. 클러스터에 볼륨을 추가합니다.

manage-bde를 사용하여 클러스터에 BitLocker 암호화 볼륨 추가

또한 manage-bde를 사용하여 클러스터된 볼륨에서 BitLocker를 사용하도록 설정할 수 있습니다. 기존 클러스터에 실제 디스크 리소스 또는 CSV2.0 볼륨을 추가하는 데 필요한 단계에는 다음이 포함됩니다.

  1. BitLocker 드라이브 암호화 기능이 컴퓨터에 설치되었는지 확인합니다.

  2. 새 저장소가 NTFS로 포맷되었는지 확인합니다.

  3. 다음과 같이 manage-bde 명령줄 인터페이스를 사용하여 볼륨을 암호화하고, 복구 키를 추가하고, 보호기 키로 클러스터 관리자를 추가합니다(예제 참조).

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker는 디스크가 이미 클러스터에 속해 있는지 확인합니다. 그럴 경우 하드 차단이 발생합니다(관리자에게 표시). 그렇지 않은 경우 암호화가 계속됩니다.

      2. -sync 매개 변수 사용은 선택 사항입니다. 이 매개 변수를 사용하면 클러스터 저장소 풀에서 사용하기 위해 볼륨을 해제하기 전에 볼륨에 대한 암호화가 완료될 때까지 명령이 대기합니다.

  4. 장애 조치(Failover) 클러스터 관리자 스냅인 또는 클러스터 PowerShell cmdlet을 열어 디스크가 클러스터되도록 설정합니다.

    • 디스크가 클러스터되면 CSV에 대해서도 사용할 수 있습니다.

  5. 리소스 온라인 작업 중 클러스터는 디스크가 BitLocker 암호화되었는지 확인합니다.

    1. 볼륨이 BitLocker를 사용하도록 설정되지 않은 경우 기존의 클러스터 온라인 작업이 발생합니다.

    2. 볼륨이 BitLocker를 사용하도록 설정된 경우 다음 검사가 발생합니다.

      • 볼륨이 잠긴 경우 BitLocker는 CNO를 가장하고 CNO 보호기를 사용하여 볼륨의 잠금을 해제합니다. 이 작업이 실패하는 경우 이벤트가 볼륨의 잠금을 해제할 수 없었으며 온라인 작업이 실패한다는 로그를 기록합니다.

  6. 디스크가 저장소 풀에서 온라인 상태가 되면 디스크 리소스를 마우스 오른쪽 단추로 클릭하고 "클러스터 공유 볼륨에 추가"를 선택하여 CSV에 디스크를 추가할 수 있습니다.

CSV에는 암호화 볼륨과 암호화되지 않은 볼륨이 모두 포함될 수 있습니다. 관리자가 BitLocker 암호화에 대한 특정 볼륨의 상태를 확인하려면 아래 명령줄 예제에 나온 대로 manage-bde -status 명령을 CSV 네임스페이스 내부 볼륨에 대한 경로와 함께 사용하면 됩니다.

manage-bde -status "C:\ClusterStorage\volume1"

실제 디스크 리소스

CSV2.0 볼륨과 달리 실제 디스크 리소스는 한 번에 하나의 클러스터 노드에서만 액세스할 수 있습니다. 즉, 볼륨의 암호화, 암호 해독, 잠금 또는 잠금 해제와 같은 작업은 수행하는 데 컨텍스트가 필요합니다. 예를 들어 디스크 리소스를 소유하는 클러스터 노드를 관리하지 않는 경우 디스크 리소스를 사용할 수 없으므로 실제 디스크 리소스의 잠금을 해제하거나 암호를 해독할 수 없습니다.

클러스터 볼륨에 대한 BitLocker 작업의 제한 사항

다음 표에는 실제 디스크 리소스, 즉 기존의 장애 조치(Failover) 클러스터 볼륨과 CSV(클러스터 공유 볼륨)에 관한 정보 및 상황별로 BitLocker에 허용된 작업이 나와 있습니다.

작업

장애 조치(Failover) 볼륨의 소유자 노드에서

CSV의 MDS(메타데이터 서버)에서

CSV의 DS(데이터 서버)에서

유지 관리 모드

Manage-bde -on

차단됨

차단됨

차단됨

허용됨

Manage-bde -off

차단됨

차단됨

차단됨

허용됨

Manage-bde Pause/Resume

차단됨

차단됨**

차단됨

허용됨

Manage-bde -lock

차단됨

차단됨

차단됨

허용됨

manage-bde -wipe

차단됨

차단됨

차단됨

허용됨

잠금 해제

클러스터 서비스를 통해 자동으로

클러스터 서비스를 통해 자동으로

클러스터 서비스를 통해 자동으로

허용됨

manage-bde -protector -add

허용됨

허용됨

차단됨

허용됨

manage-bde -protector -delete

허용됨

허용됨

차단됨

허용됨

manage-bde -autounlock

허용됨(권장하지 않음)

허용됨(권장하지 않음)

차단됨

허용됨(권장하지 않음)

Manage-bde -upgrade

허용됨

허용됨

차단됨

허용됨

축소

허용됨

허용됨

차단됨

허용됨

확장

허용됨

허용됨

차단됨

허용됨

 

참고  

manage-bde -pause 명령은 클러스터에서 차단되지만, 클러스터 서비스는 일시 중지된 암호화 또는 암호 해독을 MDS 노드에서 자동으로 다시 시작합니다.

 

실제 디스크 리소스에서 변환하는 동안 장애 조치(Failover) 이벤트가 발생하는 경우 새 소유 노드는 변환이 완료되지 않은 것을 감지하고 변환 프로세스를 완료합니다.

CSV2.0에서 BitLocker를 사용하는 경우 기타 고려 사항

클러스터된 저장소에서 BitLocker에 대한 기타 고려 사항으로는 다음이 있습니다.

  • BitLocker 볼륨은 초기화해야 하며, 암호화를 시작한 다음에 CSV2.0 볼륨에 추가하는 데 사용할 수 있습니다.

  • 관리자가 CSV 볼륨의 암호를 해독해야 하는 경우 볼륨을 클러스터에서 제거하거나 디스크 유지 관리 모드로 전환합니다. 암호 해독이 완료되기를 기다리는 동안 CSV를 클러스터에 다시 추가할 수 있습니다.

  • 관리자가 CSV 볼륨의 암호화를 시작해야 하는 경우 볼륨을 클러스터에서 제거하거나 유지 관리 모드로 전환합니다.

  • 진행 중인 변환이 암호화와 함께 일시 중지되고 CSV 볼륨이 클러스터에서 오프라인으로 전환된 경우 볼륨이 클러스터에 대해 온라인 상태가 되면 클러스터 스레드(상태 확인)가 변환을 자동으로 다시 시작합니다.

  • 진행 중인 변환이 암호화와 함께 일시 중지되고 실제 디스크 리소스 볼륨이 클러스터에서 오프라인으로 전환된 경우 볼륨이 클러스터에 대해 온라인 상태가 되면 BitLocker 드라이버가 변환을 자동으로 다시 시작합니다.

  • 진행 중인 변환이 암호화와 함께 일시 중지되지만 CSV 볼륨이 유지 관리 모드인 경우 볼륨을 유지 관리에서 다른 모드로 다시 전환할 때 클러스터 스레드(상태 확인)가 변환을 자동으로 다시 시작합니다.

  • 진행 중인 변환이 암호화와 함께 일시 중지되지만 디스크 리소스 볼륨이 유지 관리 모드인 경우 볼륨을 유지 관리 모드에서 다른 모드로 다시 전환할 때 BitLocker 드라이버가 변환을 자동으로 다시 시작합니다.