전체 서버 DAOS 오브젝트 암호화에 공유 키 사용

HCL Domino 12®부터는 DAOS에 사용하도록 설정된 여러 서버에서 오브젝트 암호화에 사용할 수 있는 공유 키를 작성할 수 있습니다.

DAOS 계층 2 스토리지를 사용하는 경우 공유 키를 사용하여 전체 서버의 오브젝트 암호화하면 계층 2 스토리지 공간을 절약하는 데 유용합니다. 공유 키를 사용하면 각 고유 DAOS 첨부 오브젝트가 계층 2 스토리지의 단일 오브젝트로 환원되어 모든 서버에서 공유 키를 참조하여 오브젝트를 암호화합니다.

계층 2 스토리지를 사용하지 않더라도 오브젝트 암호화에 공유 키를 사용하면 계층 1 백업 전략이 간소화될 수 있습니다. 이 경우 각 고유 첨부 파일 오브젝트의 이름과 키가 같으므로 오브젝트의 단일 백업만 필요하며 공유 키를 사용하는 모든 서버에 오브젝트를 복원할 수 있습니다.

다음 그림에서는 DAOS 계층 2가 공유 키를 통한 오브젝트 공유 없이 사용되었습니다. 각 서버에서 별도의 키를 사용하여 오브젝트를 암호화합니다. DAOS 계층 1의 서버 A와 서버 B에서 비활성 오브젝트 1의 복사본이 모두 계층 2로 이동됩니다.
공유 키를 통한 오브젝트 공유를 사용하면 다음 그림과 같이 오브젝트 1의 복사본 하나가 DAOS 계층 1에서 계층 2로 이동합니다.

공유 키로 DAOS 오브젝트 암호화를 사용하도록 설정하려면 서버에서 사용하는 신임 정보 저장소에 공유 키를 작성합니다. AES-128 또는 AES-256 암호화 알고리즘을 사용할 수 있습니다. 그런 다음 참여 서버의 서버 문서를 수정하여 공유 키로 암호화를 사용하도록 설정합니다.

DAOS에 사용하도록 설정된 일부 서버에서 동일한 신임 정보 저장소를 사용하지 않는 경우 하나의 신임 정보 저장소에서 공유 키를 내보내고 다른 신임 정보 저장소로 가져올 수 있습니다.

첨부 파일 오브젝트를 공유 키로 암호화하도록 설정한 후 DAOS 오브젝트를 계층 1(로컬 Domino 서버)에 작성하면 해당 오브젝트가 공유 키로 암호화됩니다. 오브젝트 공유를 사용하도록 설정하기 전에 작성된 계층 1 오브젝트는 계층 2 스토리지로 푸시되는 경우 공유 키로 암호화됩니다.

DAOS 오브젝트는 "보존 기간"이 각 서버에서 마지막으로 액세스한 때에 따라 서버 간에 독립적이므로 하나의 첨부 파일 오브젝트가 일부 서버에는 계층 1에 있고 다른 서버에는 계층 2에 있을 수 있습니다.

공유 키로 암호화된 계층 2 오브젝트에 대한 모든 참조를 특정 서버에서 삭제하는 경우 DAOS 설정 n일 동안 오브젝트 삭제 지연에 따라 해당 서버의 오브젝트에 대한 계층 2 참조가 제거됩니다. 이 서버가 오브젝트를 참조하는 마지막 서버인 경우 계층 2 오브젝트 자체가 계층 2 스토리지에서 삭제되고 오브젝트의 라이프사이클이 완료됩니다.

DAOS에서는 각 계층 2 오브젝트를 참조하는 서버를 추적하며 전체 서버의 오브젝트 작성(푸시하기) 및 삭제(잘라내기)를 조정하여 경쟁 조건을 방지합니다.

주: 공유 암호화 키를 사용하는 모든 서버에서 Domino 12 이상을 실행해야 합니다. Domino 12 이전 버전으로 다운그레이드해야 할 수 있는 Domino 서버의 공유 키로 오브젝트 암호화를 사용하도록 설정하지 마십시오.
서버 간 첨부 파일 오브젝트 공유를 구성하려면 다음 단계를 완료합니다.
  1. 신임 정보 저장소에 공유 키 작성
  2. 공유 키를 다른 신임 정보 저장소로 가져오기.
  3. 공유 키로 새 첨부 파일 오브젝트 암호화
  4. 공유 오브젝트 사용 확인