HOL SDC

Similar documents
목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

View Licenses and Services (customer)

vRealize Automation용 VMware Remote Console - VMware

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Windows 8에서 BioStar 1 설치하기

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

System Recovery 사용자 매뉴얼

IRISCard Anywhere 5

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

01장

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

MF5900 Series MF Driver Installation Guide

Microsoft Word - src.doc

SBR-100S User Manual

NTD36HD Manual

Office 365 사용자 가이드

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Windows Server 2012

vm-웨어-01장

Install stm32cubemx and st-link utility

메뉴얼41페이지-2

MF Driver Installation Guide

ThinkVantage Fingerprint Software

RHEV 2.2 인증서 만료 확인 및 갱신

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

Studuino소프트웨어 설치

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

HOL SDC

Oracle VM VirtualBox 설치 VirtualBox에서 가상머신 설치 가상머신에 Ubuntu 설치

MF3010 MF Driver Installation Guide

Operating Instructions

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Microsoft Word - Armjtag_문서1.doc

VMware vsphere

Endpoint Protector - Active Directory Deployment Guide

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

[Brochure] KOR_TunA

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

OnTuneV3_Manager_Install

VPN.hwp

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

User Guide

1

Microsoft Outlook G Suite 가이드

프린터서버응용프로그램가이드 이설명서는다음모델에적용됩니다. 목차 Chapter 1. 개요...1 Chapter 2. 설치하기전...2 Chapter 3. Windows 운영체제에설치...2 Chapter 4. Windows 운영체제용응용프로그램 TP-LIN

ISP and CodeVisionAVR C Compiler.hwp

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

HOL NET

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

gcloud storage 사용자가이드 1 / 17

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows


기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

vm-웨어-앞부속

Student Help

PowerPoint Template

슬라이드 제목 없음

tiawPlot ac 사용방법

CODESYS 런타임 설치과정

슬라이드 1

PowerPoint Template

McAfee Security Virtual Appliance 5.6 설치 안내서

BEA_WebLogic.hwp

Windows 10 General Announcement v1.0-KO

Cloud Friendly System Architecture

쓰리 핸드(삼침) 요일 및 2405 요일 시간, 및 요일 설정 1. 용두를 2의 위치로 당기고 반시계방향으로 돌려 전날로 를 설정합니다. 2. 용두를 시계방향으로 돌려 전날로 요일을 설정합니다. 3. 용두를 3의 위치로 당기고 오늘 와 요일이 표시될 때까지 시계방향으로

PowerPoint 프레젠테이션

슬라이드 1

1. 무선 이미지 유틸리티 설명 1-1. 기능 이 Wireless Image Utility 는 안드로이드용 응용 프로그램입니다. 안드로이드 태블릿 또는 안드로이드 스마트폰에서 사용할 수 있습니다. 안드로이드 기기에 저장된 파일을 프로젝터로 무선 전송 컴퓨터에서 USB

소프트웨어공학 Tutorial #2: StarUML Eun Man Choi

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

포인팅 장치 및 키보드

슬라이드 1

ICAS CADWorx SPLM License 평가판설치가이드

CL5 CL3 CL1 QL5 QL1 V4.5 Supplementary Manual

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

Microsoft PowerPoint - 권장 사양

Getting Started With Parallels Desktop¢ç 9

Cisco FirePOWER 호환성 가이드

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

슬라이드 1

Windows 8 Upgrade Step by Step Guide

제 2 장 기본 사용법

슬라이드 1

DBMS & SQL Server Installation Database Laboratory

사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Copyright 2006 Hewlett-Packard Development Company, L.P. 본설명서의내용은사전통지없이변경될수있습니다. HP 제품및서비스에대한유일한보증은제품및서비스와함께동봉된보증서에명시되어있습니다. 본설명서에는어떠한추가보증내용도들어있지않습니다.

슬라이드 1

Windows Server 8

EEAP - Proposal Template

Transcription:

목차 실습개요 - - vsphere 6.7 보안 - 시작하기... 3 실습지침... 4 모듈 1 - ESXi 사용자의암호복잡성자동화 (15 분 )... 9 소개... 10 암호복잡성정책자동화... 13 결론... 20 모듈 2 - vrealize Log Insight 를사용한보안분석 (30 분 )... 22 소개... 23 vcenter Server 6.7 의사용자인터페이스알아보기... 25 vcenter Server 6.7 로그개요... 36 vcenter 용 Log Insight 이상의향상된 Log Insight 기능에대한소개정보...44 보안감사작업수행... 56 감사쿼리및대시보드생성... 64 SOC( 보안운영센터 ) 컨텐츠팩... 73 결론... 95 모듈 3 - 가상머신암호화및암호화된 vmotion(60 분 )... 97 소개... 98 vcenter Server 에 HyTrust KMS Server 구성... 103 HyTrust KMS Server 를사용하여가상머신암호화... 124 암호화된 vmotion 모드로가상머신설정... 135 PowerCLI - vcenter 및암호화된가상머신목록에연결... 143 PowerCLI - 가상머신암호화 / 암호화해제... 146 PowerCLI - 암호화된가상머신및사용된 KMS Server 표시... 153 PowerCLI - 기본 KMS Server 변경... 157 결론... 159 모듈 4 - 호스트및가상머신의보안부팅 (30 분 )... 162 소개... 163 보안부팅을사용하는호스트의전원켜기... 166 서명되지않은 VIB 설치... 172 보안부팅설정및호스트전원켜기... 184 보안부팅해제... 190 서명되지않은 VIB 제거... 192 vtpm 2.0 을위한 ESXi 호스트구성... 198 가상머신의보안부팅... 204 결론... 212 모듈 5 - 암호화제외시스템관리자역할및사용권한 (15 분 )... 214 소개... 215 HyTrust KMS Server 를사용하여가상머신암호화... 217 암호화제외사용자계정을사용하여로그인... 226 암호화된가상머신의파일다운로드시도... 229 암호화된가상머신의콘솔열기시도... 233 Page 1

가상머신의암호화해제시도... 235 결론... 240 모듈 6 - 가상머신용 vtpm 2.0 및 VBS(30 분 )... 243 소개... 244 VBS 에대해 Windows 10 구성... 247 Device Guard 및 Credential Guard 설정... 260 결론... 266 Page 2

실습개요 - - vsphere 6.7 보안 - 시작하기 Page 3

실습지침 참고 : 이실습을완료하는데 90 분이상소요됩니다. 한번에전체실습모듈을다완료하지못할수도있습니다. 각모듈은서로독립적이므로순서에관계없이원하는모듈부터실습을시작할수있습니다. 목차를사용하여원하는모듈에바로액세스할수있습니다. 목차는실습설명서오른쪽상단에서볼수있습니다. 실습모듈목록 : (15 분, 초급 ) 이모듈에서는 ESXi 호스트의암호복잡성요구사항과호스트에대한요구사항설정을자동화하는방법에대해알아봅니다. 이러한보안규정준수요구사항으로인해어려움을겪고있다면이실습이많은도움이될것입니다. 이실습에서는클러스터내모든호스트에대해 ESXi 사용자의암호복잡성규칙을설정하는 PowerCLI 스크립트를실행합니다. (30 분, 초급 ) 이모듈에서는 vsphere 시스템관리자가 vsphere 6.7 및 vrealize Log Insight 의향상된로깅기능을사용하여 vcenter 에서실제로누가무엇을했는지알아보는방법에대해살펴봅니다. 또한이모듈에서는시스템관리자가신속하게가상머신을재부팅한사용자는물론 ESXi 에대한유효하거나허용되지않은로그인시도를확인할수있는맞춤형대시보드를만드는방법을알아봅니다. (60 분, 고급 ) 이모듈에서는가상머신의암호화및암호화해제와같은향상된 vsphere 6.7 의보안기능을소개합니다. vsphere 6.7 에서암호화는스토리지정책을통해구현됩니다. 기존의전원이꺼진가상머신에암호화스토리지정책을적용하면디스크가암호화됩니다. 이는오늘날의보안요구사항을충족하는데필요한수준의보안을제공하기위해많은기업에서요청한기능입니다. 또한기본적으로일반 vmotion 과동일하지만 vmotion 프로세스를시작하기전에가상머신을암호화하는암호화된 vmotion 에대해알아봅니다. 이기능역시기업이보안및규정준수요구사항을충족하기위해많이요청한기능입니다. 그런다음 PowerCLI 명령줄툴을사용해봅니다. 이툴에는이제사용자가가상머신의암호화및해제등의작업을수행할수있는모듈이포함됩니다. 암호화에 PowerCLI 와같은명령줄툴을사용하면시스템관리자가 vsphere 환경에서대량의가상머신에암호화변경사항을적용할수있어시간과노력이절감됩니다. (30 분, 초급 ) 이모듈에서는가상머신및 vsphere 호스트에대한보안부팅지원을사용하는 vsphere 6.5 기능에대해살펴봅니다. vsphere 6.7 의새로운기능으로호스트와가상머신에가상 TPM 2.0 을추가하는기능이추가되었습니다. UEFI 보안부팅은 OS 핸드오프이전에신뢰할수있는코드만 EFI 펌웨어가로드하도록보장하는메커니즘입니다. 신뢰여부는펌웨어에서관리되는키및인증서에따라결정됩니다. 가상머신내부에이러한기능을구현함으로써가상머신에서 EFI 지원 OS 의보안부팅이가능합니다. (15 분, 고급 ) vsphere 6.5 버전부터제공되는암호화기능으로인해시스템관리자의가상머신암호화를제한할필요가생김에따라암호화제외시스템관리자역할이제공됩니다. 이새역할은 vcenter Server 시스템관리자와사용권한이동일하지만가상머신암호화 / 암호화해제, 데이터스토어탐색또는암호화된가상머신파일다운로드를수행할수없습니다. (30 분, 고급 ) vsphere 6.7 의새보안기능에는가상머신용가상 TPM(Trusted Platform Module) 2.0 버전사용이포함됩니다. 또한 Windows 10 에서 Microsoft 의 VBS(Virtualization Based Security) 및 Credential Guard 기능을사용하기위한통합이포함되어있습니다. 이를수행하기위해 vtpm 2.0 및 VBS 를활성화할것입니다. Page 4

실습담당자 : 모듈 1~6 - Tim Sandy, 커머셜현장시스템엔지니어, 미국 이실습설명서는다음 Hands-on Lab 문서사이트에서다운로드할수있습니다. http://docs.hol.vmware.com 이실습은다른언어로도제공될수있습니다. 원하는언어로설정하고실습과함께배포되는현지화된설명서를보려면실습과정을수행할때다음문서를참조하십시오. http://docs.hol.vmware.com/announcements/nee-default-language.pdf 주콘솔위치 1. 빨간색상자로표시된영역에주콘솔이표시됩니다. 실습설명서는주콘솔의오른쪽탭에있습니다. 2. 실습에따라왼쪽위의별도탭에추가콘솔이제공될수있습니다. 필요할경우별도의콘솔을열라는지침이표시됩니다. 3. 실습이시작되면타이머에 90 분이표시됩니다. 이실습은저장할수없습니다. 실습세션동안모든작업을완료해야합니다. 그러나 EXTEND( 연장 ) 를클릭하여시간을늘릴수는있습니다. VMware 에서수행되는실습에참석한경우실습시간을두번에걸쳐총 30 분연장할수있습니다. 한번클릭할때마다 15 분이추가됩니다. VMware 외부에서진행되는행사인경우실습시간을최대 9 시간 30 분까지연장할수있습니다. 클릭할때마다 1 시간이추가됩니다. Page 5

키보드이외의데이터입력방법 이모듈에서는주콘솔에텍스트를입력하게됩니다. 콘솔에직접입력하는대신, 더쉽게복잡한데이터를입력할수있는두가지다른방법이있습니다. 실습설명서컨텐츠를클릭하여콘솔활성창으로끌어서놓기 실습설명서에서바로텍스트와명령줄인터페이스 (CLI) 명령을클릭하여주콘솔의활성창에끌어놓을수있습니다. 온라인다국어키보드액세스 주콘솔에있는온라인다국어키보드를사용할수도있습니다. 1. Windows 빠른실행작업표시줄에있는키보드아이콘을클릭합니다. 활성콘솔창클릭 Page 6

이예에서는온라인키보드를사용하여 e- 메일주소에사용되는 "@" 기호를입력합니다. "@" 기호는미국키보드배열에서 Shift+2 입니다. 1. 활성콘솔창을한번클릭합니다. 2. Shift 키를클릭합니다. @ 키클릭 1. "@" 키를클릭합니다. 활성콘솔창에 @ 기호가입력됩니다. 정품인증확인또는워터마크 실습을처음시작하면바탕화면에 Windows 의정품인증이확인되지않았음을나타내는워터마크를볼수있습니다. 가상화의주요이점중하나는가상머신을이동하여모든플랫폼에서실행할수있다는점입니다. Hands-on Lab 은이러한이점을활용하므로여러데이터센터에서실습을실행할수있습니다. 하지만, 이러한데이터센터는동일한프로세서가아닐수있으므로인터넷을통한 Microsoft 정품인증확인이필요합니다. VMware 및 Hands-on Lab 은 Microsoft 라이센싱요구사항을완벽하게준수하고있습니다. 사용하는실습환경은독립형포드로, Windows 정품인증을위한인터넷전체액세스권한을가지고있지않습니다. 인터넷에대한전체액세스권한이없으면자동프로세스가실패하게되며이워터마크가나타납니다. Page 7

그러나이러한외관상의문제는실습에영향을미치지않습니다. 화면오른쪽아랫부분확인 시작절차가모두완료되어실습을시작할준비가되었는지확인합니다. "Ready"( 준비 ) 상태가아니면몇분더기다려야합니다. 5 분후에도 "Ready"( 준비 ) 상태로바뀌지않으면도움을요청하십시오. Page 8

모듈 1 - ESXi 사용자의암호복 잡성자동화 (15 분 ) Page 9

소개 이모듈 ( 모듈 1 - ESXi 사용자의암호복잡성자동화 ) 에서는시스템관리자가모든 ESXi 호스트에대한보안정책을자동화할수있는방법을알아봅니다. 이모듈을위해 vsphere 호스트의사용자에대한암호복잡성을설정합니다. 그러나이는시스템관리자가어떻게보안정책을자동화할수있는지그방법을보여주기위해서입니다. ESXi 의모든보안지침을시행하는하나의완벽한스크립트가있다고가정해보십시오. ESXi 호스트를프로비저닝하는즉시규정준수를보장할수있을것입니다. 따라서소프트웨어정의데이터센터를보호하기위한전반적인운영비용을절감할수있습니다. ESXi 암호및계정폐쇄 : ESXi 호스트의경우사전정의된요구사항에맞는암호를사용해야합니다. Security.PasswordQualityControl 고급옵션을사용하여최소길이및문자클래스요구사항을변경하거나암호구문을허용할수있습니다. ESXi 는암호관리및제어를위해 pam_passwdqc Linux PAM 모듈을사용합니다. 자세한내용은 pam_passwdqc 에관한맨페이지 (manpage) 를참조하십시오. 참고 : 릴리스에따라 ESXi 암호의기본요구사항이달라질수있습니다. Security.PasswordQualityControl 고급옵션을사용하여기본암호제한사항을확인하고변경할수있습니다. ESXi 암호 : ESXi 는 Direct Console User Interface, ESXi Shell, SSH 또는 VMware Host Client 에서의액세스에암호요구사항을적용합니다. 기본적으로암호를만들때소문자, 대문자, 숫자및특수문자 ( 예 : 밑줄이나대시 ) 의 4 개문자클래스에속한문자들을조합하여구성해야합니다. 사전에등재된단어나그러한단어의일부는암호에사용할수없습니다. 참고 : 암호의첫번째글자인대문자는사용된문자클래스수에포함되지않으며, 숫자로끝나는암호에서마지막숫자또한사용된문자클래스의수에포함되지않습니다. ESXi 암호의예 : retry=3 min=disabled,disabled,disabled,7,7 로옵션이설정된경우사용가능한암호의예가아래에나와있습니다. 이설정에서첫 3 개항목이사용할수없는 (disabled) 것으로되어있으므로문자클래스가 1~2 개인암호및암호구문은허용되지않습니다. 문자클래스가 3~4 개인암호는 7 자이상이어야합니다. 자세한내용은 pam_passwdqc 에관한맨페이지 (manpage) 를참조하십시오. 이설정을사용할경우다음과같은암호를사용할수있습니다. xqatehb!: 문자클래스가 3 개인 8 자암호입니다. xqat3#a: 문자클래스가 4 개인 7 자암호입니다. 다음은요구사항을충족하지않는암호의예입니다. Page 10

Xqat3hi: 대문자로시작하므로실제문자클래스의수는 2 개로줄어듭니다. 최소 3 개이상의문자클래스가필요합니다. xqateh2: 숫자로끝나므로실제문자클래스의수는 2 개로줄어듭니다. 최소 3 개이상의문자클래스가필요합니다. ESXi 암호문구 : 암호대신암호구문을사용할수있지만암호구문은기본적으로비활성화되어있습니다. vsphere Web Client 에서 Security.PasswordQualityControl 고급옵션을사용하여이기본설정또는다른설정을변경할수있습니다. 예를들어 retry=3 min=disabled,disabled,16,7,7 로옵션을변경할수있습니다. 이렇게설정하면공백으로구분되는 3 단어이상으로구성된최소 16 자의암호구문을사용할수있습니다. 기존호스트의경우 /etc/pamd/passwd 파일변경이계속지원되지만향후릴리스에서는파일변경이더이상지원되지않습니다. 대신 Security.PasswordQualityControl 고급옵션을사용해야합니다. 기본암호제한사항변경 : ESXi 호스트의 Security.PasswordQualityControl 고급옵션을사용하여암호또는암호구문의기본제한사항을변경할수있습니다. ESXi 고급옵션설정에대한정보는 vcenter Server 및호스트관리설명서를참조하십시오. 예를들어최소 15 자및최소 4 개이상의단어를요구하도록기본설정을 retry=3 min=disabled,disabled,15,7,7 passphrase=4 로변경할수있습니다. 자세한내용은 pam_passwdqc 에관한맨페이지 (manpage) 를참조하십시오. 참고 : pam_passwdqc 의옵션에대해가능한모든조합이테스트된것은아닙니다. 기본암호설정을변경한후추가테스트를수행하십시오. ESXi 계정폐쇄동작 : vsphere 6.0 버전부터 SSH 및 vsphere Web Services SDK 를통한액세스에대해계정폐쇄가지원됩니다. Direct Console Interface(DCUI) 및 ESXi Shell 은계정폐쇄를지원하지않습니다. 기본적으로최대 10 번의시도에실패하면계정이폐쇄됩니다. 또한기본적으로 2 분이지나면계정폐쇄가해지됩니다. 로그인동작구성 : 다음고급옵션을사용하여 ESXi 호스트의로그인동작을구성할수있습니다. Security.AccountLockFailures. 사용자계정이폐쇄되는최대로그인실패횟수입니다. 0 으로설정하면계정폐쇄가비활성화됩니다. Security.AccountUnlockTime. 계정이폐쇄되는기간 ( 초 ) 입니다. ESXi 고급옵션설정에대한정보는 vcenter Server 및호스트관리설명서를참조하십시오. Page 11

이모듈에는다음과같은과정이포함되어있습니다. PowerCLI - 암호복잡성정책자동화 - 이과정에서는단일클러스터의모든 ESXi 호스트에암호복잡성정책을설정하는 PowerCli 스크립트 (password.ps1) 를실행하는과정을살펴봅니다. 실행할스크립트 (password.ps1) 참고 : ESXi 호스트에서암호복잡성을설정하기위해실행할 password.ps1 스크립트의내용이아래에나와있습니다. 이명령을지금실행하지마십시오! # 암호정책설정 Connect-VIServer -server vcsa-01a.corp.local -user administrator@vsphere.local - password VMware1! # 연결된 ESXi 호스트의목록가져오기 $VMHosts = Get-VMHost Where {$_.ConnectionState -eq "Connected"} # 암호정책설정 $passwordpolicy = "retry=3 min=disabled,disabled,disabled,7,7" # 전체호스트의목록에대해고급설정을반복지정 foreach ($VMHost in $VMHosts) {Get-AdvancedSetting -Entity $VMHost -Name Security.PasswordQualityControl Set-AdvancedSetting -Value $passwordpolicy - Confirm:$false} Page 12

암호복잡성정책자동화 이모듈에서는 PowerCLI 를사용하여단일클러스터내두호스트에대해암호정책을설정하는스크립트 (password.ps1) 를실행합니다. PowerCLI 를사용하면기본적으로호스트암호정책변경을비롯한대규모변경사항을더빨리더쉽고간편하게실행할수있습니다. 따라서다수의호스트 (20 개이상 ) 가있는환경의경우이방법을사용하면개별호스트의웹클라이언트에서수행하는것보다더효과적으로호스트에일괄변경을수행할수있습니다. PowerCLI 시작 1. 바탕화면에서 VMware PowerCLI 아이콘을두번클릭합니다. 화면지우기 1. 다음명령을입력하여화면을지웁니다. cls Page 13

password.ps1 스크립트위치확인 1. 다음명령을입력하여 HOL-1911 디렉토리로변경합니다. cd C:\LabFiles\HOL-1911\ 2. 다음명령을입력하여 HOL-1911 디렉토리의모든파일을표시합니다. ls 3. password.ps1 이라는이름의스크립트가표시됩니다. 이스크립트에는다음과같은고급 ESXi 설정을활용하여복잡성을변경하는코드가포함되어있습니다. ESXi 호스트의경우사전정의된요구사항의암호를사용해야합니다. Security.PasswordQualityControl 고급옵션을사용하여최소길이및문자클래스요구사항을변경하거나암호문구를을허용할수있습니다. 여기에 password.ps1 스크립트에포함된모든코드행이표시됩니다. # 암호정책설정 Connect-VIServer -server vcsa-01a.corp.local -user administrator@corp.local - password VMware1! # 연결된 ESXi 호스트의목록가져오기 Page 14

$VMHosts = Get-VMHost Where {$_.ConnectionState -eq "Connected"} # 암호정책설정 $passwordpolicy = "retry=3 min=disabled,disabled,disabled,7,7" # 전체호스트의목록에대해고급설정을반복지정 foreach ($VMHost in $VMHosts) {Get-AdvancedSetting -Entity $VMHost -Name Security.PasswordQualityControl Set-AdvancedSetting -Value $passwordpolicy - Confirm:$false} password.ps1 스크립트실행 1. 다음명령을입력하여 password.ps1 스크립트를실행합니다../password.ps1 참고 : 위명령에서 "./" 는현재작업중인디렉토리에서명령을실행한다는것을나타냅니다. 다른디렉토리에서 password.ps1 스크립트를실행하려는경우 password.ps1 스크립트의전체경로를제공해야합니다. ( 예 : 'PS C:\> cd C:\LabFiles\HOL-1911\password.ps1'). 2. 암호복잡성값이 "retry=3 min=disabled,disabled,disabled,7,7" 로설정되어있습니다. Page 15

옵션을 "retry=3 min=disabled,disabled,disabled,7,7" 로설정한경우첫 3 개항목이사용할수없는 (disabled) 것으로되어있으므로문자클래스가 1~2 개인암호및암호구문은허용되지않습니다. 문자클래스가 3~4 개인암호는 7 자이상이어야합니다. PowerCLI 닫기 1. PowerCLI 창의빨간색 "X" 를클릭하여 PowerCLI 를닫습니다. Putty 시작 1. 작업표시줄에서 Putty 아이콘을클릭합니다. Page 16

esx-01a.corp.local 에연결 1. Saved Sessions( 저장된세션 ) 아래 esxi-01a.corp.local 서버를클릭합니다. 2. 그런다음 Load( 로딩 ) 버튼을클릭합니다. 3. 그런다음 Open( 열기 ) 버튼을클릭하여호스트에연결합니다. 화면지우기 1. Putty 창에다음명령을입력하면화면이지워져명령을보기가더편리하며화면공간이더넓어집니다. Page 17

clear 변경되었는지확인 저장된설정에서 esxi-01a.corp.local 서버를두번클릭했으므로올바른암호를사용하여루트사용자계정으로자동로그인됩니다. 이제명령프롬프트에서다음명령을입력해야합니다. 1. 다음명령을입력하여 pam.d 폴더로디렉토리를변경합니다. cd /etc/pam.d 2. 다음명령을입력하여 passwd 파일의텍스트행을출력합니다. cat passwd 3. 변경이적용되어 pam 에복잡성설정이제대로로드되었는지확인해야합니다. 참고 : esx-02a.corp.local 에서 1 ~ 2 단계를반복하여이호스트에서도변경되었는지확인합니다. Putty 닫기 1. Putty 창의빨간색 "X" 를클릭하여 Putty 를닫습니다. Page 18

Putty 종료확인 1. OK( 확인 ) 버튼을클릭합니다. 암호복잡성정책자동화 - 완료 모듈 1: ESXi 사용자의암호복잡성자동화를완료했습니다. 주로사용하는그래픽사용자인터페이스 (GUI) 대신 PowerCLI 명령을사용하여명령줄에서암호복잡성요구사항을변경하는작업을수행했습니다. 그런다음 Putty 를통해호스트에연결하여변경사항이제대로적용되었는지확인했습니다. Page 19

결론 모듈 1 을완료했습니다. 스크립트를활용하여규정에맞지않는보안정책을업데이트하는것은소프트웨어정의데이터센터의전반적인보안리스크를줄이고시스템보안에따른운영비용을절감하는데매우중요합니다. 이모듈에서는 PowerCLI 를사용하여암호복잡성설정을자동화하는방법을살펴보았습니다. 이방법은또한다른여러보안설정에도적용할수있습니다. 다음모듈을계속진행하거나원하는다른모듈로건너뛸수있습니다. (30 분, 초급 ) 이모듈에서는 vsphere 시스템관리자가 vsphere 6.7 및 vrealize Log Insight 의향상된로깅기능을사용하여 vcenter 에서실제로누가무엇을했는지알아보는방법에대해살펴봅니다. 또한이모듈에서는시스템관리자가신속하게가상머신을재부팅한사용자는물론 ESXi 에대한유효하거나허용되지않은로그인시도를확인할수있는맞춤형대시보드를만드는방법을알아봅니다. (60 분, 고급 ) 이모듈에서는가상머신의암호화및암호화해제와같은향상된 vsphere 6.7 의보안기능을소개합니다. vsphere 6.7 에서암호화는스토리지정책을통해구현됩니다. 기존의전원이꺼진가상머신에암호화스토리지정책을적용하면디스크가암호화됩니다. 이는오늘날의보안요구사항을충족하는데필요한수준의보안을제공하기위해많은기업에서요청한기능입니다. 또한기본적으로일반 vmotion 과동일하지만 vmotion 프로세스를시작하기전에가상머신을암호화하는암호화된 vmotion 에대해알아봅니다. 이기능역시기업이보안및규정준수요구사항을충족하기위해많이요청한기능입니다. 그런다음 PowerCLI 명령줄툴을사용해봅니다. 이툴에는이제사용자가가상머신의암호화및해제등의작업을수행할수있는모듈이포함됩니다. 암호화에 PowerCLI 와같은명령줄툴을사용하면시스템관리자가 vsphere 환경에서대량의가상머신에암호화변경사항을적용할수있어시간과노력이절감됩니다. (30 분, 초급 ) 이모듈에서는가상머신및 vsphere 호스트에대한보안부팅지원을사용하는 vsphere 6.5 기능에대해살펴봅니다. vsphere 6.7 의새로운기능으로호스트와가상머신에가상 TPM 2.0 을추가하는기능이추가되었습니다. UEFI 보안부팅은 OS 핸드오프이전에신뢰할수있는코드만 EFI 펌웨어가로드하도록보장하는메커니즘입니다. 신뢰여부는펌웨어에서관리되는키및인증서에따라결정됩니다. 가상머신내부에이러한기능을구현함으로써가상머신에서 EFI 지원 OS 의보안부팅이가능합니다. (15 분, 고급 ) vsphere 6.5 버전부터제공되는암호화기능으로인해시스템관리자의가상머신암호화를제한할필요가생김에따라암호화제외시스템관리자역할이제공됩니다. 이새역할은 vcenter Server 시스템관리자와사용권한이동일하지만가상머신암호화 / 암호화해제, 데이터스토어탐색또는암호화된가상머신파일다운로드를수행할수없습니다. (30 분, 고급 ) vsphere 6.7 의새보안기능에는가상머신용가상 TPM(Trusted Platform Module) 2.0 버전사용이포함됩니다. 또한 Windows 10 에서 Microsoft 의 VBS(Virtualization Based Security) 및 Credential Guard 기능을사용하기위한통합이포함되어있습니다. 이를수행하기위해 vtpm 2.0 및 VBS 를활성화할것입니다. Page 20

암호정책자동화참고자료 : 참고 : 실습환경은일반적으로인터넷연결이제공되지않으므로실습환경에서는아래링크에접속할수없습니다. 이링크를제공하는것은저장한후나중에참조할수있도록하기위해서입니다. 휴대폰으로사진을찍어링크목록을저장한후나중에확인해보십시오. vsphere 설명서 : ESXi 암호및계정폐쇄 : https://docs.vmware.com/en/vmware- vsphere/6.7/com.vmware.vsphere.security.doc/guid-dc96ffdb- F5F2-43EC-8C73-05ACDAE6BE43.html 선택사항 : 실습종료방법 참고 : 실습에서 END( 종료 ) 버튼을클릭하면실습이종료되고관련가상머신이삭제됩니다. 따라서실습을다시시작하면이전실습인스턴스가아닌새가상머신의새인스턴스가생성됩니다. 이전의모든설정은사라지고실습이처음배포될때의기본설정으로돌아갑니다. 이제다음모듈을계속진행하거나목차를사용하여원하는다른모듈로건너뛸수있습니다. 실습을끝내려면 END( 종료 ) 버튼을클릭합니다. 참고 : 실습을종료한후다른모듈을실행하려면실습에다시등록해야합니다. Page 21

모듈 2 - vrealize Log Insight 를사용한보안분석 (30 분 ) Page 22

소개 이모듈 ( 모듈 2 - vrealize Log Insight 를사용한보안분석 ) 에서는 vsphere 시스템관리자가 vsphere 6.7 및 vrealize Log Insight 의로깅기능을사용하여 vcenter 에서실제로누가무엇을했는지알아보는방법에대해살펴봅니다. vrealize Log lnsight 는직관적이고실행가능한대시보드, 정교한분석및광범위한타사확장성을지원하는이기종의확장성이매우우수한로그관리를제공합니다. 물리적, 가상, 클라우드환경간깊이있는운영가시성을제공하여신속하게문제를해결할수있습니다. vrealize Log Insight for vcenter FAQ 블로그 : https://blogs.vmware.com/ management/2016/02/vrealize-log-insight-for-vcenter-faq.html 또한이모듈에서는시스템관리자가신속하게가상머신을재부팅한사용자는물론 ESXi 에대한유효하거나허용되지않은로그인시도를확인할수있도록 vrealize Log Insight 에서맞춤형대시보드를만드는방법을알아봅니다. vrealize Log Insight 내보안운영컨텐츠팩의보안대시보드에대해서도살펴봅니다. 이컨텐츠팩은추가확장성을제공하기위해 vrealize Log Insight 에설치할수있는여러팩중하나입니다. 다른컨텐츠팩은 VMware Solutions Exchange 에서다운로드할수있습니다. vsphere 6.5 이전버전에서는각사용자가 vcenter 수준에서수행한작업이 ESXi 로그에 vpxuser 사용자이름으로기록되었습니다. [user=vpxuser] 따라서사용자작업을추적하여분석하기가어려웠습니다. 6.7 버전에서는 ESXi 서버에대한 vcenter 의모든작업이이제 vcenter 사용자이름과함께 ESXi 로그에표시됩니다. [user=vpxuser:corp\administrator] 이모듈에는다음과같은과정이포함되어있습니다. vcenter 6.7 의사용자인터페이스알아보기 vcenter 6.7 시스템로그개요 vrealize Log Insght 및 vcenter 시스템로그를검색하기위한기능에대한소개 보안감사작업수행 vrealize Log Insight 의감사쿼리및쿼리용대시보드생성 Page 23

실행가능한로깅 vsphere 6.7 에서는이제실행가능한로그정보가제공됩니다. 로그를통해시스템관리자계정이 PCI vswitch 에서비 PCI vswitch 로가상머신을옮겼다는것을알수있습니다. 안전한네트워크에서안전하지않은네트워크로이동한것으로보입니다. 여기서중요한점은이것이보안이벤트라는것입니다. vrealize Log Insight 는이를분석하여알림을생성할수있습니다. 이것이중요한이유는이제가상머신이보안규정에위배되는즉시 IT 시스템관리자에게알림을제공할수있기때문입니다. 참고 : 이는일반적인예이며기존실습환경과관련되지않습니다. Page 24

vcenter Server 6.7 의사용자인터페이스알아보기 이과정에서는보안관련기능과관련된 vcenter Server 의사용자인터페이스에대해간략히알아봅니다. vsphere 6.7 에서는향상된감사품질로깅을제공합니다. 6.7 버전이전에는로그가 IT 운영이나보안사용사례보다는 " 문제해결 " 에보다집중적으로사용되었습니다. 예를들어, 가상머신이한네트워크에서다른네트워크로재구성된경우로그에기록되는내용은 "Virtual Machine <name> reconfigured" 가다였습니다. 정확하지만이것만으로는충분하지않습니다. Syslog 를통해제공되는 vcenter 로그에 vcenter 이벤트의데이터가추가됩니다. 이러한로그에는 " 이전 " 및 " 이후 " 의설정변경사항이명시됩니다. 이를통해 vsphere 환경의변경사항을정확하게알수있어 IT 및보안시스템관리자의문제해결능력이향상됩니다. 아래이미지는 "PCIvSwitch" 네트워크, 즉 PCI(Payment Card Industry) 용네트워크트래픽보안을제공하는것으로추정되는네트워크에서 "Non-PCI-vSwitch" 네트워크로가상머신이이동했다는것을보여줍니다. VC 오버헤드최소화 (CPU/RAM/DISK 사용량의 1% 미만 ) 배포간소화 (VC 머신의에이전트필요없음 ) 향상된수준의인텔리전스제공 (LogInsight, 타사 ) 현재 vsphere 6.7 이하버전에서가상머신을변경하면 Mike Foley reconfigured this VM (Mike Foley 가이가상머신변경 ) 과같은수준의메시지만표시됩니다. 이러한정보는실행가능하지않다는문제가있습니다. 보안과관련되어있는지, 안전한네트워크에서안전하지않은네트워크로옮겼는지알수없습니다. 이경우에 Log Insight 가도움이될까요? 아니요, vrealize Log Insight 및다른 syslog 수집기는수신되는정보에대해서만조치를취할수있습니다. PCI 에해당하는가상머신을 PCI 네트워크에서비 PCI 네트워크로옮기는것은중대한보안문제를야기할수있습니다. vsphere 6.7 의향상된로깅기능은 SYSLOG 를통해바로로깅솔루션으로이를알리고, 다시분석을거쳐이러한심각한상황에대한알림을생성합니다. vsphere 6.7 에서는가상머신외모든 vsphere 변경사항에대해더욱향상된로깅을제공합니다. vcenter 역할과사용권한의변경, 가상머신다운로드와같은데이터스토어탐색기능, vcenter 클러스터및호스트의생성및수정과같은작업이모두향상된로깅에포함됩니다. 5.x 및 6.0 로깅을사용한경우이러한변경사항으로인해 "info" 이상으로로깅레벨을높일필요가없으며, vcenter 또는 vcenter 데이터베이스에로드가크게증가하지도않습니다. 기존 vcenter 이벤트의일부로이미정보가기록되고있기때문입니다. 단지향상된로깅은 Syslog 스트림을통해이정보를노출하는것입니다. 문제해결및지원로그에는영향이없으며필요에따라지원팀에서계속사용합니다. Page 25

Google Chrome 열기 Google Chrome이열려있지않을경우다음중한가지방법으로엽니다. 1. 빠른실행작업표시줄에있는 Google Chrome 아이콘을클릭합니다. 참고 : Google Chrome이이미열려있을경우다음단계로넘어갑니다. RegionA vcenter Server( 플래시 ) 이과정에서는플래시기반의이전 vsphere Web Client 를사용하여이특정클라이언트의시스템로그를확인합니다. 1. 북마크도구모음에있는 RegionA vsphere Client (Flash) 북마크를클릭합니다. RegionA vcenter Server (Flash) 에로그인 1. Username( 사용자이름 ) 텍스트필드에 administrator@corp.local 을입력합니다. 2. Password( 암호 ) 텍스트필드에 VMware1! 를입력합니다. 3. 그런다음 Login( 로그인 ) 버튼을클릭합니다. Page 26

홈 1. 컨텐츠창상단의 Home( 홈 ) 아이콘위로마우스를가져갑니다. 2. 드롭다운메뉴에서 Home( 홈 ) 을클릭합니다. Page 27

창최소화 vcenter Web Client 의창공간을늘리기위해여러창을최소합니다. 1. Work In Progress( 진행중인작업 ) 창옆에있는압정아이콘을클릭합니다. 2. Alarms( 경보 ) 창옆에있는압정아이콘을클릭합니다. 3. Recent Objects( 최근객체 ) 창옆에있는압정아이콘을클릭합니다. 4. Recent Tasks( 최근작업 ) 창옆에있는압정아이콘을클릭합니다. Page 28

기본홈뷰 Home( 홈 ) 뷰에서는왼쪽탐색창에호스트및클러스터, 가상머신및템플릿, 스토리지, 네트워킹, 정책및프로필등을포함하여다양한객체그룹유형의목록이표시됩니다. 오른쪽에는여러섹션으로나뉘어져있는컨텐츠창이있습니다. 1. Inventories( 인벤토리 ) 섹션은호스트및클러스터, 가상머신및템플릿, 스토리지, 네트워킹등에서주로사용되는섹션입니다. 2. 운영및정책섹션도있습니다. 작업, 이벤트, 가상머신스토리지정책등이표시됩니다. 3. Administration( 관리 ) 섹션에는역할, 시스템구성, 라이센싱등이표시됩니다. 4. 마지막으로 vrealize Orchestrator, Hybrid Cloud Manager, 등의플러그인을위한 Plug-ins for Installation( 설치용플러그인 ) 섹션이있습니다. 참고 : Plug-ins for Installation( 설치용플러그인 ) 섹션을보려면아래로스크롤해야할수있습니다. Page 29

글로벌인벤토리목록 1. 컨텐츠창의 Inventories( 인벤토리 ) 섹션아래에서 Global Inventory Lists( 글로벌인벤토리목록 ) 를클릭합니다. vcenter 홈뷰 이제 vcenter Server 의모든객체유형목록이제공되는 vcenter 홈뷰가표시됩니다. 1. 왼쪽탐색창에서 vcenter Servers 객체를클릭합니다. Page 30

vcenter Server 시스템로그 vcenter Server 의시스템로그를보려면 vcenter Server 가여러대있으므로먼저로그를보려는 vcenter Server 를선택해야합니다. 그럼다음추가로몇가지선택을해야로그파일을볼수있습니다. 1. 왼쪽탐색창에서 vcsa-01a.corp.local vcenter Server 를클릭합니다. 2. 컨텐츠창에서 Monitor( 모니터 ) 탭을클릭합니다. 3. System Logs( 시스템로그 ) 탭을클릭합니다. vcenter Server Log [vpxd-***.log] 의기본로그가표시되지만드롭다운을통해다른 vcenter 로그파일을선택할수있습니다. 참고 : 실습환경에표시되는로그파일은화면캡처와다를수있습니다. Page 31

다른로그파일선택 이시점에서다른 vcenter Server 로그, 즉 vpxd.log 를보려고합니다. 1. vcenter Server logs 드롭다운메뉴를클릭한후 vcenter Server log [vpxd.log] 를선택합니다. 2. 이로그파일이표시되거나 vcenter Server 의이전버전보다좀더긴이름으로표시될수있습니다. 시스템로그익스포트 Page 32

많은시스템관리자, 특히 VMware 의 vrealize Log Insight 솔루션과같은로그분석솔루션이없는시스템관리자에게는로그를익스포트할수있는기능이매우중요합니다. 다음과같이필요한로그를간편하게익스포트할수있습니다. 1. Export System Logs( 시스템로그익스포트 ) 버튼을클릭합니다. 참고 : 실습환경에표시되는로그파일은화면캡처와다를수있습니다. 시스템로그익스포트 - 호스트선택 이제 vsphere 호스트를선택하여해당로그를익스포트할수있습니다. 이실습에서는호스트 1 대의시스템로그와 vcenter Server 및 vsphere Web Client 로그를익스포트합니다. 1. esx-01a.corp.local 옆의확인란을클릭하여이호스트를선택합니다. 2. Include vcenter Server and vsphere Web Client logs(vcenter Server 및 vsphere Web Client 로그포함 ) 옆의확인란을클릭하여익스포트에이로그파일을포함합니다. ( 이옵션을선택하면파일의크기가크게증가함 ) 3. Next( 다음 ) 버튼을클릭합니다. 참고 : 실습환경의호스트이름이화면캡처와다를경우올바른 vcenter Server 에로그인했는지확인하십시오. Page 33

로그선택 이제익스포트할로그파일을선택하는방법을알아보겠습니다. 로그파일의몇가지예로시스템, 성능스냅샷, 설치프로그램, 가상머신등이있습니다. 또한정해진기간동안성능데이터를수집하고코어덤프파일을암호화하기위한암호를설정할수있습니다. 1. 필요할경우페이지아래로스크롤하면 Network( 네트워크 ) 확인란이표시됩니다. 2. Network( 네트워크 ) 확인란의선택을해제합니다. 3. Gather performance data( 성능데이터수집 ) 를클릭하고기본설정을유지합니다. 4. 시간및디스크공간문제로인해실제로로그를익스포트하지는않을것이므로 Cancel( 취소 ) 버튼을클릭합니다. 참고 : 로그파일수집에소요되는시간과공간상의문제로인해 Finish( 마침 ) 를클릭하지않습니다. 이실습은로그파일을익스포트하는방법과캡처하기위해선택할수있는옵션을보여주기위한것입니다. Page 34

줄번호표시 로그파일을볼때로깅되는각이벤트의시작과끝을쉽게구분할수있도록로그에줄번호를추가하는옵션이제공됩니다. 1. Show line numbers( 줄번호표시 ) 확인란을클릭합니다. 2. 이제줄번호가표시되어다음로그파일이시작되는위치를쉽게확인할수있습니다. 3. 또한원할경우 Show Next 2000 Lines( 다음 2,000 줄표시 ) 및 Show All Lines( 모든줄표시 ) 도가능합니다. 각확인란을클릭하여그결과를확인할수있습니다. 참고 : 실습환경에표시되는로그파일은화면캡처와다를수있습니다. vsphere Web Client 이것으로 " 플래시기반 " vsphere Web Client 사용이끝났습니다. 하지만다음과정의 1 단계에서도사용하므로종료하지않고그대로두겠습니다. vcenter Server 6.7 의사용자인터페이스알아보기 - 완료 로그파일, 이벤트등보안측면의업데이트를표시하는것과관련하여 vcenter Server 사용자인터페이스에대해알아보는과정을완료했습니다. 또한이를위해로그파일을익스포트하기위한프로세스에대해서도살펴보았습니다. Page 35

vcenter Server 6.7 로그개요 vsphere 6.5 버전부터향상된감사품질로깅이도입되었습니다. vsphere 6.5 이전에는로그가 IT 운영이나보안사용사례보다는 " 문제해결 " 에보다집중적으로사용되었습니다. 예를들어, 가상머신이한네트워크에서다른네트워크로재구성된경우로그에기록되는내용은 "Virtual Machine <name> reconfigured" 가다였습니다. 정확하지만이것만으로는충분하지않습니다. vsphere 6.7 에서는로깅기능을계속개선하여일상적인작업을훨씬더쉽고편리하게수행할수있도록했습니다. vsphere Client(HTML) 실행 이제이전의플래시기반웹클라이언트를더이상사용하지않고 HTML5 기반웹클라이언트를실행할것입니다. HTML5 웹클라이언트에대한이링크는 Sphere 6.7 의플래시기반웹클라이언트에새로추가된기능입니다. 이를통해더빨리서로다른버전의클라이언트간전환할수있습니다. 1. 웹클라이언트오른쪽상단의 Launch vsphere Client (HTML5)(vSphere Client(HTML5) 실행 ) 를클릭합니다. vsphere Client(HTML) 실행 이제다음단계를수행하여플래시기반브라우저를닫을수있습니다. 1. 플래시기반웹클라이언트의탭에서 "X" 를클릭합니다. Page 36

RegionA vcenter Server 에로그인 (HTML5) 필요할경우 HTML5 웹인터페이스에로그인합니다. 하지만플래시기반 vsphere Web Client 에로그인된상태에서링크를클릭했으므로자동으로로그인되어있어야합니다. 1. 사용자이름필드에 administrator@corp.local 을입력합니다. 2. Password( 암호 ) 필드에 VMware1! 를입력합니다. 3. Login( 로그인 ) 버튼을클릭합니다. 최근작업창최소화 이제최근작업창을최소화하여 vcenter Web Client 의작업공간을늘리겠습니다. 1. 웹클라이언트오른쪽하단의이중아래쪽화살표를클릭하여 Recent Taks( 최근작업 ) 창을최소화합니다. Page 37

기본 vcenter Server 뷰 이제이전버전보다훨씬빠르고우수한사용자환경을제공하는 HTML5 기반의최신웹클라이언트에서작업을시작합니다. 1. 컨텐츠창상단의 Menu( 메뉴 ) 드롭다운메뉴를클릭합니다. 2. Home( 홈 ) 드롭다운메뉴에서 Global Inventory Lists( 글로벌인벤토리목록 ) 를선택합니다. Page 38

vcenter 홈뷰 이제 vcenter 홈뷰와여러다양한객체가표시됩니다. vcenter Server 목록으로이동하겠습니다. 1. 왼쪽탐색창에서 vcenter Servers 객체를클릭합니다. vcenter Server 시스템문제 시스템관리자에게문제해결은시간이많이걸리는번거로운작업일수있습니다. 그러나 VMware 는관련정보를제공하여시스템관리자가신속하게문제를찾아해결할수있도록지원합니다. 이를 Page 39

위한첫번째방법으로문제탭을제공하여지속적으로문제를알려줍니다. 문제를확인하는방법은다음과같습니다. 1. 왼쪽탐색창에서 vcsa-01a.corp.local 을클릭합니다. 2. 컨텐츠창에서 Monitor( 모니터 ) 탭을클릭합니다. 3. 컨텐츠창에서 All Issues( 모든문제 ) 선택항목을클릭합니다. All Issues( 모든문제 ) 탭을클릭하면 All Issues( 모든문제 ) 선택항목이열립니다. 이는실습환경이므로화면캡처에는현재보고되는문제가없는것으로표시됩니다. 현재작업중인실습환경에서는문제가표시되거나표시되지않을수도있습니다. 그러나실제운영환경에서는몇가지문제가표시될가능성이높습니다. 참고 : 실습환경에표시되는문제목록은화면캡처와다를수있습니다. vcenter Server 작업 Tasks & Events( 작업및이벤트 ) 탭에는 VMFS 볼륨및 HBA 의재검색과같은작업이표시됩니다. Events( 이벤트 ) 섹션에는사용자가로그인 / 로그아웃했거나변경사항을적용하는등의이벤트가표시됩니다. Scheduled Tasks( 스케줄링된작업 ) 는사용자가생성한모든스케줄링된작업이표시됩니다. 다시말하지만실습환경이므로현재스케줄링된작업이구성되어있지않습니다. 1. Tasks & Events( 작업및이벤트 ) 아래에있는 Tasks( 작업 ) 를클릭합니다. 참고 : 더많은정보를보려면스크롤막대를사용하거나화면을조정해야할수있습니다. 또한실습환경에표시되는작업목록은화면캡처와다를수있습니다. Page 40

vcenter Server 이벤트 Tasks & Events( 작업및이벤트 ) 탭에는 VMFS 볼륨및 HBA 의재검색과같은작업이표시됩니다. Events( 이벤트 ) 섹션에는사용자가로그인 / 로그아웃했거나변경사항을적용하는등의이벤트가표시됩니다. Scheduled Tasks( 스케줄링된작업 ) 는사용자가생성한모든스케줄링된작업이표시됩니다. 다시말하지만실습환경이므로현재스케줄링된작업이구성되어있지않습니다. 1. Tasks & Events( 작업및이벤트 ) 아래에있는 Events( 이벤트 ) 를클릭합니다. 참고 : 더많은정보를보려면스크롤막대를사용하거나화면을조정해야할수있습니다. 또한실습환경에표시되는작업목록은화면캡처와다를수있습니다. Page 41

vcenter Server 세션 때로는시스템관리자가 vcenter Server 에연결된대상및사용자를확인하고이러한열린세션을보기를원할수있습니다. 이러한열린세션을보는방법은다음과같습니다. 1. Sessions( 세션 ) 를클릭하고세션정보를검토합니다. 참고 : 더많은정보를보려면스크롤막대를사용하거나화면을조정해야할수있습니다. 또한실습환경에표시되는작업목록은화면캡처와다를수있습니다. vcenter Server 상태 Page 42

Tasks & Events( 작업및이벤트 ) 탭에는 VMFS 볼륨및 HBA 의재검색과같은작업이표시됩니다. Events( 이벤트 ) 섹션에는사용자가로그인 / 로그아웃했거나변경사항을적용하는등의이벤트가표시됩니다. Scheduled Tasks( 스케줄링된작업 ) 는사용자가생성한모든스케줄링된작업이표시됩니다. 다시말하지만실습환경이므로현재스케줄링된작업이구성되어있지않습니다. 1. Health( 상태 ) 를클릭합니다. 참고 : 더많은정보를보려면스크롤막대를사용하거나화면을조정해야할수있습니다. 또한실습환경에표시되는작업목록은화면캡처와다를수있습니다. vsphere Web Client 다음과정에서사용할것이므로 HTML5 기반 vsphere Web Client 를계속열어두시기바랍니다. vcenter Server 사용자인터페이스개요 - 완료 모듈 2 의 vcenter Server 6.7 로그개요섹션을완료했습니다. 이 vcenter Server 사용자인터페이스개요에서는로그파일, 이벤트, 작업등보안과관련된기능을살펴보았습니다. 보안관점에서볼때시스템로그가가장중요하게평가되지만다른영역을살펴보는것또한매우중요할수있습니다. Page 43

vcenter 용 Log Insight 이상의향상된 Log Insight 기능에대한소개정보 이실습에서는 vcenter 이벤트및 SysLog 메시지를사용하여 vcenter Server 인벤토리의향상된감사기능을살펴봅니다. 이실습에서는 vcenter 및 ESXi 서버의향상된이벤트로깅기능도살펴봅니다. vcenter 데이터베이스의정형데이터를기반으로하는이벤트로새로운 syslog 스트림을경험하게됩니다. 그런다음 vrealize Log Insight 로그집계툴을사용하여로깅기능을살펴볼것입니다. 메뉴 이제다음을수행하여 Hosts and Clusters( 호스트및클러스터 ) 뷰로이동하겠습니다. 1. 페이지상단의 Menu( 메뉴 ) 버튼을클릭합니다. 2. 그런다음드롭다운메뉴에서 Hosts and Clusters( 호스트및클러스터 ) 를클릭합니다. Page 44

가상머신및템플릿 이제 core-01a 템플릿을사용하여이실습에서여러용도로사용할새가상머신을생성합니다. 1. core-01a 가상머신이표시될때까지 vcsa-01a.corp.local vcenter Server 아래모든항목을엽니다. Page 45

core-01a - 설정편집 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 그런다음 Edit Settings( 설정편집 ) 를클릭합니다. Page 46

core-01a - 메모리편집 이제 core-01a 가상머신에대해몇가지변경을수행하여로깅을트리거한후이를확인해보겠습니다. 첫번째변경사항은할당된메모리입니다. 1. 할당된메모리를 256 에서 128 로변경합니다. 2. 그런다음 OK( 확인 ) 버튼을클릭하여변경을완료합니다. Page 47

core-01a 가상머신 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 그런다음 Edit Settings( 설정편집 ) 를클릭합니다. Page 48

core-01a - 설정편집 ( 어댑터 ) 이제 core-01a 가상머신의네트워크어댑터 1 을분리하겠습니다. 1. 네트워크어댑터 1 에대한확인란의선택을해제하여가상머신의어댑터를분리합니다. 2. 그런다음 OK( 확인 ) 버튼을클릭하여변경을완료합니다. Page 49

core-01a - 설정되돌리기 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 그런다음 Edit Settings( 설정편집 ) 를클릭합니다. Page 50

core-01a - 설정편집 ( 메모리및어댑터 ) 이제 core-01a 가상머신의원래구성으로모든설정을되돌리겠습니다. 1. 할당된메모리를 128 에서 256 으로변경합니다. 2. 네트워크어댑터 1 에대한확인란을선택하여가상머신의어댑터를다시연결합니다. 3. 그런다음 OK( 확인 ) 버튼을클릭하여변경을완료합니다. Page 51

core-01a - 생성된이벤트확인 1. core-01a 가상머신을클릭합니다. 2. 그런다음컨텐츠창에서 Monitor( 모니터 ) 탭을클릭합니다. 3. 이제컨텐츠창의 Tasks & Events( 작업및이벤트 ) 아래에서 Tasks( 작업 ) 를선택합니다. 4. 첫몇개의작업항목을보면 core-01a 가상머신에가상머신재구성작업이수행되었음을알수있습니다. 각항목을클릭하여변경된사항과관련된로그설명을확인해보십시오. 참고 : 일부항목은확장하거나막대를위로이동해야컨텐츠창하단에표시되는내용을모두볼수있습니다. Chrome 에서새탭열기 이제 vrealize Log Insight 서버에로그인하여 core-01a 가상머신을재구성할때생성된로그를찾아보겠습니다. 1. Google Chrome 에서 New Tab( 새탭 ) 버튼을클릭하여새탭을엽니다. Page 52

vrealize Log Insight 이제 vrealize Log Insight 서버에로그인하여 core-01a 가상머신을재구성할때생성된로그를찾아보겠습니다. 1. 새로연새탭을클릭합니다. 2. 이제북마크도구모음에서 vrealize Log Insight 북마크를클릭합니다. vrealize Log Insight 로그인 1. User name( 사용자이름 ) 텍스트필드에 admin 을입력합니다. 2. Password( 암호 ) 필드에 VMware1! 를입력합니다. 3. LOGIN( 로그인 ) 버튼을클릭합니다. Page 53

대화형분석탭 1. 페이지상단의 Interactive Analytics( 대화형분석 ) 탭을클릭합니다. 이벤트변경로그찾기 core-01a 가상머신을변경할때생성된변경로그를찾아보겠습니다. 그러려면 vrealize Log Insight 인터페이스에서검색기능을사용하여찾아야합니다. 1. 검색필드에 core-01a 를입력합니다. 입력을시작하면 vrealize Log Insight 에서이미기록된모든로그중에서선택하여자동으로값을채웁니다. 2. Time( 시간 ) 드롭다운메뉴를클릭하고 Latest hour of data( 최근 1 시간의데이터 ) 를선택합니다. 필요할경우더긴시간단위를선택하여관련된 core-01a 가상머신로그를찾을수있습니다. 3. 확대경 ( 검색 ) 아이콘을클릭하여검색을수행합니다. Page 54

결론 4. 이제 core-01a 가상머신이포함된모든로그가표시될것입니다. core-01a 가상머신의메모리변경은물론네트워크어댑터설정 / 해제에대한로그항목이표시되어야합니다. 이과정에서는 vcenter Server 로그파일의향상된기능과이전버전보다더자세한정보를제공하여시스템관리자가훨씬더쉽게문제를해결할수있다는것을알아보았습니다. 로그파일과함께 vcenter Server 문제, 작업및이벤트, 세션에대해서도살펴보았습니다. 이러한기능은 vsphere 환경의문제를해결할때에도매우유용하게사용됩니다. 마지막으로환경에서로그를확인, 검색및상호연관시킬수있는더욱빠르고간단한방법을제공하는 vrealize Log Insight 의기능에대해간략히살펴보았습니다. Page 55

보안감사작업수행 vrealize Log Insight 에서데이터분석을시작하기전에조직내부에서발생할수있는이벤트를모방하기위해몇가지보안감사작업을수행해야합니다. vcenter Server 인터페이스에서가상머신을다시시작하고 ESXi 호스트에루트사용자및승인되지않은사용자의로그인을시도합니다. 이기능을시연하기위해 ESXi 를사용하지만스토리지및네트워크디바이스외 Windows 또는 Linux 운영체제도가능합니다. vrealize Log Insight 는모든기기의로그를사용할수있으므로가상및물리적디바이스의로그도포함할수있습니다. vsphere Web Client 탭으로전환 이제 Google Chrome 브라우저의 vsphere Web Client 탭으로다시전환합니다. 1. vsphere Web Client 탭을클릭하여 vsphere Web Client 로전환합니다. 호스트및클러스터뷰 이제 vsphere Web Client 에 Hosts and Clusters( 호스트및클러스터 ) 뷰가표시되어야합니다. 그렇지않다면아래단계를수행합니다. 1. 탐색창에서 Hosts and Clusters( 호스트및클러스터 ) 아이콘을클릭합니다. Page 56

core-01a 시작 이제 core-01a 가상머신을시작합니다. 1. 탐색창에서 core-01a 가상머신을클릭합니다. 2. 브라우저창상단의 ACTIONS( 작업 ) 드롭다운메뉴를클릭합니다. 3. 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 4. Power On( 전원켜기 ) 을클릭합니다. core-01a 가시작되었는지확인 이제다음작업을수행하여 core-01a 가상머신이실행중인지확인해보겠습니다. Page 57

1. core-01a 가상머신이선택된상태에서 Content Pane( 컨텐츠창 ) 의 Summary( 요약 ) 탭을클릭합니다. 2. 이창에서가상머신이실행중인지확인하기위해검정색창의왼쪽하단에 Powered On( 전원켜짐 ) 이표시되는지확인합니다. 참고 : 가상머신이실행되는데 1 분정도소요될수있으며화면캡처와같이가상머신상태가표시되려면 vsphere Web Client 를새로고쳐야할수있습니다. core-01a 다시시작 이제 core-01a 가상머신을다시시작하여재부팅작업에대한로그파일이생성되도록해야합니다. 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 3. Power( 전원 ) 드롭다운메뉴에서 Restart Guest OS( 게스트 OS 재시작 ) 를클릭합니다. core-01a 가다시시작되었는지확인 Page 58

1. YES( 예 ) 버튼을클릭하여게스트를다시시작합니다. Google Chrome 최소화 이제 vsphere Web Client 에서수행할작업을완료했습니다. 이제원할경우 Google Chrome 브라우저를최소화한후다음과정에서다시사용할수있습니다. 1. 브라우저창의오른쪽상단에서 Minimize( 최소화 ) 아이콘을클릭하여최소화합니다. Putty 열기 이제 Putty 애플리케이션을통해 core-01a 가실행되고있는호스트에연결합니다. Putty 는 SSH 프로토콜을사용하여호스트에연결하는데사용하는명령줄애플리케이션입니다. 이작업을수행하는목적은검색할새사용자로그인로그를만들기위해서입니다. 1. Windows 작업표시줄에있는 Putty 아이콘을클릭하여 Putty 애플리케이션을실행합니다. Page 59

esx-02a.corp.local 에로그인 이미올바른암호가저장되어있는저장된세션을사용하여루트사용자로 esx-02a.corp.local 에로그인합니다. 1. Saved Sessions( 저장된세션 ) 아래 sx-02a.corp.local 이표시될때까지아래로스크롤합니다. 2. Saved Sessions( 저장된세션 ) 필드에서 esx-02a.corp.local 을두번클릭합니다. Page 60

루트인증 1. 이제루트사용자로 esx-02a.corp.local 에자동로그인되었으며퍼블릭키를사용하여인증되었습니다. 새 Putty 세션 이 Putty 세션을종료하고새 Putty 세션을열어야합니다. 이번에는사전구성된세션으로로그인하지않습니다. 1. Putty 창왼쪽상단의이중모니터아이콘을클릭합니다. 2. New Session...( 새세션 ) 을선택합니다. Page 61

esx-01b.corp.local 에수동으로다시연결 이번에는사전구성된사용자이름과암호를사용하지않고수동으로호스트이름을입력합니다. 의도적으로잘못된로그인정보를사용하여로그인하겠습니다. 1. 호스트이름 ( 또는 IP 주소 ) 텍스트필드에수동으로 esx-02a.corp.local 을입력합니다. 2. 이제 Open( 열기 ) 버튼을클릭합니다. 액세스거부 - admin 이제의도적으로잘못된암호를사용하여 admin 사용자계정에로그인을시도합니다. 1. login as:( 다음사용자로로그인 :) 옆에아래와같이입력하고 Enter 키를누릅니다. Page 62

admin 2. Password:( 암호 :) 옆에아래와같이입력하고 Enter 키를누릅니다. admin 3. 각 Putty 창의오른쪽상단에있는빨간색 X 를클릭하여 Putty 세션을모두종료합니다. 참고 : 2 단계에서나와야하는반응은액세스거부입니다. Putty 종료확인 마지막 Putty 창의빨간색 X 를클릭하면 Putty 종료확인창이표시됩니다. 1. OK( 확인 ) 버튼을클릭하여마지막 Putty 창의종료를확인합니다. 보안감사작업수행 - 완료 이것으로모듈 2 의보안감사작업수행을완료했습니다. 가상머신을재부팅하거나올바른암호와잘못된암호를사용하여 Putty 를통해호스트에연결하는작업을포함하여감사로그를생성하는여러가지작업을수행했습니다. 이제다음섹션의 vrealize Log Insight 솔루션에서이러한로그를확인할수있습니다. Page 63

감사쿼리및대시보드생성 VMware vrealize Log Insight 는직관적이고실행가능한대시보드, 정교한분석및광범위한타사확장성과함께확장성이매우우수한이기종로그관리를제공하므로운영에대한심층적가시성을확보하고신속하게문제를해결할수있습니다. 지능적이고확장가능 vrealize Operations 및다른여러벤더와의통합으로물리적환경, 가상환경및클라우드환경전반에걸쳐인프라와애플리케이션에사전예방적관리기능을제공합니다. 우수한확장성 동적인이기종인프라에서생성된대용량의로그데이터를거의실시간으로분석하고, 복잡한 IT 문제를해결하기위해정교한분석기법을적용합니다. 직관적이고저렴함 데이터에제한을두지않는가격구조를갖춘강력하고맞춤설정가능한내장형대시보드를통해이해하기쉬운문제분석과유용하고실행가능한결과를제공합니다. 참고 : 실습설명서의 VMware 참고자료에대한링크는참조용으로만제공됩니다. 실습환경은인터넷연결이제공되지않을수있으므로이러한참고자료를보지못할수있습니다. 제공되는링크에연결할수없는경우링크를수동으로기록하거나모바일기기를사용하여사진을찍으십시오. Google Chrome 복원 이전세션에서사용한 vrealize Log Insight 탭이열려있습니다. 1. 작업표시줄에서최소화되어있는 Google Chrome 브라우저를클릭하여다시엽니다. 참고 : 이전세션의 vrealize Log Insight 가 Chrome 에열려있지않은경우새탭을열고 vrealize Log Insight 북마크를클릭한후다시로그인합니다. Page 64

vrealize Log Insight 열기 이전세션에서사용한 vrealize Log Insight 탭이열려있습니다. 1. vrealize Log Insight 탭을클릭하여전환합니다. vrealize Log Insight 재인증 ( 필요할경우 ) vrealize Log Insight 세션이만료되어다시인증해야한다는팝업창이표시될수있습니다. 이경우아래단계를수행하고그렇지않으면다음단계로건너뜁니다. 1. Password ( 암호 ) 필드에 VMware1! 를입력합니다. 2. LOGIN( 로그인 ) 버튼을클릭합니다. 대시보드 Page 65

대시보드탭이열려있지않은경우아래단계를수행합니다. 1. 사용자인터페이스상단의 Dashboards( 대시보드 ) 탭을클릭합니다. 대시보드기본개요 왼쪽탐색창에여러대시보드유형이있습니다. 이목록은 vrealize Log Insight 에설치된 VMware 및타사관리팩에따라크게달라질수있습니다. 1. 맞춤형대시보드 - 내대시보드및공유대시보드가포함됩니다. 2. 컨텐츠팩대시보드 - 컨텐츠팩을통해설치된대시보드의목록입니다. Page 66

참고 : vrealize Log Insight 에제공되는 VMware Marketplace 에대한링크를통해유료또는무료의다양한 VMware 및타사관리팩을찾아볼수있습니다. 또한 vrealize Operations Manager 와같은 VMware 의다른관리솔루션을위한관리팩도있습니다. vrealize Log Insight 용관리팩이포함된 VMware Marketplace 의주소는 https://marketplace.vmware.com/ vsx/?product=2054,2055,2052,3509,2056,2058,2061,2059,2057,3397,2060 입니다. 대시보드 - 컨텐츠창 이제탐색창오른쪽에표시되는기본컨텐츠창을살펴보겠습니다. 컨텐츠창상단에는몇가지필터링옵션이있고그아래에는여러위젯이있습니다. 1. 시간범위. 여기에서선택한대시보드에대해 5 분 ~ 48 시간또는맞춤시간범위의데이터시간범위를설정할수있습니다. 2. 필터. 선택한대시보드에서사용할수있는필터가여기에정의되어관련정보에한해쿼리를실행할수있습니다. 3. 위젯. 주패널에는선택된대시보드에대한위젯이포함됩니다. 위젯은그래프, 차트, 그림등을사용하여이전영역에서선택된데이터를표시합니다. 참고 : 대시보드의모든위젯을보려면스크롤막대를사용해야할수있습니다. 실습환경의각대시보드에표시되는데이터는화면캡처와약간다를수있습니다. Page 67

위젯정보 1. 각위젯의오른쪽상단에는몇가지옵션메뉴가표시될수있습니다. 3 가지옵션은다음과같습니다. 대화형분석으로열기 이위젯에대한정보표시 기타작업 대화형분석 대화형분석을사용하면시스템관리자와엔지니어가자세한로그메시지를확인하여문제영역을판별하고문제해결을위한근본원인분석을수행할수있습니다. 1. Interactive Analytics( 대화형분석 ) 탭을클릭합니다. 쿼리작성 Page 68

1. 쿼리텍스트필드에 reboot( 재부팅 ) 를입력합니다. 2. 드롭다운메뉴를클릭하고 Last hour of data( 최근 1 시간의데이터 ) 를선택합니다. 3. +ADD FILTER( 필터추가 ) 링크를클릭하여추가검색조건을추가합니다. 쿼리작성 이전과정에서는 core-01a 가상머신의전원을켠다음재부팅했습니다. 이제가상머신의재부팅에대한로그를검색해보겠습니다. 수행한재부팅을검색하는방법은다음과같습니다. 1. 드롭다운에서현재선택된 does not contain( 포함하지않음 ) 을 contains( 포함 ) 로변경합니다. 2. 변경한드롭다운오른쪽의텍스트필드에 core-01a 를입력합니다. 3. 확대경버튼을클릭하여입력한조건에대해검색을수행합니다. 4. 이제이전에수행한 core-01a 가상머신의재부팅작업에대한로그가표시됩니다. 참고 : 입력을시작하면 vrealize Log Insight 는색인된로그파일을기반으로쿼리와구문을제안합니다. 쿼리기반대시보드생성 vrealize Log Insight 는수행한쿼리에서대시보드를생성할수있는매우유용한기능을제공합니다. 시스템관리자가매일실행하는쿼리가있을경우특정쿼리로대시보드를만들수있습니다. 그러면사용자가매번쿼리를실행할필요없이대시보드만검토하면됩니다. 재부팅을위해방금실행한쿼리로자체대시보드를만들려면다음작업을수행합니다. 1. "Add current query to dashboard"( 현재쿼리를대시보드에추가 ) 버튼을클릭하여완료한쿼리를저장합니다. Page 69

대시보드생성 1. Name( 이름 ) 텍스트필드에 Reboot Dashboard( 재부팅대시보드 ) 를입력합니다. 대시보드저장 1. Name( 이름 ) 텍스트필드에 My Dashboard 를입력합니다. 2. SAVE( 저장 ) 버튼을클릭합니다. Page 70

대시보드저장 1. ADD( 추가 ) 버튼을클릭합니다. 참고 : Dashboard( 대시보드 ) 및 Widget( 위젯 ) 드롭다운메뉴옵션에서제공하는서로다른옵션을확인해보십시오. 대시보드탭 이제대시보드탭에서방금만든 Reboot Dashboard( 재부팅대시보드 ) 를살펴보겠습니다. 1. 화면상단의 Dashboards( 대시보드 ) 탭을클릭합니다. Page 71

내대시보드 vrealize Log Insight 사용자는필요에따라다양한항목에대해맞춤형대시보드와쿼리를만들수있습니다. 몇가지일반적인시나리오를지원하는즉시사용가능한컨텐츠팩이제공되지만그외다른대시보드도필요할수있습니다. 1. My Dashboards( 내대시보드 ) 를확장하여 My Dashboard( 내대시보드 ) 가표시되면이를클릭합니다. 2. Time( 시간 ) 드롭다운메뉴를선택하고 Latest hour of data( 최근 1 시간의데이터 ) 를선택합니다. 3. 앞서실습에서수행한재부팅이표시됩니다. 참고 : core-01a 가상머신을재부팅한후 1 시간이상경과한경우더긴기간으로시간드롭다운을조정해야합니다. 참고 : 실습환경의재부팅대시보드위젯에표시되는내용은화면캡처와약간다를수있습니다. 중요한것은앞서실습에서수행한재부팅이벤트가표시되는것입니다. 감사쿼리및대시보드생성 - 완료 감사쿼리및대시보드생성방법에대한이과정에서는시스템관리자계정에서완료한재부팅작업을검색하기위한쿼리를실행했습니다. 그런다음재부팅작업에대한로그를확인했습니다. 또한해당쿼리를대시보드로저장하고이를 My Dashboards( 내대시보드 ) 대시보드에저장했습니다. 그리고 My Dashboards( 내대시보드 ) 에서새로생성된 My Dashboards( 내대시보드 ) 에대한위젯도살펴보았습니다. vrealize Log Insight 는 Google Search Engine 과유사한방식으로 vrealize Log Insight 내에서비정형로그를검색할수있는로그검색기능을제공합니다. Page 72

SOC( 보안운영센터 ) 컨텐츠팩 이과정에서는 VMware 자체 vrealize Log Insight 컨텐츠팩및 vrealize Log Insight 에사용하도록 VMware 에서인증한컨텐츠팩에대해살펴보겠습니다. 이러한컨텐츠팩은모두가상시스템관리자에게일상운영에도움이되는보안관련정보를제공하는데사용됩니다. 이는 VMware Solutions Exchange(https://marketplace.vmware.com) 에서제공되는여러가지 vrealize Log Insight 용컨텐츠팩중하나입니다. SOC( 보안운영센터 ) 컨텐츠팩은다음과같은수많은보안이벤트와관련하여이벤트알림을제공합니다. 활동 로그인 / 로그아웃및 API 호출 방화벽이벤트 ESXi 구성변경 가상머신구성변경 VMRC/MKS 이벤트 데이터스토어브라우저이벤트 사용권한변경 이벤트를발생시켜관련대시보드에서확인할수있도록호스트및가상머신의일부구성을변경해보겠습니다. SOC 컨텐츠팩의위젯이 vsphere 6.7 용으로아직업데이트되지않은경우이러한변경의일부가해당위젯에표시되지않을수있습니다. 그러나변경사항이발생할때마다활동수가증가하는것을볼수있습니다. 컨텐츠팩 이제 vrealize Log Insight 에컨텐츠팩을설치할수있는곳으로이동하겠습니다. 1. vrealize Log Insight 사용자인터페이스의오른쪽상단에서 3 줄아이콘을클릭합니다. 2. 드롭다운메뉴에서 Content Packs( 컨텐츠팩 ) 를선택합니다. Page 73

컨텐츠팩임포트 1. 탐색창왼쪽상단에서 + IMPORT CONTENT PACK( 컨텐츠팩임포트 ) 링크를클릭합니다. 파일탐색 1. 컨텐츠팩임포트팝업창에서 BROWSE( 찾아보기 ) 버튼을클릭합니다. Page 74

Security Operations v1.0-rc7.vlcp 작업중인 Control 가상머신의드라이브에대한 Security Operations v1.0-rc7.vlcp 파일을찾습니다. 이관리팩을설치하려면다음작업을수행합니다. 1. "C:\LabFiles\HOL-1911\" 경로를찾습니다. 2. Security Operations v1.0-rc7.vlcp 파일을선택합니다. 3. Open( 열기 ) 버튼을클릭합니다. Page 75

컨텐츠팩으로설치 1. IMPORT( 임포트 ) 버튼을클릭합니다. 보안운영설정지침 1. 팝업창에서 OK( 확인 ) 버튼을클릭하여컨텐츠팩의임포트를완료합니다. Page 76

보안운영컨텐츠팩 확인버튼을클릭하면 Security Operations( 보안운영 ) 컨텐츠팩대시보드가표시됩니다. 1. 컨텐츠창에서이컨텐츠팩과함께자동으로설치되는다른위젯및위젯유형과같은이컨텐츠팩과관련된세부정보를확인할수있습니다. 2. 관련컨텐츠팩정보를모두볼수있도록스크롤막대를사용하여페이지아래로스크롤합니다. Page 77

SOC 컨텐츠팩설치 SOC 컨텐츠팩이설치되었습니다. 각탭 (Dashboards, Queries, Alerts, Agent Groups, Extracted Fields( 대시보드, 쿼리, 알림, 에이전트그룹및추출된필드 )) 을클릭하여내용을확인해보십시오. 참고 : 컨텐츠창에서모든위젯을보려면페이지아래로스크롤하거나모든컨텐츠를보기위해오른쪽으로이동해야할수있습니다. Page 78

보안운영대시보드 1. 사용자인터페이스상단의 Dashboards( 대시보드 ) 탭을클릭합니다. 2. 컨텐츠팩대시보드아래 Security Operations( 보안운영 ) 옆의화살표를클릭하여컨텐츠팩의대시보드리스트를확장합니다. 기본적으로 Activity( 활동 ) 대시보드까지표시합니다. 참고 : 컨텐츠창에서모든위젯을보려면페이지아래로스크롤하거나모든컨텐츠를보기위해오른쪽으로이동해야할수있습니다. Page 79

기타위젯 1. 보안운영아래사전구성된각대시보드를확인하여관련각대시보드가어떤기능을하는지알아보십시오. 잠시후보안운영대시보드에서확인할이벤트를로깅하기위해작업을수행할것입니다. 활동 로그인 / 로그아웃및 API 호출 방화벽이벤트 ESXi 구성변경 가상머신구성변경 VMRC/MKS 이벤트 데이터스토어브라우저이벤트 사용권한변경 Google Chrome - 새탭 1. Google Chrome 브라우저에서 New Tab( 새탭 ) 아이콘을클릭합니다. Page 80

vcenter Server Appliance 로그인 이제관리팩의대시보드에서확인할로그파일을생성하기위해 vcsa-01a vcenter Server Appliance 관리포털에로그인한후로그아웃합니다. 1. 북마크도구모음에서 HOL Admin 폴더를클릭합니다. 2. 드롭다운메뉴에서 vcsa-01a Mgmt(vcsa-01a 관리 ) 를클릭합니다. vcenter Server Appliance 에로그인 1. 사용자이름필드에 root 를입력합니다. 2. Password( 암호 ) 텍스트필드에 VMware1! 를입력합니다. 3. Login( 로그인 ) 버튼을클릭하여 vcenter Server Appliance 에로그인합니다. Page 81

vcenter Server Appliance 로그아웃 1. 컨텐츠창오른쪽상단에서 Logout( 로그아웃 ) 링크를클릭합니다. vcenter Server Appliance 에로그인 이제의도적으로잘못된자격증명을사용하여다시로그인합니다. 1. Username( 사용자이름 ) 텍스트필드에 admin 을입력합니다. 2. Password( 암호 ) 텍스트필드에 VMware1! 를입력합니다. 3. Login( 로그인 ) 버튼을클릭하여 vcenter Server Appliance 에로그인합니다. 참고 : 예상대로빨간색의 "Unable to authenticate user"( 사용자를인증할수없음 ) 오류메시지가표시됩니다. vcenter Server Appliance 탭닫기 Page 82

1. VMware Appliance Management 탭은더이상필요없으므로탭의 "X" 를클릭하여닫습니다. vcenter Server 탭 1. vcenter 에서몇가지추가작업을수행하기위해 vcenter Server Google Chrome 탭을클릭합니다. esx-01a-corp.local - 설정편집 이제 ESXi 호스트에서몇가지설정을변경합니다. 1. esx-01a.corp.local 가상머신을마우스오른쪽버튼으로클릭합니다. Page 83

2. 컨텐츠창에서 Configure( 구성 ) 탭을클릭합니다. 3. 스크롤막대를사용하여 System( 시스템 ) 아래 Firewall( 방화벽 ) 이표시될때까지아래로스크롤합니다. 4. System( 시스템 ) 아래에있는 Firewall( 방화벽 ) 을클릭합니다. esx-01a-corp.local - 방화벽 1. EDIT( 편집 ) 버튼을클릭합니다. esx-01a-corp.local - 방화벽 1. SSH Client(SSH 클라이언트 ) 확인란을클릭하여활성화합니다. 2. 스크롤막대를사용하여 SNMP server(snmp 서버 ) 가표시될때까지아래로스크롤합니다. 3. SNMP Server(SNMP 서버 ) 확인란을클릭하여비활성화합니다. 4. OK( 확인 ) 버튼을클릭합니다. Page 84

가상머신구성변경 이제가상머신의메모리및하드드라이브크기를변경하여이러한가상머신수정사항을대시보드에서확인해보겠습니다. 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Edit Settings( 설정편집 ) 를클릭합니다. Page 85

가상머신설정편집 1. Memory( 메모리 ) 크기를 256 에서 128 로변경합니다. 2. Hard Disk( 하드디스크 ) 크기를 100 에서 101 로변경합니다. 3. OK( 확인 ) 버튼을클릭합니다. Page 86

가상머신구성변경 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Edit Settings( 설정편집 ) 를클릭합니다. Page 87

가상머신설정편집 이제가상머신의메모리를원래대로되돌리겠습니다. 1. Memory( 메모리 ) 크기를다시 256 으로변경합니다. 2. OK( 확인 ) 버튼을클릭합니다. core-01a - 전원켜기 Page 88

이제가상머신전원을켜고웹콘솔을시작합니다. 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를클릭합니다. 3. Power( 전원 ) 드롭다운메뉴에서 Power On( 전원켜기 ) 을클릭합니다. 참고 : 가상머신을부팅하는데 1 분정도소요됩니다. 웹콘솔시작 새로운대시보드중하나는가상머신웹콘솔의시작을모니터링하므로가상머신중하나를사용하여이를수행합니다. 1. Launch Web Console( 웹콘솔시작 ) 링크를클릭합니다. Google Chrome 탭닫기 1. core-01a 탭의 "X" 를클릭하여닫습니다. Page 89

vrealize Log Insight 로돌아가기 1. vrealize Log Insight 로돌아가기위해해당 Google Chrome 탭을클릭합니다. 활동대시보드 1. 왼쪽탐색창에서 Activity( 활동 ) 를클릭하여모든이벤트유형을확인합니다. 2. 시간드롭다운메뉴옆에있는새로고침아이콘을클릭합니다. 3. 이과정에서수행한이전작업으로인해이벤트수가증가되어야합니다. 참고 : 대시보드의정보와이벤트가현재실습환경과약간다르게표시될수있지만두이벤트는표시되어야합니다. 참고 : SOC 컨텐츠팩의위젯이 vsphere 6.7 용으로아직업데이트되지않은경우이러한변경의일부가해당위젯에표시되지않을수있습니다. 그러나변경사항이발생할때마다활동수가증가하는것을볼수있습니다. Page 90

로그인 / 로그아웃및 API 호출대시보드 1. 왼쪽탐색창에서 Login/Logout & API Invocations( 로그인 / 로그아웃및 API 호출 ) 링크를클릭하여관련이벤트를확인합니다. 2. 두번의 vcenter Server 관리포털로그인을통해몇가지이벤트가확인됩니다. 참고 : 대시보드의정보와이벤트가현재실습환경과약간다르게표시될수있지만두이벤트는표시되어야합니다. 참고 : SOC 컨텐츠팩의위젯이 vsphere 6.7 용으로아직업데이트되지않은경우이러한변경의일부가해당위젯에표시되지않을수있습니다. 그러나변경사항이발생할때마다활동수가증가하는것을볼수있습니다. Page 91

SOC 관리팩 - ESXi 구성변경 ESXi Shell 서비스작동이벤트를보기위해다음작업을수행합니다. 1. 왼쪽탐색창에서 ESXi Config Changes(ESXi 구성변경 ) 링크를클릭합니다. 2. 이제설정을수정하고 ESXi Shell 서비스를작동한이벤트가표시됩니다. 실습환경과비교하여화면캡처에서는이벤트막대의색과이벤트발생타임라인이다르게표시됩니다. 참고 : 대시보드의정보와이벤트가현재실습환경과약간다르게표시될수있지만두이벤트는표시되어야합니다. 참고 : SOC 컨텐츠팩의위젯이 vsphere 6.7 용으로아직업데이트되지않은경우이러한변경의일부가해당위젯에표시되지않을수있습니다. 그러나변경사항이발생할때마다활동수가증가하는것을볼수있습니다. Page 92

SOC 관리팩 - VMRC/MKS 이벤트 이제다음작업을수행하여 VMRC/MKS 이벤트를확인할수있습니다. 1. 왼쪽탐색창에서 Security Operations( 보안운영 ) 아래 VMRC/MKS Events(VMRC/ MKS 이벤트 ) 를클릭합니다. 2. 이제가상머신콘솔열기에서발생한몇가지이벤트가표시됩니다. 참고 : 대시보드의정보와이벤트가현재실습환경과약간다르게표시될수있지만두이벤트는표시되어야합니다. 참고 : SOC 컨텐츠팩의위젯이 vsphere 6.7 용으로아직업데이트되지않은경우이러한변경의일부가해당위젯에표시되지않을수있습니다. 그러나변경사항이발생할때마다활동수가증가하는것을볼수있습니다. vrealize Log Insight 탭닫기 1. vrealize Log Insight 탭은더이상필요없으므로탭의 "X" 를클릭하여닫습니다. SOC( 보안운영센터 ) 컨텐츠팩 - 완료 vrealize Log Insight SOC( 보안운영센터 ) 컨텐츠팩에대한과정을완료했습니다. vrealize Log Insight 에컨텐츠팩을설치하는과정과보안이벤트와관련하여이컨텐츠팩에서제공하는사전구 Page 93

성대시보드에대해살펴보았습니다. 그런다음가성머신과호스트의구성을변경하여이를통해발생한몇가지보안이벤트를대시보드에서확인했습니다. Page 94

결론 모듈 2 가완료되었습니다. vrealize Log Insight 는보안관리자가소프트웨어정의데이터센터에서보안사고를분석할때사용자를감사하여누가무엇을했는지확인할수있는유용한솔루션입니다. 이모듈에서는 vsphere 6.7 및 Linux 컨텐츠팩의로깅기능에대해살펴보았으며, 쿼리를작성하여누가머신을재부팅했는지정확히확인할수있었습니다. 다음모듈 () 을계속진행하거나원하는다른모듈로건너뛸수있습니다. (15 분, 초급 ) 이모듈에서는 ESXi 호스트의암호복잡성요구사항과호스트에대한요구사항설정을자동화하는방법에대해알아봅니다. 이러한보안규정준수요구사항으로인해어려움을겪고있다면이실습이많은도움이될것입니다. 이실습에서는클러스터내모든호스트에대해 ESXi 사용자의암호복잡성규칙을설정하는 PowerCLI 스크립트를실행합니다. (60 분, 고급 ) 이모듈에서는가상머신의암호화및암호화해제와같은향상된 vsphere 6.7 의보안기능을소개합니다. vsphere 6.7 에서암호화는스토리지정책을통해구현됩니다. 기존의전원이꺼진가상머신에암호화스토리지정책을적용하면디스크가암호화됩니다. 이는오늘날의보안요구사항을충족하는데필요한수준의보안을제공하기위해많은기업에서요청한기능입니다. 또한기본적으로일반 vmotion 과동일하지만 vmotion 프로세스를시작하기전에가상머신을암호화하는암호화된 vmotion 에대해알아봅니다. 이기능역시기업이보안및규정준수요구사항을충족하기위해많이요청한기능입니다. 그런다음 PowerCLI 명령줄툴을사용해봅니다. 이툴에는이제사용자가가상머신의암호화및해제등의작업을수행할수있는모듈이포함됩니다. 암호화에 PowerCLI 와같은명령줄툴을사용하면시스템관리자가 vsphere 환경에서대량의가상머신에암호화변경사항을적용할수있어시간과노력이절감됩니다. (30 분, 초급 ) 이모듈에서는가상머신및 vsphere 호스트에대한보안부팅지원을사용하는 vsphere 6.5 기능에대해살펴봅니다. vsphere 6.7 의새로운기능으로호스트와가상머신에가상 TPM 2.0 을추가하는기능이추가되었습니다. UEFI 보안부팅은 OS 핸드오프이전에신뢰할수있는코드만 EFI 펌웨어가로드하도록보장하는메커니즘입니다. 신뢰여부는펌웨어에서관리되는키및인증서에따라결정됩니다. 가상머신내부에이러한기능을구현함으로써가상머신에서 EFI 지원 OS 의보안부팅이가능합니다. (15 분, 고급 ) vsphere 6.5 버전부터제공되는암호화기능으로인해시스템관리자의가상머신암호화를제한할필요가생김에따라암호화제외시스템관리자역할이제공됩니다. 이새역할은 vcenter Server 시스템관리자와사용권한이동일하지만가상머신암호화 / 암호화해제, 데이터스토어탐색또는암호화된가상머신파일다운로드를수행할수없습니다. (30 분, 고급 ) vsphere 6.7 의새보안기능에는가상머신용가상 TPM(Trusted Platform Module) 2.0 버전사용이포함됩니다. 또한 Windows 10 에서 Microsoft 의 VBS(Virtualization Based Security) 및 Credential Guard 기능을사용하기위한통합이포함되어있습니다. 이를수행하기위해 vtpm 2.0 및 VBS 를활성화할것입니다. Page 95

vsphere 및 vcenter Server 의향상된로그참고자료 : 참고 : 실습설명서의 VMware 참고자료에대한링크는참조용으로만제공됩니다. 실습환경은인터넷연결이제공되지않을수있으므로실습환경내에서이러한참고자료를보지못할수있습니다. 제공되는링크에연결할수없는경우링크를수동으로기록하거나모바일기기를사용하여사진을찍으십시오. 또한이링크중일부는새버전릴리스로인해제공이중단되어더이상사용하지못할수있습니다. VMware vsphere 6.7 설명서 : 시스템로그 : https://docs.vmware.com/en/ VMware-vSphere/6.7/com.vmware.vsphere.monitoring.doc/ GUID-0F5EB96B-49CD-44DC-83FD-2F03B3213D49.html VMware Tech Pubs 유튜브채널 : vsphere 6.5의향상된로깅및 ESXi 보안부팅의새로운기능 : https://www.youtube.com/watch?v=j11ffhtyzyq vrealize Log Insight 제품페이지 : http://www.vmware.com/products/vrealize-loginsight.html vrealize Log Insight Pubs 페이지 : https://docs.vmware.com/en/vrealize-log- Insight/index.html VMware 기술자료 FAQ: vrealize Log Insight for vcenter Server(2144909): https://kb.vmware.com/s/article/2144909 VMware Cloud Management 유튜브채널 : https://www.youtube.com/channel/ UCKON30YeSGIeqsueMYgEa9A 선택사항 : 실습종료방법 참고 : 실습에서 END( 종료 ) 버튼을클릭하면실습이종료되고관련가상머신이삭제됩니다. 따라서실습을다시시작하면이전실습인스턴스가아닌새가상머신의새인스턴스가생성됩니다. 이전의모든설정은사라지고실습이처음배포될때의기본설정으로돌아갑니다. 이제다음모듈을계속진행하거나목차를사용하여원하는다른모듈로건너뛸수있습니다. 실습을끝내려면 END( 종료 ) 버튼을클릭합니다. 참고 : 실습을종료한후다른모듈을실행하려면실습에다시등록해야합니다. Page 96

모듈 3 - 가상머신암호화및암 호화된 vmotion(60 분 ) Page 97

소개 이모듈 ( 모듈 3: 가상머신암호화및암호화된 vmotion) 에서는 vsphere 6.7 의가상머신암호화보안기능에대해알아봅니다. vsphere 6.7 에서암호화는스토리지정책을통해구현됩니다. 기존의전원이꺼진가상머신에암호화스토리지정책을적용하면디스크가암호화됩니다. 이는오늘날의보안요구사항을충족하는데필요한수준의보안을제공하기위해많은기업에서요청한기능입니다. 다른솔루션과의주요차이점은이솔루션은암호화가가상머신과독립되어가상머신보다낮은수준에서수행되며, 정책에기반하고있으며, 무엇보다관리워크플로우에쉽게통합할수있다는것입니다. 다음에나오는 PowerCLI 의예를통해이에대해알아보겠습니다. 이모듈에서는가상머신을암호화하는데필요한 2 개의 HyTrust KMS Server 가이미구축되어있습니다. 이모듈에서다음과같은작업을수행합니다. vsphere Web Client 에서 HyTrust KMS Server 를구성하여이서버와 vcenter Server 간신뢰를형성합니다. 기본가상머신암호화스토리지정책을검토합니다. 기본 HyTrust KMS Server 를사용하여가상머신을암호화합니다. PowerCLI 명령줄툴을사용하여가상머신을암호화하고다시해제합니다. 암호화된 vmotion 에대한작업을살펴봅니다 ( 실제로작업을수행하지는않음 ). 참고 : 실습설명서의 VMware 참고자료에대한링크는참조용으로만제공됩니다. 실습환경은인터넷연결이제공되지않을수있으므로이러한참고자료를보지못할수있습니다. 제공되는링크에연결할수없는경우링크를수동으로기록하거나모바일기기를사용하여사진을찍으십시오. 주요기능 다음은 vsphere 가상머신암호화의주요기능입니다. 게스트내수정사항없음 가상머신독립적 게스트운영체제 데이터스토어 하드웨어버전 정책중심 VMDK 및가상머신파일모두암호화 게스트의암호화키액세스가없음 완벽한 vmotion 지원 Page 98

가상머신암호화 스토리지정책을통해암호화가관리되며관련단계에대한개요는다음과같습니다. 1. 호스트에가상머신을등록하고암호화지원스토리지정책과 KMIP(Key Management Interoperability Protocol) Server 를사용하여신규또는기존가상머신을구성합니다. 2. KMIP Server 로부터 vcenter 에가상머신파일과가상머신디스크를암호화하는데사용되는키가전송됩니다. 3. vcenter Server 는 ESXi 호스트에키를로드합니다. 키가없는모든호스트에는 Distributed Resource Scheduler(DRS)/High Availability(HA) 를지원하기위해키가제공됩니다. 4. 키가 ESXi 호스트의 KeyCache 로로드되면 IO Filter(6.0 U1 에서도입됨 ) 수준에서디스크의암호화및암호화해제를수행합니다. Page 99

암호화된 vmotion 이과정에서는가상머신의암호화된 vmotion 실행단계를수행하는방법을살펴보겠습니다. 암호화여부에관계없이모든가상머신의 vmotion 을암호화할수있습니다. 암호화된가상머신은항상암호화된 vmotion 을사용합니다. 중요한점은혼합클러스터를실행하며암호화된 vmotion 이필요할경우 " 필수 " 로설정해도 vsphere 6.0 호스트와같이 vmotion 을지원하지않는호스트에서는 vmotion 을사용할수없습니다. 가상머신의중요한데이터가기존 IT 환경을벗어나퍼블릭네트워크를통해전송되는하이브리드클라우드컴퓨팅이증가하면서 IT 시스템관리자와아키텍트는클라우드를통해장거리를이동하는중요한가상머신데이터를보호하기위한간단하고안전한방법을필요로합니다. VMware vsphere 6.7 에서제공되는암호화된 vmotion 기능은 vmotion 네트워크트래픽에대한종단간암호화를제공하는소프트웨어접근방식을도입함으로써이러한문제를해결합니다. 이기능은가장널리사용되는 AES-GCM 암호화표준을사용하여 vmkernel 내부의모든 vmotion 데이터를암호화하므로 vmotion 트래픽이신뢰할수없는네트워크링크를통과할경우에도데이터기밀성, 무결성및신뢰성을제공합니다. 이제 VMware vsphere 6.5 의암호화된 vmotion 아키텍처, 성능및모범사례 라는새로운백서를참조할수있습니다. 이백서에서는 vsphere 6.7 의암호화된 vmotion 아키텍처에대해설명하고, vsphere 6.7 의암호화된 vmotion 을사용하여일반적인 Tier 1 애플리케이션을실행하는가상머신의라이브마이그레이션성능을종합적으로분석합니다. 테스트를통해총마이그레이션시간및라이브마이그레이션시의애플리케이션성능과같은특성을측정합니다. 또한장거리네트워크와같은지연시간이긴네트워크에서 vsphere 6.7 의암호화된 vmotion 성능에대해검증합니다. Page 100

마지막으로 vsphere 6.7 의암호화된 vmotion 사용시따라야할여러가지모범사례를소개합니다. PowerCLI 를사용한암호화 VMware 는가상머신암호화엔지니어링팀이가상머신암호화를위한 PowerCLI 모듈을릴리스했다고발표했습니다. 이소식을몰랐다면 VMware PowerShell 모듈의 Github 저장소를확인해보시기바랍니다. 가상머신암호화용새 PowerCLI 모듈이포함되어있습니다. 여러가지유용한 cmdlets 및새 VI 속성을통해 vsphere 6.7 가상머신암호화의일상적인관리를보다쉽게자동화할수있습니다. 이모듈을만든이유는가능한쉽게보안을운영할수있도록하기위해서입니다. 간편하게일상운영에보안을적용할수없다면이를회피할방법을찾게될것입니다. 가상머신을암호화하기위해가상머신내에서암호화솔루션을관리할필요는없습니다. 가상머신을생성하고바로가상머신암호화를간편하게활성화할수있다면좋을것입니다. 가상머신암호화가바로그러한기능을제공합니다. 이실습에서가상머신을암호화하는데사용되는몇가지 PowerCLI 명령을살펴보겠습니다. 암호화작업을수행하는것은뒤에나오는모듈 7: 가상머신암호화를위한 PowerCLI 에서자세히살펴보겠습니다. vsphere 6.7 암호화의주의사항 제한사항 : 가상머신암호화전략을세울때다음과같은사항에주의해야합니다. 암호화된가상머신을복제하거나 Storage vmotion 작업을수행할때디스크포맷의변경을시도할수있지만그러한변환에실패할수도있습니다. 예를들어가상머신을복제하고느리게비워지는씩포맷에서씬포맷으로디스크포맷을변경하려는경우가상머신디스크는느리게비워지는씩포맷을유지합니다. 가상머신에서디스크를분리할때가상디스크의스토리지정책정보는보존되지않습니다. 가상디스크가암호화되면가상머신암호화정책또는스토리지정책에암호화를포함하는스토리지정책을명시적으로설정해야합니다. 가상디스크가암호화되지않은경우가상머신에디스크를추가할때스토리지정책을변경할수있습니다. 가상머신을다른클러스터로이동하기전에코어덤프의암호화를해제합니다. vcenter Server 는 KMS 키를저장하지않고키 ID 만추적합니다. 따라서 vcenter Server 는 ESXi 호스트키를계속저장하지않습니다. 상황에따라예를들어다른클러스터로 ESXi 호스트를이동한후호스트를재부팅할경우 vcenter Server 는호스트에새호스트키를할당하며, 기존코어덤프는새호스트키로암호화를해제할수없습니다. 암호화된가상머신에서 OVF 익스포트는지원되지않습니다. VMware Host Client 를사용하여암호화된가상머신을등록하는것은지원되지않습니다. 가상머신잠김상태 : Page 101

가상머신키또는하나이상의가상디스크키가누락될경우가상머신은잠김상태가됩니다. 잠김상태에서는가상머신작업을수행할수없습니다. vsphere Client 에서가상머신과그디스크를암호화할경우동일한키가사용됩니다. API 를사용하여암호화를수행할경우에는가상머신과디스크에대해서로다른암호화키를사용합니다. 이경우가상머신의전원을켜려고할때디스크키중하나가누락되면전원켜기작업이실패합니다. 가상디스크를제거하면가상머신의전원을켤수있습니다. 가상머신암호화주의사항 : https://docs.vmware.com/en/vmware-vsphere/6.7/ com.vmware.vsphere.security.doc/guid- AE7BECB0-1BBC-4123-AAA9-A07EB8D458DF.html 몇가지 KMIP 1.1 호환 Key Manager Page 102

vcenter Server 에 HyTrust KMS Server 구성 이과정에서는가상머신을암호화하고암호화된 vmotion 을사용하기위해 2 대의 HyTrust KMS Server 를추가합니다. 새로운 vsphere 6.7 암호화기능을사용하려면 vcenter Server 와 KMS Server 간에신뢰가형성되어야합니다. Google Chrome 실행 Google Chrome 이열려있지않을경우다음단계를수행하고그렇지않으면이단계를건너뜁니다. 1. 빠른실행작업표시줄에있는 Google Chrome 아이콘을클릭합니다. RegionA 새 Google Chrome 브라우저창을열려는경우아래단계를수행하고그렇지않으면이단계를건너뛸수있습니다. 1. 북마크도구모음에서 RegionA 폴더를클릭합니다. 2. RegionA vsphere Client (HTML) 를클릭합니다. Page 103

RegionA vcenter Server 에로그인 이미 RegionA vcenter Server 에로그인되어있으면아래단계를건너뛸수있습니다. 그렇지않으면아래단계를완료합니다. 1. Username( 사용자이름 ) 텍스트필드에 administrator@corp.local 을입력합니다. 2. Password( 암호 ) 텍스트필드에 VMware1! 를입력합니다. 3. Login( 로그인 ) 버튼을클릭합니다. Page 104

메뉴드롭다운 1. 화면상단의 Menu( 메뉴 ) 드롭다운아이콘을클릭합니다. 2. Menu( 메뉴 ) 드롭다운메뉴에서 Global Inventory Lists( 글로벌인벤토리목록 ) 를선택합니다. Page 105

vcenter Server 선택 1. Global Inventory Lists( 전체인벤토리목록 ) 에서 vcenter Servers 를클릭합니다. vcsa-01a.corp.local 1. vcsa-01a.corp.local vcenter Server 를클릭합니다. Page 106

HyTrust Key Manager(KMS) Server 추가 vsphere 에서모든유형의암호화를사용하려면먼저 KMS( 키관리서버 ) 를가동해야합니다. 그런다음 1 대이상의 KMS Server 를 vcenter Server 에추가하고 KMS 및 vcenter Server 간신뢰관계를구성해야합니다. 따라서첫번째로해야할작업은 vcenter 에 KMS Server 를추가하는것이며, 이를위해다음을수행합니다. 1. 컨텐츠창에서 Configure( 구성 ) 탭을클릭합니다. 2. More( 기타 ) 카테고리에서 Key Management Servers( 키관리서버 ) 를클릭합니다. 3. 컨텐츠창에서 ADD( 추가 ) 를클릭하여 KMS Server 를추가합니다. Page 107

vcsa-01a.corp.local - KMS 추가 1. New cluster name( 새클러스터이름 ) 텍스트필드에 HOL-KMS-01a 를입력합니다. 2. Server name( 서버이름 ) 텍스트필드에 kms-01a 를입력합니다. 3. Server address( 서버주소 ) 텍스트필드에 kms-01a.corp.local 을입력합니다. 4. Server port( 서버포트 ) 텍스트필드에 5696 을입력합니다. 5. ADD( 추가 ) 버튼을클릭합니다. Page 108

kms-01a.corp.local - 신뢰 1. Make vcenter Trust KMS(vCenter 가 KMS 를신뢰하도록설정 ) 팝업창에서 TRUST( 신뢰 ) 버튼을클릭합니다. KMS 가 vcenter 를신뢰하도록설정 HyTrust KMS Server 의연결상태에는아직아무것도표시되지않으며, vcenter Server 및 HyTrust KMS Server 간신뢰설정을완료해야합니다. HyTrust KMS Server 및 vcenter Server 간신뢰관계를형성하려면다음을수행합니다. 1. kms-01a KMS Server 이름옆의옵션버튼을선택합니다. 2. MAKE KMS TRUST VCENTER(KMS 가 vcenter 를신뢰하도록설정 ) 링크를클릭합니다. Page 109

KMS 인증서및개인키 1. KMS certificate and private key(kms 인증서및개인키 ) 옆의옵션버튼을선택합니다. 2. Next( 다음 ) 버튼을클릭합니다. Page 110

KMS 인증서및개인키임포트 1. 팝업창상단에서 Upload file( 파일업로드 ) 버튼을클릭합니다. 인증서선택 Page 111

이미 HyTrust KMS Server 웹인터페이스에서이인증서 PEM 파일을다운로드했습니다. 1. "C:\LabFiles\HOL-1911\KMIPvcsa01a\" 경로를찾습니다. 2. KMIPvcsa01a.pem 파일을선택합니다. 3. Open( 열기 ) 버튼을클릭합니다. 참고 : KMIPvcsa01b 폴더가아닌 KMIPvcsa01a 폴더의 KMIPvcsa01a.pem 파일을선택해야합니다. 인증서업로드 1. Upload file( 파일업로드 ) 버튼을클릭합니다. Page 112

인증서선택 이미 HyTrust KMS Server 웹인터페이스에서이인증서 PEM 파일을다운로드했습니다. 1. "C:\LabFiles\HOL-1911\KMIPvcsa01a\" 경로를찾습니다. 2. KMIPvcsa01a.pem 파일을선택합니다. 3. Open( 열기 ) 버튼을클릭합니다. 참고 : KMIPvcsa01b 폴더가아닌 KMIPvcsa01a 폴더의 KMIPvcsa01a.pem 파일을선택해야합니다. Page 113

신뢰구축 1. ESTABLISH TRUST( 신뢰구축 ) 버튼을클릭합니다. 신뢰및연결상태확인 HyTrust KMS Server 및 vcenter Server 간신뢰관계가형성되었는지확인하기위해다음을수행합니다. 1. Connection State( 연결상태 ) 열아래에 HyTrust KMS Server 가 Connected( 연결됨 ) 상태이고 vcenter Certificate Status(vCenter 인증서상태 ) 열에 Valid( 유효 ) 라고표시되는지확인합니다. Page 114

vcsa-01b.corp.local 선택 이제 vcsa-01b.corp.local vcenter Server 에 kms-01b.corp.local HyTrust KMS Server 를추가합니다. 1. 왼쪽탐색창에서 vcsa-01b.corp.local vcenter Server 를클릭합니다. HyTrust Key Manager(KMS) Server 추가 이두번째 HyTrust KMS Server 는이과정에서앞서수행한것과조금다른방법으로추가하겠습니다. 1. 컨텐츠창에서 Configure( 구성 ) 탭을클릭합니다. 2. More( 기타 ) 카테고리에서 Key Management Servers( 키관리서버 ) 를클릭합니다. 3. 컨텐츠창에서 ADD( 추가 ) 를클릭하여 KMS Server 를추가합니다. Page 115

vcsa-01b.corp.local - KMS 추가 1. New cluster name( 새클러스터이름 ) 텍스트필드에 HOL-KMS-01b 를입력합니다. 2. Server name( 서버이름 ) 텍스트필드에 kms-01b 를입력합니다. 3. Server address( 서버주소 ) 텍스트필드에 kms-01b.corp.local 을입력합니다. 4. Server port( 서버포트 ) 텍스트필드에 5696 을입력합니다. 5. ADD( 추가 ) 버튼을클릭합니다. kms-01b.corp.local - 신뢰 Page 116

1. Make vcenter Trust KMS(vCenter 가 KMS 를신뢰하도록설정 ) 팝업창에서 TRUST( 신뢰 ) 버튼을클릭합니다. KMS 가 vcenter 를신뢰하도록설정 HyTrust KMS Server 의연결상태에는아직아무것도표시되지않으며, vcenter Server 및 HyTrust KMS Server 간신뢰설정을완료해야합니다. HyTrust KMS Server 및 vcenter Server 간신뢰관계를형성하려면다음을수행합니다. 1. kms-01b KMS Server 이름옆의옵션버튼을선택합니다. 2. MAKE KMS TRUST VCENTER(KMS 가 vcenter 를신뢰하도록설정 ) 링크를클릭합니다. Page 117

KMS 인증서및개인키 1. KMS certificate and private key(kms 인증서및개인키 ) 옆의옵션버튼을선택합니다. 2. Next( 다음 ) 버튼을클릭합니다. Page 118

KMS 인증서및개인키임포트 1. 팝업창상단에서 Upload file( 파일업로드 ) 버튼을클릭합니다. 인증서선택 Page 119

이미 HyTrust KMS Server 웹인터페이스에서이인증서 PEM 파일을다운로드했습니다. 1. "C:\LabFiles\HOL-1911\KMIPvcsa01b\" 경로를찾습니다. 2. KMIPvcsa01b.pem 파일을선택합니다. 3. Open( 열기 ) 버튼을클릭합니다. 참고 : KMIPvcsa01a 폴더가아닌 KMIPvcsa01b 폴더의 KMIPvcsa01b.pem 파일을선택해야합니다. 인증서업로드 1. Upload file( 파일업로드 ) 버튼을클릭합니다. Page 120

인증서선택 이미 HyTrust KMS Server 웹인터페이스에서이인증서 PEM 파일을다운로드했습니다. 1. "C:\LabFiles\HOL-1911\KMIPvcsa01b\" 경로를찾습니다. 2. KMIPvcsa01b.pem 파일을선택합니다. 3. Open( 열기 ) 버튼을클릭합니다. 참고 : KMIPvcsa01a 폴더가아닌 KMIPvcsa01b 폴더의 KMIPvcsa01b.pem 파일을선택해야합니다. Page 121

신뢰구축 1. ESTABLISH TRUST( 신뢰구축 ) 버튼을클릭합니다. 신뢰및연결상태확인 HyTrust KMS Server 및 vcenter Server 간신뢰관계가형성되었는지확인하기위해다음을수행합니다. 1. Connection State( 연결상태 ) 열아래에 HyTrust KMS Server 가 Connected( 연결됨 ) 상태이고 vcenter Certificate Status(vCenter 인증서상태 ) 열에 Valid( 유효 ) 라고표시되는지확인합니다. Page 122

vcenter Server 에 HyTrust KMS Server 구성 - 완료 이모듈의첫번째과정인 "vcenter Server 에서 HyTrust KMS Server 구성 " 을완료했습니다. 2 대의 HyTrust KMS Server 를추가한후이서버들과 vcenter Server 간신뢰를형성하는과정을완료했습니다. 또한첫번째로추가된 HyTrust KMS Server 가항상클러스터의기본 KMS Server 로자동선택되는것을확인했습니다. Page 123

HyTrust KMS Server 를사용하여가상머신암호화 이과정에서는이미설치된 HyTrust KMS Server 를사용하여가상머신을암호화합니다. vsphere Web Client(HTML5) 를사용하여가상머신을암호화하고다시해제합니다. 메뉴드롭다운 먼저 vcenter 의 Policies and Profiles( 정책및프로필 ) 섹션에서기본가상머신암호화정책에대해살펴보겠습니다. 1. 페이지상단의 Menu( 메뉴 ) 아이콘을클릭합니다. 2. Menu( 메뉴 ) 드롭다운에서 Policies and Profiles( 정책및프로필 ) 를선택합니다. Page 124

기본가상머신암호화정책 1. 탐색창에서 VM Storage Policies( 가상머신스토리지정책 ) 를클릭합니다. 2. 기본적으로각 vcenter Server 당하나씩, 이미 2 개의가상머신암호화정책이있다는것을알수있습니다. 참고 : VMware 가생성된기본가상머신암호화정책이있지만원할경우사용자가직접정책을생성할수있습니다. 기본암호화속성 1. 탐색창에서 Storage Policy Components( 스토리지정책구성요소 ) 를클릭합니다. 2. 각 vcenter Server 당하나씩, 2 개의기본암호화속성구성요소가표시됩니다. 3. 또한컨텐츠창하단에설명이표시됩니다. Page 125

메뉴드롭다운 이제 Hosts and Clusters( 호스트및클러스터 ) 뷰에서 core-01a 가상머신의암호화프로세스를시작합니다. 1. 페이지상단의 Menu( 메뉴 ) 아이콘을클릭합니다. 2. Menu( 메뉴 ) 드롭다운에서 Hosts and Clusters( 호스트및클러스터 ) 를선택합니다. Page 126

esx-01a 선택 이제 core-01a 가상머신을암호화하기위해다음단계를수행합니다. 1. 왼쪽탐색창에서 core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 VM Policies( 가상머신정책 ) 를클릭합니다. 3. VM Policies( 가상머신정책 ) 드롭다운메뉴에서 Edit VM Storage Policies( 가상머신스토리지정책편집 ) 를클릭합니다. Page 127

core-01a - 가상머신스토리지정책편집 VMware 에서이미생성한몇가지기본정책이있지만다음을수행하여가상머신암호화정책을구체적으로선택합니다. 1. VM storage policy( 가상머신스토리지정책 ) 드롭다운메뉴에서화살표를클릭하여 VM Encryption Policy( 가상머신암호화정책 ) 를선택합니다. 2. Configure per disk( 디스크별구성 ) 슬라이더를클릭하여설정합니다. 참고 : 이실습에서는가상머신의모든구성요소를암호화합니다. 하지만옵션을선택하여가상머신홈폴더또는하드디스크 1 만암호화할수있습니다. 개별항목만암호화하려면창의오른쪽상단에있는슬라이더를클릭하여개별항목을선택할수있습니다. Page 128

core-01a - 디스크별구성 Configure per disk( 디스크별구성 ) 옵션을활성화하면 VM Home folder( 가상머신홈폴더 ) 및 Hard disk 1( 하드디스크 1) 이더이상회색으로표시되지않아정책을개별적으로관리할수있습니다. 1. 임시로 Hard disk 1( 하드디스크 1) 드롭다운을클릭하여 VM Encryption Policy( 가상머신암호화정책 ) 를선택합니다. 이제가상머신의두구성요소에대한정책을개별적으로지정하는방법을알수있습니다. 옵션을검토한후 Datastore Default( 데이터스토어기본값 ) 옵션으로되돌립니다. 참고 : 이실습에서는가상머신의모든구성요소를암호화합니다. 하지만옵션을선택하여가상머신홈폴더또는하드디스크 1 만암호화할수있습니다. Page 129

core-01a - 가상머신스토리지정책편집 1. 슬라이더를클릭하여 Configure per disk( 디스크별구성 ) 를해제합니다. 2. 이미선택되어있지않은경우 VM storage policy( 가상머신스토리지정책 ) 드롭다운메뉴에서화살표를클릭하여 VM Encryption Policy( 가상머신암호화정책 ) 를선택합니다. 3. OK( 확인 ) 버튼을클릭합니다. core-01a - 가상머신스토리지정책규정준수확인 Page 130

탐색창에 core-01a 가상머신이선택된상태에서다음단계를수행합니다. 1. core-01a 의컨텐츠창에서스크롤막대를사용하여 VM Storage Policies( 가상머신스토리지정책 ) 위젯이표시될때까지페이지하단으로이동합니다. 2. 필요할경우 VM Storage Policies( 가상머신스토리지정책 ) 위젯의오른쪽상단에서화살표를클릭합니다. 3. 이제가상머신에 VM Encryption Policy( 가상머신암호화정책 ) 이지정되어있고녹색확인표시를통해규정을준수하고있음을알수있습니다. core-01a - 규정을준수하지않음 ( 필요할경우 ) 어떤이유로든 1~2 분후에도 VM Storage Policy( 가상머신스토리지정책 ) 위젯에정보가표시되지않거나규정을준수하지않는다고표시될경우다음단계를수행합니다. 1. Check Compliance( 규정준수확인 ) 링크를클릭하여규정준수정보를업데이트합니다. 참고 : 이제 Check Compliance( 규정준수확인 ) 링크를클릭한후 1 분이내에정보가업데이트되어규정준수상태를표시해야합니다. 상태가변경되지않으면웹브라우저창을새로고쳐보십시오. 그래도여전히제대로정보가반영되도록업데이트되지않으면 Hands-on Lab 인터페이스를사용하거나실제손을들어실습진행자의지원을요청하십시오. Page 131

esx-01a 선택 이제 core-01a 가상머신의암호화를해제하기위해다음단계를수행합니다. 1. 왼쪽탐색창에서 core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. VM Policies( 가상머신정책 ) 를클릭합니다. 3. Edit VM Storage Policies( 가상머신스토리지정책편집 ) 를선택합니다. Page 132

core-01a - 가상머신스토리지정책편집 1. VM storage policy( 가상머신스토리지정책 ) 드롭다운메뉴에서화살표를클릭하여 Datastore Default( 데이터스토어기본값 ) 를선택합니다. 2. OK( 확인 ) 버튼을클릭합니다. core-01a - 가상머신암호화해제확인 1. Check Compliance( 규정준수확인 ) 링크를클릭하여규정준수정보를업데이트합니다. 2. 이제가상머신암호화정책이더이상표시되지않습니다. Page 133

참고 : 이제 Check Compliance( 규정준수확인 ) 링크를클릭한후몇분내에정보가업데이트되어가상머신스토리지정책위젯이비어있어야합니다. 상태가변경되지않으면웹브라우저창을새고고치고가상머신스토리지정책위젯을다시확인합니다. 여전히암호화정책이표시되면 Hands-on Lab 인터페이스를사용하거나실제손을들어실습진행자의지원을요청하십시오. HyTrust KMS Server 를사용하여가상머신암호화 - 완료 이과정에서는 vsphere Web Client 를사용하여 core-01a 가상머신에가상머신암호화정책을적용했습니다. 정책을적용한후가상머신에서가상머신암호화정책을준수하는것을확인했습니다. 그런다음동일한단계를거쳐 core-01a 가상머신에서암호화정책을제거했습니다. 이작업을완료한후가상머신저장소정책위젯이다시빈상태로표시되는것을확인할수있었습니다. 이는예상된동작으로가상머신파일암호화가제거되었음을나타냅니다. vsphere Web Client 를사용하는것이가상머신의암호화및암호화해제를수행하는유일한방법은아닙니다. 또한 PowerCLI 명령을사용하면단일가상머신또는다수의가상머신에일괄적으로동일한작업을더효율적으로수행할수있습니다. 한번에많은수의가상머신에서암호화상태를변경할경우 PowerCLI 명령을사용하는것이가장좋습니다. 다음과정에서는여러암호화관련작업에서 PowerCLI 를사용하는것에대해자세히살펴보겠습니다. 또한이모듈의뒷부분에서는 PowerCLI 명령을사용하여실제로가상머신을암호화하고다시해제합니다. Page 134

암호화된 vmotion 모드로가상머신설정 이과정에서는암호화된 vmotion 모드를사용하도록가상머신을설정하는단계를수행합니다. vsphere Web Client 에서이를구성하는과정을살펴보겠지만리소스제약으로인해실습환경에서실제로 vmotion 작업을수행하지는않습니다. 또한가상머신에서 vmotion 작업을수행하고암호화되는것도실제로 " 볼 " 수는없습니다. core-01a - 설정편집 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Edit Settings( 설정편집 ) 를선택합니다. 참고 : 실습환경의가상머신의목록은화면캡처와약간다르게표시될수있습니다. Page 135

core-01a - 가상머신옵션 다음실습단계에서는암호화된 vmotion 을설정하는단계를살펴보겠지만실제로 vmotion 작업이암호화되는지확인할수없으므로이단계를실제로완료하지는않습니다. 또한이렇게하면실습에필요한리소스의양을줄일수있습니다. 1. 팝업창의 VM Options( 가상머신옵션 ) 탭을클릭합니다. 2. Encryption( 암호화 ) 옆의화살표를클릭하여확장하면 Encrypt VM( 가상머신암호화 ) 및 Encrypted vmotion( 암호화된 vmotion) 설정이표시됩니다. 3. Policies and Profiles( 정책및프로필 ) 섹션외또다른가상머신암호화를설정하는방법으로여기서 None( 없음 ) 또는 VM Encryption Policy( 가상머신암호화정책 ) 중하나를선택할수있습니다. Page 136

core-01a - 암호화된 vmotion 참고로이미가상머신이암호화되도록설정된경우자동으로암호화된 vmotion 을사용합니다. 그러나암호화된 vmotion 에는 3 가지옵션이있습니다. 1. 이미가상머신이암호화되었으므로 Encrypted vmotion( 암호화된 vmotion) 설정이 Required( 필수 ) 로설정되어있지만변경할수있습니다. 2. 실제 vmotion 작업을수행하지않을것이기때문에실제로변경할필요가없으므로 CANCEL( 취소 ) 버튼을클릭합니다. Page 137

core-01a - 마이그레이션 다음몇단계에서는 vmotion 작업이실제로암호화되는지확인할수없으므로 vmotion 작업을실제로완료하지는않습니다. 또한이렇게하면실습환경에필요한리소스의양을줄일수있습니다. 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Migrate( 마이그레이션 ) 를선택합니다. Page 138

core-01a - 마이그레이션유형선택 1. Change compute resource only( 컴퓨팅리소스만변경 ) 옵션버튼을기본설정대로두고 NEXT( 다음 ) 버튼을클릭합니다. Page 139

core-01a - 컴퓨팅리소스선택 현재 core-01a 가상머신은 esx-02a.corp.local 에있으므로 esx-01a.corp.local 로마이그레이션하겠습니다. 1. 마이그레이션대상으로 esx-01a.corp.local 호스트를선택합니다. 2. Compatibility( 호환성 ) 아래에 Compatibility checks succeeded( 호환성확인성공 ) 가표시되는지확인합니다. 3. Next( 다음 ) 버튼을클릭합니다. Page 140

core-01a - 네트워크선택 1. Compatibility( 호환성 ) 아래에 Compatibility checks succeeded( 호환성확인성공 ) 가표시되는지확인합니다. 2. 선택된기본네트워크를그대로두고 Next( 다음 ) 버튼을클릭합니다. Page 141

core-01a - 완료준비 참고 : 다음과같은이유로실제로 vmotion 작업을수행하지않습니다. 실습환경이므로 vmotion 과같은작업에사용되는리소스를줄이기위해서입니다. 호스트간패킷스니퍼를사용하지않는한실제로 vmotion 이암호화되어있는지확인할수없습니다. 따라서기본적으로암호화된 vmotion 작업을수행할이유가없습니다. 마지막단계를완료하기위해서는다음을수행합니다. 1. 정보를검토하여모든선택사항이올바른지확인합니다. 2. 이는실습환경이므로 vmotion 작업이시작되지않도록 CANCEL( 취소 ) 버튼을선택합니다. 실제운영환경이라면 Finish( 마침 ) 버튼을선택할것입니다. 암호화된 vmotion 모드로가상머신설정 - 완료 암호화된 vmotion 모드를사용하도록가상머신을설정하는과정을완료했습니다. 가상머신이이미암호화되어있는지여부에관계없이소스호스트에서가상머신을암호화한다음대상호스트에서암호화를해제할수있음을알게되었습니다. 또한이미가상머신이암호화된경우추가설정없이암호화된 vmotion 을사용할수있다는것도알게되었습니다. 그러나가상머신이이미암호화되지않은경우원한다면호스트간 vmotion 을수행하기위해암호화하도록수동으로선택할수있습니다. Page 142

PowerCLI - vcenter 및암호화된가상머신목록에연결 이과정에서는 PowerCLI 를사용하여 vcenter Server 에연결합니다. 그런다음 vcenter Server 에서가상머신목록을가져와암호화되어있는지여부를확인하는명령을실행합니다. 하지만 PowerCLI 암호화명령에액세스하려면먼저 VMware 암호화모듈을추가해야합니다. VMware.VMEncryption.psd1 및 VMware.VMEncryption.psm1 의두파일은작업중인 "C:\LabFiles\HOL-1911\" 폴더의가상머신에있습니다. PowerCLI 시작 1. 바탕화면에서 VMware PowerCLI 아이콘을두번클릭하여 PowerCLI 를시작합니다. PowerCLI - 모듈임포트 VMware.VMEncryption 모듈을이미임포트한경우아래단계는건너뛸수있습니다. Page 143

1. PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Import-Module -Name "C:\Labfiles\HOL-1911\VMware.VMEncryption.psd1" 2. PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Import-Module -Name "C:\Labfiles\HOL-1911\VMware.VMEncryption.psm1" PowerCLI - vcenter Server 에연결 PowerCLI 에서 vcsa-01a.corp.local vcenter Server 에다시연결해야합니다. 1. PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Connect-VIServer -server vcsa-01a.corp.local -user administrator@corp.local -password VMware1! 2. vcenter Server 에성공적으로연결한경우이름과포트, 연결한관련사용자계정이표시됩니다. Page 144

PowerCLI - 암호화상태나열 PowerCLI 명령을사용하여 vsphere Web Client 에서와같이 core-01a 가암호화되었는지여부를확인할수있습니다. 1. vcenter Server 의가상머신암호화상태를확인하려면다음명령을입력합니다. Get-VM Select Name, Encrypted Encrypted( 암호화됨 ) 열의 False 값을통해가상머신 (app-01a, kms-01a, core-01a and template-01a) 중에서현재암호화된가상머신이없다는것을알수있습니다. 참고 : 이명령을실행해도 TRUE 또는 FALSE 상태가확인되지않을경우이는두 Import-Module 명령을다시실행해야함을의미합니다. 이과정의시작부분에나와있는단계에서해당명령을참조하십시오. 참고 : 다음두과정에서사용해야하므로 PowerCLI 창을닫지마십시오. 또한 PowerCLI 창을닫으면암호화모듈을다시임포트하기위해 Import-Module PowerCLI 명령을다시실행해야합니다. PowerCLI - vcenter 및암호화된가상머신목록에연결 - 완료 이과정에서는 Connect-VIServer -Server vcenterservername -User username - Password password 명령을실행하여 vcenter Server 에연결했습니다. 명령을실행하기위해서는먼저 vcenter Server 에연결해야합니다. 또한연결된 vcenter Server 의모든가상머신목록에대해암호화여부를 true 또는 false 상태로표시하는 Get-VM Select Name, Encrypted 를실행했습니다. true 상태는가상머신이이미암호화되었음을의미합니다. Page 145

PowerCLI - 가상머신암호화 / 암호화해제 이과정에서는 PowerCLI 를사용하여가상머신을암호화하고다시해제합니다. 그런다음또다른 PowerCLI 명령을사용하여가상머신이실제로암호화되었는지확인합니다. PowerCLI - core-01a 암호화 1. core-01a 가상머신을암호화하기위해 PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Get-VM -Name "core-01a" Enable-VMEncryption 2. 그런다음 Type Value( 유형값 ) 아래 Task-1723 이반환되는지확인합니다. 이값은가상머신에대해 vsphere Web Client 의 monitoring( 모니터링 ) 탭아래 Tasks( 작업 ) 섹션에서참조하기위해사용할수있습니다. 참고 : 실습환경의작업번호는화면캡처와다를수있습니다. 암호화 / 암호화해제 PowerCLI 명령을실행할때마다다른 Task-#### 번호가반환됩니다. Page 146

vsphere Web Client - core-01a 1. 이제 core-01a 가상머신이암호화되었는지확인하기위해 PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Get-VM Select Name, Encrypted 2. core-01a 가상머신에 True 상태가표시되어이제암호화되었음을알수있습니다. 참고 : 이실습에서이전모듈을완료했는지여부에따라실습환경의가상머신의이름과순서는화면캡처와다를수있습니다. 참고 : 이명령을실행해도 TRUE 또는 FALSE 상태가확인되지않을경우이는두 Import-Module 명령을다시실행해야함을의미합니다. 이과정의시작부분에나와있는단계에서해당명령을참조하십시오. vsphere Web Client - Google Chrome 최대화 이제이번에는 vsphere Web Client 를통해 core-01a 가상머신이실제로암호화되었는지확인해보겠습니다. 1. 작업표시줄에서최소화되어있는 Google Chrome 아이콘을클릭하여 vsphere Web Client 를최대화합니다. Page 147

vsphere Web Client - core-01a 1. 탐색창의 vcsa-01a.corp.local vcenter Server 아래에서 core-01a 가상머신을클릭합니다. vsphere Web Client - 규정준수확인 탐색창에 core-01a 가상머신이선택된상태에서다음단계를수행합니다. 1. core-01a 의컨텐츠창에서스크롤막대를사용하여 VM Storage Policies( 가상머신스토리지정책 ) 위젯이표시될때까지페이지하단으로이동합니다. 2. Check Compliance( 규정준수확인 ) 링크를클릭합니다. 3. 이제가상머신에 VM Encryption Policy( 가상머신암호화정책 ) 이지정되어있고녹색확인표시를통해규정을준수하고있음을알수있습니다. Page 148

Chrome 최소화 1. 최소화아이콘을클릭하여 Google Chrome 을최소화합니다. PowerCLI - 최대화 ( 필요할경우 ) PowerCLI 창이최대화되어있지않은경우아래단계를수행합니다. 최대화되어있으면아래단계를건너뛸수있습니다. 1. 작업표시줄에서최소화되어있는 PowerCLI 아이콘을클릭하여 Chrome 을최대화합니다. PowerCLI - core-01a 암호화해제 1. core-01a 가상머신의암호화를해제하기위해 PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Get-VM -Name core-01a Disable-VMEncryption 2. 그런다음 Type Value( 유형값 ) 아래 Task-1724 가반환되는지확인합니다. 이값은가상머신에대해 vsphere Web Client 의 monitoring( 모니터링 ) 탭아래 Tasks( 작업 ) 섹션에서참조하기위해사용할수있습니다. Page 149

참고 : 실습환경의작업번호는화면캡처와다를수있습니다. 암호화 / 암호화해제 PowerCLI 명령을실행할때마다다른 Task-#### 번호가반환됩니다. PowerCLI - core-01a 의암호화상태 1. 이제 core-01a 가상머신의암호화가해제되었는지확인하기위해 PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Get-VM Select Name, Encrypted 2. core-01a 의상태가 False 로표시되어더이상암호화되지않고있음을알수있습니다. 참고 : 이실습에서이전모듈을완료했는지여부에따라실습환경의가상머신의이름과순서는화면캡처와다를수있습니다. Google Chrome 최대화 이제이번에는 vsphere Web Client 를통해 core-01a 가상머신이실제로암호화가해제되었는지확인해보겠습니다. 1. 작업표시줄에서최소화되어있는 Google Chrome 아이콘을클릭하여 vsphere Web Client 를최대화합니다. Page 150

vsphere Web Client - core-01a 1. 탐색창의 vcsa-01a.corp.local vcenter Server 아래에서 core-01a 가상머신을클릭합니다. vsphere Web Client - 규정준수확인 Page 151

탐색창에 core-01a 가상머신이선택된상태에서다음단계를수행합니다. 1. core-01a 의컨텐츠창에서스크롤막대를사용하여 VM Storage Policies( 가상머신스토리지정책 ) 위젯이표시될때까지페이지하단으로이동합니다. 2. VM Storage Policies( 가상머신스토리지정책 ) 위젯에서 Check Compliance( 규정준수확인 ) 링크를클릭합니다. 3. 가상머신의암호화가해제되어이제 VM Storage Policies( 가상머신스토리지정책 ) 에아무것도표시되지않습니다. PowerCLI - 가상머신암호화 / 암호화해제 - 완료 이과정에서는 PowerCLI 를사용하여가상머신을암호화하고다시해제하는방법을알아보았습니다. 이방법은더간편하고효율적으로작업을수행할수있어한번에여러가상머신을암호화및암호화해제할때특히유용합니다. 또한모든가상머신의목록에대해암호화되었는지에따라 True/False 값을제공하는 Get-VM Select Name, Encrypted PowerCLI 명령을사용하여각단계를확인했습니다. Page 152

PowerCLI - 암호화된가상머신및사용된 KMS Server 표시 이과정에서는암호화된가상머신의상태를반환하고화면을지우며사용중인기본 KMS Server 를확인하고가상머신의목록에대해암호화여부및사용된 KMS Server 를나열하는 PowerCLI 명령을실행합니다. Chrome 최소화 1. 최소화아이콘을클릭하여 Google Chrome 을최소화합니다. 화면지우기 1. PowerCLI 창에다음명령을입력하여화면을지웁니다. clear Page 153

PowerCLI - core-01a 암호화 1. core-01a 가상머신을암호화하기위해 PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Get-VM -Name core-01a Enable-VMEncryption 2. 그런다음 Type Value( 유형값 ) 아래 Task-1723 이반환되는지확인합니다. 이값은가상머신에대해 vsphere Web Client 의 monitoring( 모니터링 ) 탭아래 Tasks( 작업 ) 섹션에서참조하기위해사용할수있습니다. 참고 : 실습환경의작업번호는화면캡처와다를수있습니다. 암호화 / 암호화해제 PowerCLI 명령을실행할때마다다른 Task-#### 번호가반환됩니다. PowerCLI - Get-VM -Name core-01a Get-VMEncryptionInfo 1. core-01a 에대한추가암호화관련정보를확인하기위해다음명령을입력합니다. Get-VM -Name core-01a Get-VMEncryptionInfo Page 154

2. core-01a 에지정된가상머신암호화정책및 KMS Server 와의연결상태, 사용중인 KeyId 가표시됩니다. 참고 : 이예에서는 core-01a 에대한정보를확인하기위해 "Get-VM core-01a Get- VMEncryptionInfo" 명령을사용했습니다. vcenter Server 의모든가상머신에대한정보를확인하려면이명령대신 "Get-VM Get-VMEncryptionInfo" 를사용합니다. PowerCLI - Get-VM Select name, KMSServer 1. 가상머신을암호화하는데사용된 KMS Server 를확인하려면다음명령을입력합니다. Get-VM Select Name, KMSServer 2. KMS 클러스터서버이름으로 HOL-KMS-01a 가표시되는것을통해현재 core-01a 가암호화된상태라는것을알수있습니다. PowerCLI - Get-DefaultKMSCluster 1. 기본 KMS 클러스터를확인하려면다음명령을입력합니다. VMware.VimAutomation.Storage\Get-KmsCluster 2. 예상대로기본 KMS 클러스터로 HOL-KMS-01a 가표시됩니다. 참고 : 이전버전의 PowerCLI 에서는같은정보를확인하기위해 Get-DefaultKMSCluster 명령을사용했습니다. 그러나이명령은더이상사용되지않습니다. Page 155

PowerCLI 닫기 1. 사용이끝난 PowerCLI 애플리케이션을닫기위해 "X" 를클릭합니다. PowerCLI - 암호화된가상머신및사용된 KMS Server 표시 - 완료 이과정에서는 Get-VM Get-VMEncryptionInfo 명령을사용하여각가상머신에대한몇가지세부정보및암호화관련정보를확인했습니다. 또한 Get-VM Select Name, KMSServer 를사용하여모든가상머신의목록과암호화된경우사용된 KMS Server 에대한정보를확인했습니다. 그런다음 VMware.VimAutomation.Storage\Get-KmsCluster 명령을사용하여가상머신암호화에사용되는기본 KMS 클러스터를확인했습니다. Page 156

PowerCLI - 기본 KMS Server 변경 이과정에서실습환경의설정방식으로인해기본 KMS Server 를변경하는실제 PowerCLI 명령을실행하지않습니다. 이명령을실행하려면둘이상의 KMS Server 가연결되어있고단일 vcenter Server 와신뢰관계가형성되어야합니다. 따라서참조를위해명령을알아보기만하고실습환경에서실행하지는않습니다. PowerCLI - Get-KmsCluster 현재기본 KMS 클러스터를확인하려면다음명령을입력합니다. 예 : VMware.VimAutomation.Storage\Get-KmsCluster 새 KMS 클러스터설정 새기본 KMS 클러스터를설정하려면다음명령을입력합니다. 예 : Set-DefaultKMSCluster -KMSCluster "New_KMS_Cluster_Name" PowerCLI - 새 KMS Server 에대해가상머신암호화 새기본 KMS Server 로전환한후이서버를사용하여가상머신을암호화할수있는지확인해보겠습니다. 예 : Get-VM -Name "VM-Name" Enable-VMEncryption 이명령을입력하면작업번호가반환되며이는오류없이성공적으로명령을실행했음을나타냅니다. 따라서새기본 KMS Server 를사용하여가상머신을암호화할수있음을알수있습니다. PowerCLI - Get-KmsCluster KMS 클러스터를변경한후현재의기본 KMS 클러스터를확인하기위해다음명령을다시실행합니다. 예 : VMware.VimAutomation.Storage\Get-KmsCluster PowerCLI - 기본 KMS Server 변경 - 완료 PowerCLI 를사용하여가상머신에서다양한암호화관련작업을수행하는모듈을완료했습니다. 먼저 VMware.VimAutomation.Storage\Get-KmsCluster 명령을실행하여기본 KMS 클러스터 / 서버를확인했습니다. 그런다음 Set-DefaultKMSCluster -KMSCluster Page 157

"New_KMS_Cluster_Name" 명령을실행하여 HyTrust KMS Cluster 2 로기본클러스터를변경했습니다. 기본클러스터가변경되었는지확인한후마지막으로가상머신을암호화하여새기본 KMS Server 를사용할수있는지확인했습니다. Page 158

결론 모듈 3 을완료했습니다. 이실습에서는 HyTrust KMS Server 를 vcenter Server 에추가하여두서버간신뢰를형성하는방법을알아보았습니다. 그런다음 vsphere Web Client 를사용하여기본가상머신암호화스토리지정책을검토했습니다. 그런다음여러 PowerCLI 명령을수행하여가상머신을암호화및암호화해제하고새로운 KMS Server 로변경하는방법등에대해알아보았습니다. 다음모듈 () 을계속진행하거나원하는다른모듈로건너뛸수있습니다. (15 분, 초급 ) 이모듈에서는 ESXi 호스트의암호복잡성요구사항과호스트에대한요구사항설정을자동화하는방법에대해알아봅니다. 이러한보안규정준수요구사항으로인해어려움을겪고있다면이실습이많은도움이될것입니다. 이실습에서는클러스터내모든호스트에대해 ESXi 사용자의암호복잡성규칙을설정하는 PowerCLI 스크립트를실행합니다. (30 분, 초급 ) 이모듈에서는 vsphere 시스템관리자가 vsphere 6.7 및 vrealize Log Insight 의향상된로깅기능을사용하여 vcenter 에서실제로누가무엇을했는지알아보는방법에대해살펴봅니다. 또한이모듈에서는시스템관리자가신속하게가상머신을재부팅한사용자는물론 ESXi 에대한유효하거나허용되지않은로그인시도를확인할수있는맞춤형대시보드를만드는방법을알아봅니다. (30 분, 초급 ) 이모듈에서는가상머신및 vsphere 호스트에대한보안부팅지원을사용하는 vsphere 6.5 기능에대해살펴봅니다. vsphere 6.7 의새로운기능으로호스트와가상머신에가상 TPM 2.0 을추가하는기능이추가되었습니다. UEFI 보안부팅은 OS 핸드오프이전에신뢰할수있는코드만 EFI 펌웨어가로드하도록보장하는메커니즘입니다. 신뢰여부는펌웨어에서관리되는키및인증서에따라결정됩니다. 가상머신내부에이러한기능을구현함으로써가상머신에서 EFI 지원 OS 의보안부팅이가능합니다. (15 분, 고급 ) vsphere 6.5 버전부터제공되는암호화기능으로인해시스템관리자의가상머신암호화를제한할필요가생김에따라암호화제외시스템관리자역할이제공됩니다. 이새역할은 vcenter Server 시스템관리자와사용권한이동일하지만가상머신암호화 / 암호화해제, 데이터스토어탐색또는암호화된가상머신파일다운로드를수행할수없습니다. (30 분, 고급 ) vsphere 6.7 의새보안기능에는가상머신용가상 TPM(Trusted Platform Module) 2.0 버전사용이포함됩니다. 또한 Windows 10 에서 Microsoft 의 VBS(Virtualization Based Security) 및 Credential Guard 기능을사용하기위한통합이포함되어있습니다. 이를수행하기위해 vtpm 2.0 및 VBS 를활성화할것입니다. 가상머신암호화참고자료 : 다음은새로운암호화관련 vsphere 6.7 기능조합에대해알아보는데도움이되는몇가지추가참고자료입니다. 참고 : 실습설명서의 VMware 참고자료에대한링크는참조용으로만제공됩니다. 실습환경은인터넷연결이제공되지않을수있으므로실습환경내에서이러한참고자료를보지못할수있습니다. 제공되는링크에연결할수없는경우링크를수동으로기록하거나모바일기기를사용하여사진을 Page 159

찍으십시오. 또한이링크중일부는새버전릴리스로인해제공이중단되어더이상사용하지못할수있습니다. VMware vsphere 블로그 : vsphere 6.7 보안소개 : https://blogs.vmware.com/ vsphere/2018/04/introducing-vsphere-6-7-security.html VMware vsphere 블로그 : vsphere 6.7 - ESXi 및 TPM 2.0: https://blogs.vmware.com/vsphere/2018/04/vsphere-6-7-esxi-tpm-2-0.html VMware vsphere 블로그 : vsphere 6.7의 VBS(Virtualization Based Security) 및 CG(Credential Guard) 지원소개 : https://blogs.vmware.com/ vsphere/2018/05/introducing-support-virtualization-based-security-credentialguard-vsphere-6-7.html VMware vsphere 블로그 : vsphere 6.7 - vtpm( 가상 Trusted Platform Modules): https://blogs.vmware.com/vsphere/2018/05/vsphere-6-7-virtualtrusted-platform-modules.html VMware vsphere 블로그 : vsphere 6.7 보안 - 미디어자료 : https://blogs.vmware.com/vsphere/2018/05/vsphere-6-7-security-mediaresources.html# VMware vsphere 블로그 : vsphere 6.7 - 보안 FAQ: https://blogs.vmware.com/ vsphere/2018/05/vsphere-6-7-security-faqs-now-available.html VMware vsphere 6.7 워크스루 - 가상머신의암호화및암호화해제 : https://vspherecentral.vmware.com/t/security/encryption/encrypting-anddecrypting-a-virtual-machine/ VMware vsphere 6.7 워크스루 - Credential Guard 및가상 TPM을사용하도록 Windows 가상머신을구성하는방법 : https://vspherecentral.vmware.com/t/ security/guest-security-features/how-to-configure-windows-vm-for-use-withcredential-guard-and-virtual-tpm/ VMware vsphere - 유튜브채널 : https://www.youtube.com/ playlist?list=plymly4xjsthro4ol4w3pgswski4zkt3rs VMware Tech Pubs - 유튜브채널 - PowerCLI: https://www.youtube.com/ watch?v=rkzndqc5pmk&list=plmp0id7ykiecvqagvudaucqcsk71uthmi VMware vbrownbag - 유튜브채널 : https://www.youtube.com/ watch?v=kedu0rpwnhk VMware vsphere - 유튜브채널 - vsphere 6.7: https://www.youtube.com/ playlist?list=pl33100e2d51179c12 VMware {code} - PowerCLI: https://code.vmware.com/web/dp/tool/vmwarepowercli/10.1.0 vsphere 6.7 설명서 - PowerCLI Cmdlets 참조가이드 : https://www.vmware.com/ support/developer/powercli/powercli651/html/ VMware PowerCLI 10.0.0 참조포스터 : https://blogs.vmware.com/powercli/ 2018/04/new-release-powercli-poster.html Page 160

선택사항 : 실습종료방법 참고 : 실습에서 END( 종료 ) 버튼을클릭하면실습이종료되고관련가상머신이삭제됩니다. 따라서실습을다시시작하면이전실습인스턴스가아닌새가상머신의새인스턴스가생성됩니다. 이전의모든설정은사라지고실습이처음배포될때의기본설정으로돌아갑니다. 이제다음모듈을계속진행하거나목차를사용하여원하는다른모듈로건너뛸수있습니다. 실습을끝내려면 END( 종료 ) 버튼을클릭합니다. 참고 : 실습을종료한후다른모듈을실행하려면실습에다시등록해야합니다. Page 161

모듈 4 - 호스트및가상머신의 보안부팅 (30 분 ) Page 162

소개 이모듈 ( 모듈 4 - 호스트및가상머신의보안부팅 ) 에서는호스트및가상머신에대해보안부팅을구성하는단계를수행해봅니다. ESXi 호스트의보안부팅은 vsphere 6.5 에서처음도입되었으며, 새로추가된 vsphere 6.7 보안기능을구성하여 vsphere 호스트에가상 TPM(vTPM) 을추가할것입니다. 하드웨어 TPM(Trusted Platform Module) 이있어야하거나매핑할필요가없습니다. 새네트워크카드를추가하는것처럼새디바이스로 vtpm 을추가하기만하면됩니다. 표준 Microsoft 드라이버를사용하며, 또한 OS 변경이나특별한소프트웨어가필요없습니다. 다음과같은단계를수행합니다. 호스트에서명되지않은 VIB(vSphere Installation Bundle) 를설치합니다. 보안부팅을사용하도록설정하고호스트전원을켭니다. PSOD(Purple Screen of Death) 를검토합니다. 보안부팅을해제합니다. 호스트에서서명되지않은 VIB(vSphere Installation Bundle) 를제거합니다. 가상머신에서보안부팅이해제되었는지확인합니다. ESXi 호스트를구성하여 Virtual TPM 2.0 디바이스를추가합니다. 가상머신에보안부팅을사용하도록설정합니다. 보안부팅및 UEFI 개요 참고 : 실습설명서의 VMware 참고자료에대한링크는참조용으로만제공됩니다. 실습환경은인터넷연결이제공되지않을수있으므로이러한참고자료를보지못할수있습니다. 제공되는링크에연결할수없는경우링크를수동으로기록하거나모바일기기를사용하여사진을찍으십시오. UEFI(Unified Extensible Firmware Interface) 는원래 IBM PC 에서유래된기존 BIOS 펌웨어를대체합니다. UEFI 가제공하는기능에대해자세히알아보려면 Wikipedia 의 UEFI 개요를읽어보시기바랍니다. 이실습에서는 ESXi 와관련된 UEFI 및보안부팅에대해집중적으로살펴보겠습니다. UEFI 에서보안부팅은 UEFI 펌웨어의한 프로토콜 을말합니다. 이기능은부트로더가손상되지않았는지확인하기위해펌웨어의디지털인증서에대해디지털서명을검증하도록설계되었습니다. 데스크톱또는랩톱의손상은일반적으로루트킷에맬웨어가설치된경우에발생합니다. 그렇게되면디지털서명이변경되며, 이를확인한 UEFI 펌웨어는부팅을중단합니다. UEFI 는허용된 / 유효한디지털인증서를서명데이터베이스 (DB) 에저장할수있습니다. 금지된인증서 (DBX), KEK(Key Exchange Keys) 데이터베이스및플랫폼키에대한차단목록도있습니다. 이는호스트에설치된펌웨어부터시작하는신뢰루트의기반이됩니다. 이러한디지털인증서는 UEFI 펌웨어가부트로더를검증하는데사용됩니다. 부트로더는일반적으로암호화된방식으로서명되며디지털서명은펌웨어의인증서에연결됩니다. 거의모든 UEFI 펌웨어구현에서기본디지털인증서는 x509 Microsoft UEFI 공개 CA 인증서입니다. 대부분의 UEFI 구현에서는추가디지털인증서를설치할수도있습니다. 이는자신의고유인증서와대조하여서명된사용자지정부트로더를개발하는경우에주로사용됩니다. UEFI 펌웨어에해당인증서를설치할수있으며 UEFI 는이인증서와비교하여부트로더를검증합니다. Page 163

기본인증서는 VMware 가아닌서버벤더의펌웨어설치에포함되며, 서버에서 UEFI 펌웨어를업데이트할때디지털인증서도포함됩니다. ESXi 의 UEFI 및보안부팅구현방법 ESXi 6.7 은디지털인증서를저장하고부트로더를검증하는펌웨어의기능을기반으로구축되었습니다. ESXi 를구성하는몇가지요소로는부트로더, 가상머신커널, 보안부팅검증도구, VIB( vsphere Installation Bundles ) 가있습니다. 각구성요소는암호화된방식으로서명되어있습니다. 각구성요소에대해살펴보겠습니다. 부트로더 위에서설명했듯이 UEFI 펌웨어는부트로더의무결성을검증하기위해부트로더의디지털서명을확인합니다. 일반적으로루트킷의보안위협을완화하는이단계까지만수행하는운영체제가많습니다. 그러나 ESXi 는아닙니다. 여기서더나아가제공되는모든컨텐츠가암호화된방식으로서명되도록보장합니다. ESXi 부트로더는 Microsoft UEFI Public CA 인증서를사용하여서명됩니다. 따라서표준 UEFI 보안부팅펌웨어가 VMware 부트로더를검증할수있습니다. 부트로더코드에도 VMware 퍼블릭키가포함됩니다. 이 VMware 키는 VIB 검증에사용되는보안부팅검증도구를포함하여몇가지시스템요소와가상머신커널을검증하는데사용됩니다. 가상머신커널 가상머신커널또한 VMware 퍼블릭키를사용하여암호화된방식으로서명됩니다. 부트로더는보유하고있는 VMware 퍼블릭키를사용하여커널을검증합니다. 가상머신커널은가장먼저보안부팅검증도구를실행합니다. 보안부팅검증도구 보안부팅검증도구는 VMware 퍼블릭키에대해암호화된방식으로서명된모든 VIB 를검증합니다. VMware 퍼블릭키는보안부팅검증도구의코드베이스에포함되어있습니다. ( 그림에나와있듯이 ESXi 부트로더및보안부팅검증도구의두곳에 VMware 퍼블릭키가저장됨 ) VIB VIB(vSphere Installation Bundle) 는하나의 패키지 로서파일아카이브 (TAR g-zipped 파일 ), XML 설명자파일및디지털서명파일로구성됩니다. ( 자세한내용은 https://blogs.vmware.com/vsphere/2011/09/whats-in-a-vib.html 참조 ) ESXi 가부팅되면 VIB(vSphere Installation Bundle) 의컨텐츠에매핑되는파일시스템을메모리에생성합니다. 암호화된방식으로서명된 패키지 내에서만파일이사용될경우모든파일을서명할필요없이패키지만서명하면됩니다. 사전요구사항 : 하드웨어가 UEFI 보안부팅을지원하는지확인합니다. 펌웨어업그레이드확인이필요할수있습니다. Page 164

모든 VIB 가수락가능한최소수준인 PartnerSupported 이상으로서명되어있는지확인합니다. CommunitySupported 수준의 VIB 가포함될경우보안부팅을사용할수없습니다. 호스트를 6.7 로업그레이드했지만보안부팅을한번도사용하지않은경우 ESXi 호스트에있는검증스크립트를실행할수있습니다. 스크립트를실행하는명령은다음과같습니다. /usr/lib/vmware/secureboot/bin/secureboot.py -c 실행후보안부팅을사용하도록설정할수있음또는보안부팅을사용하도록설정할수없음으로결과를표시합니다. 보안부팅을사용하도록설정할수없는경우위에서 업그레이드관련문제 를참조하십시오. 클린설치가필요한상황일수있습니다. ESXi 는계속실행할수있지만 ESXi 의보안부팅은사용할수없습니다. PSOD, 서명되지않은 VIB 및파일무결성모니터링 (FIM) PSOD(Purple Screen of Death) ESXi 호스트에서명되지않은 VIB(vSphere Installation Bundle) 가있는상태에서펌웨어에보안부팅을사용하도록설정한경우 ESXi 는 VIB(vSphere Installation Bundle) 가서명되지않았음을나타내는보라색화면으로부팅됩니다. 다음과유사한오류메시지가표시됩니다. 이문제를해결하기위해서는다음을수행합니다. 다시시작하여 UEFI 펌웨어에서보안부팅을해제한후호스트를부팅합니다. 부팅되면호스트에로그인하여문제가된 VIB 를제거하고종료합니다. 다시보안부팅을사용하도록설정한후호스트를다시시작하여시스템을정상적으로부팅합니다. 이미서명되지않은코드가설치된경우에만이상황이발생할수있습니다. Page 165

보안부팅을사용하는호스트의전원켜기 이레슨에서는 UEFI 보안부팅을사용하도록설정한호스트에서정상적으로전원을켜보겠습니다. Google Chrome 시작 새 Google Chrome 브라우저창을열려는경우아래단계를수행하고그렇지않으면이단계를건너뛸수있습니다. 1. 빠른실행작업표시줄에있는 Google Chrome 아이콘을클릭합니다. 참고 : Google Chrome 이이미열려있을경우다음단계로넘어갑니다. RegionA vcenter RegionA vcenter Server Web Client 가열려있지않을경우아래단계를수행합니다. 1. 북마크도구모음에서 RegionA 폴더를클릭합니다. 2. RegionA vsphere Client (HTML) 를클릭합니다. Page 166

RegionA vcenter Server 에로그인 RegionA vcenter Server 에로그인되어있으면이단계를건너뛸수있지만그렇지않다면아래단계를완료합니다. 1. 사용자이름필드에 administrator@corp.local 을입력합니다. 2. 암호필드에 VMware1! 를입력합니다. 3. Login( 로그인 ) 버튼을클릭합니다. Page 167

호스트메뉴 1. 컨텐츠창상단의 Menu( 메뉴 ) 아이콘을클릭합니다. 2. Menu( 메뉴 ) 드롭다운에서 Hosts and Clusters( 호스트및클러스터 ) 를선택합니다. Page 168

esx-03b 중첩 ESXi Server 이제 esx-03b 중첩 ESXi 호스트에대해살펴보겠습니다. 여기서는보안부팅을사용하지않습니다. 1. 탐색창에서 esx-03b 가상머신을클릭합니다. 참고 : 시작한모듈에따라실습환경의가상머신의목록은화면캡처와다르게표시될수있습니다. Page 169

esx-03b - 콘솔열기 탐색창에 esx-03b 가상머신이선택된상태에서컨텐츠창으로이동하여다음단계를수행합니다. 1. 컨텐츠창에서 Launch Web Console( 웹콘솔시작 ) 링크를선택합니다. Page 170

esx-03b - 콘솔창 이전단계에서 Launch Web Console( 웹콘솔시작 ) 링크를클릭하면자동으로콘솔이열린새탭이표시되어야합니다. 1. 호스트는이전에정상적으로시작되어문제가되는 PSOD(Purple Screen of Death) 가없어야합니다. 보안부팅을사용하지않으며서명되지않은 VIB 가설치되지않은호스트가정상적으로부팅된경우다음과같은화면이표시됩니다. Google Chrome 최소화 1. Google Chrome 창의오른쪽상단에서 Minimize( 최소화 ) 아이콘을클릭합니다. Page 171

서명되지않은 VIB 설치 이레슨에서는서명되지않은 VIB(vSphere Installation Bundle) ZIP 파일을 ESXi 가상호스트 (esx-03b) 디렉토리에복사하여설치준비를합니다. 그런다음가상 ESXi 호스트에연결하여서명되지않은 VIB(vSphere Installation Bundle) 설치명령을실행합니다. 서명되지않은 VIB 를설치한후보안부팅을사용하도록설정된상태에서 ESXi 호스트를재부팅하면 PSOD(Purple Screen of Death) 가표시됩니다. 프로그램메뉴 이제 esx-03b 가상머신에서명되지않은 VIB(vSphere Installation Bundle) 파일을복사해야하며, 이를위해 WinSCP 애플리케이션을사용하겠습니다. 1. 가상머신왼쪽하단의 Windows 버튼을클릭합니다. 2. 메뉴에서 All Programs( 모든프로그램 ) 항목을클릭합니다. Page 172

WinSCP 열기 1. All Applications( 모든애플리케이션 ) 드롭다운메뉴에서 WinSCP 애플리케이션을클릭합니다. Page 173

esx-03b 에연결 1. 애플리케이션왼쪽의메뉴에서 New Site( 새사이트 ) 를클릭합니다. 2. Host name( 호스트이름 ) 텍스트필드에 esx-03b.corp.local 을입력합니다. 3. User name( 사용자이름 ) 텍스트필드에 root 를입력합니다. 4. Password( 암호 ) 텍스트필드에 VMware1! 를입력합니다. 5. Login( 로그인 ) 버튼을클릭하여 esx-03b.corp.local 에연결합니다. WinSCP - 보안 ( 필요할경우 ) 처음으로 WinSCP 를통해 esx-03b.corp.local 에연결할경우보안팝업창이표시되며다음단계를수행해야합니다. 이전실습에서이미수락한경우이단계를다시수행하지않아도됩니다. 1. Yes( 예 ) 버튼을클릭하여중첩호스트에대한연결을허용합니다. Page 174

WinSCP - 드라이브루트 1. 백슬래시가있는폴더아이콘을클릭하여창왼쪽의 Control( 제어 ) 가상머신의 C:\ 드라이브루트로이동합니다. WinSCP - 실습파일폴더 1. 실습파일폴더를두번클릭하여엽니다. Page 175

WinSCP - HOL-1911 폴더 1. HOL-1911 폴더를두번클릭하여엽니다. net-tulip-1.1.15-1-offline_bundle.zip 1. net-tulip-1.1.15-1-offline_bundle.zip 파일을클릭합니다. Page 176

esx-03b - /tmp 폴더 net-tulip-1.1.15-1-offline_bundle.zip 파일을호스트로복사 1. 왼쪽 (Control 가상머신 ) 에서 net-tulip-1.1.15-1-offline_bundle.zip 파일을창오른쪽 esx-03b 호스트의 /tmp 폴더로끌어서놓습니다. Page 177

WinSCP 닫기 1. WinSCP 창의오른쪽상단에있는 "X" 를클릭하여애플리케이션을닫습니다. WinSCP 종료확인 1. OK( 확인 ) 버튼을클릭하여 WinSCP 애플리케이션의종료를확인합니다. Putty 열기 이제 Putty 를사용하여가상호스트에연결한후서명되지않은 VIB(vSphere Installation Bundle) 설치명령을실행합니다. 1. 작업표시줄에서 Putty 아이콘을클릭합니다. Page 178

esx-03b - Putty 를통해연결 1. 스크롤막대를사용하여목록에서 esx-03b.corp.local 이표시될때까지아래로스크롤합니다. 2. esx-03b.corp.local 을클릭합니다. 3. Load( 로드 ) 버튼을클릭합니다. 4. Open( 열기 ) 버튼을클릭합니다. Page 179

Putty 보안알림 ( 필요할경우 ) 처음으로 Putty 를사용하여 esx-03b 에연결할경우다음단계를수행해야합니다. 그렇지않으면다음단계로건너뛸수있습니다. 1. Putty 보안알림팝업창에서 Yes( 확인 ) 버튼을클릭하여호스트에연결합니다. esx-03b - Putty 를통해로그인 1. Password( 암호 ) 에아래와같이입력하고 Enter 키를누릅니다. VMware1! Page 180

2. 다음명령을입력하고 Enter 키를눌러읽기쉽도록화면을지웁니다. clear esx-03b - VIB 설치 이제 esx-03b 에서명되지않은 VIB 설치를시도합니다. 1. Putty 에다음명령을입력합니다 ( 실습설명서에서텍스트를복사하여 Putty 창으로끌어놓을수있으며, 단, 명령텍스트필드앞뒤에추가문자를복사하지않도록주의해야함 ). esxcli software vib install -d /tmp/net-tulip-1.1.15-1-offline_bundle.zip --force --no-sig-check 2. "The Update Completed successfully, but the system needs to be rebooted for the changes to be effective".( 업데이트가성공적으로완료되었지만변경사항을적용하려면시스템을재부팅해야합니다.) 라는내용의메시지가표시됩니다. 이메시지를통해문제없이설치가완료되었음을알수있습니다. 3. 이제다음명령을입력하여 Putty 를종료합니다. exit esx-03b - Chrome 최대화 Page 181

서명되지않은 VIB 를설치할수있도록 esx-03b 의보안부팅을해제해야합니다. 1. 작업표시줄에서최소화된 Google Chrome 창을클릭하여다시최대화합니다. esx-03b - 탭닫기 1. Google Chrome 탭의 "X" 를클릭하여종료합니다. esx-03b - 게스트 OS 종료 1. esx-03b 를마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를클릭합니다. 3. Shut Down Guest OS( 게스트 OS 종료 ) 를클릭합니다. 서명되지않은 VIB 설치 - 완료 esx-03b 호스트에서명되지않은 VIB(vSphere Installation Bundle) 를설치하는이레슨을완료했습니다. 원할경우 VIB(vSphere Installation Bundle) 를설치하는이방법을사용하여 vsphere Page 182

패치및업데이트를설치할수도있습니다. 이후다음레슨을준비하기위해호스트의전원을껐습니다. Page 183

보안부팅설정및호스트전원켜기 호스트전원을켜기전에호스트설정에서보안부팅을사용하도록설정해야합니다. 일반물리적호스트일경우호스트의 BIOS 설정에서보안부팅을사용하도록설정해야합니다. 물리적서버의정확한 BIOS 설정및위치는서버벤더에따라서로조금씩다를수있습니다. esx-03b - 설정편집 참고 : 가상머신이완전히종료된후다음단계를수행해야합니다. 1. esx-03b 를마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Edit Settings( 설정편집 ) 를클릭합니다. Page 184

esx-03b - 가상머신옵션 1. VM Options( 가상머신옵션 ) 탭을클릭합니다. 2. Secure Boot( 보안부팅 ) 설정의오른쪽에있는확인란을선택합니다. 3. OK( 확인 ) 버튼을클릭합니다. Page 185

esx-03b - 전원켜기 1. esx-03b 를마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 3. Power On( 전원켜기 ) 을클릭합니다. esx-03b - 웹콘솔시작 Page 186

다음단계를계속하기전에 esx-03b 의부팅이완료될때까지기다립니다. 1. 탐색창에 esx-03b 가선택된상태에서 Launch Web Console( 웹콘솔시작 ) 링크를클릭하여브라우저탭에콘솔세션을엽니다. esx-03b - PSOD(Purple Screen of Death) 1. 부팅완료후 PSOD(Purple Screen of Death) 에 "UEFI Secure Boot: Failed" Failed to verify signatures of the following vib(s): [ProFTPD]. All tardisks validated"(uefi 보안부팅 : 실패, 다음 VIB 의서명검증실패 : [ProFTPD], 모든압축디스크검증됨 ) 라는메시지가표시됩니다. 참고 : 전단계에서호스트에서명되지않은 VIB(vSphere Installation Bundle) 를설치했기때문에이는예상된결과입니다. 보안부팅을사용하도록설정하면서명되지않은 VIB(vSphere Installation Bundle) 가설치되어있는것이확인될경우호스트의부팅을중단합니다. 서명된 VIB(vSphere Installation Bundle) 파일만허용되어호스트부팅이가능합니다. esx-03b - 탭닫기 1. Google Chrome 탭의 "X" 를클릭하여종료합니다. Page 187

esx-03b - 게스트 OS 종료 이제더이상필요없으므로호스트의전원을끄겠습니다. 1. esx-03b 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 3. ( 해당될경우 ) Shut Down Guest OS( 게스트 OS 종료 ) 를클릭하거나드롭다운메뉴에서 Power OFF( 전원끄기 ) 를클릭합니다. esx-03b - 호스트전원켜기 - 확인 가상머신의전원을끌것인지확인하는팝업창이표시됩니다. 1. Yes( 예 ) 버튼을클릭하여가상머신의전원을끕니다. Page 188

보안부팅설정및호스트전원켜기 - 완료 이레슨에서는 esx-03b 가상머신의가상머신옵션설정에서보안부팅을사용하도록설정했습니다. 그런다음가상머신의전원을켜자예상대로 PSOD(Purple Screen of Death) 가표시되었습니다. 이는앞서보안부팅을사용하도록설정할경우허용되지않는서명되지않은 VIB(vSphere Installation Bundle) 를호스트에설치했기때문입니다. 끝으로다음레슨을준비하기위해 esx-03b 가상머신의전원을껐습니다. Page 189

보안부팅해제 이레슨에서는보안부팅이설정되어있어도정상적으로부팅될수있도록 esx-01c.corp.local 가상호스트에서보안부팅을해제할것입니다. esx-03b - 설정편집 1. esx-03b 를마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Edit Settings( 설정편집 ) 를클릭합니다. Page 190

esx-03b - 보안부팅해제 1. VM Options( 가상머신옵션 ) 탭을클릭합니다. 2. Secure Boot( 보안부팅 ) 설정의오른쪽에있는확인란을선택해제하여보안부팅을해제합니다. 3. OK( 확인 ) 버튼을클릭합니다. 보안부팅해제 - 완료 esx-03b.corp.local 가상머신의보안부팅을해제하는레슨을완료했습니다. Page 191

서명되지않은 VIB 제거 이레슨에서이전에 esx-03b 에설치한서명되지않은 VIB(vSphere Installation Bundle) 를제거하겠습니다. esx-03b - 전원켜기 1. esx-03b 를마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 3. Power On( 전원켜기 ) 을클릭합니다. Google Chrome 최소화 Page 192

아래단계를수행하여 Google Chrome 창을최소화하기전에 esx-03b.corp.local 이완전히부팅되었는지확인합니다. 1. 브라우저창의오른쪽상단에서 Minimize( 최소화 ) 아이콘을클릭하여 Google Chrome 을최소화합니다. Putty 시작 이전에작업한 Putty 인스턴스가아직 esx-03b.corp.local 에연결되어열려있는경우이단계를건너뛸수있습니다. 이제 Putty 를시작하고 esx-03b 에연결한후서명되지않은 VIB(vSphere Installation Bundle) 를제거해야합니다. 1. 작업표시줄에서 Putty 아이콘을클릭합니다. esx-03b - Putty 를통해연결 이전에작업한 Putty 인스턴스가아직 esx-03b.corp.local 에연결되어열려있는경우이단계를건너뛸수있습니다. Page 193

1. Saved Sessions( 저장된세션 ) 목록에서 esx-03b.corp.local 을클릭합니다. ( 필요할경우목록아래로스크롤해야볼수있음 ) 2. Load( 로드 ) 버튼을클릭합니다. 3. Open( 열기 ) 버튼을클릭하여 esx-03b 에연결합니다. esx-03b - 로그인 1. Password:( 암호 :) 다음의 Putty 텍스트필드에아래명령을입력하고 Enter 키를누릅니다. VMware1! 2. 로그인되면아래명령을입력하고 Enter 키를눌러화면을지웁니다. clear Page 194

esx-03b - VIB 제거 1. 다음명령을입력하고 Enter 키를눌러이전에설치한서명되지않은 VIB(vSphere Installation Bundle) 를제거합니다. esxcli software vib remove -n net-tulip 참고 : 이전에설치한서명되지않은 VIB(vSphere Installation Bundle) 의이름 (nettulip-1.1.15-1-offline_bundle.zip) 을모두입력하지않아도됩니다. 해당명명규칙의설치된 VIB 가하나뿐이기때문입니다. 2. "The Update Completed successfully, but the system needs to be rebooted for the changes to be effective".( 업데이트가성공적으로완료되었지만변경사항을적용하려면시스템을재부팅해야합니다.) 라는내용의메시지가표시됩니다. 이메시지를통해성공적으로제거되었음을알수있습니다. Putty 종료 1. 다음명령을입력한후 Enter 키를눌러 Putty 세션을종료합니다. exit Page 195

esx-03b - Chrome 최대화 vsphere Web Client 로돌아가야합니다. 1. 작업표시줄에서최소화된 Google Chrome 창을클릭하여다시최대화합니다. esx-03b - 게스트 OS 종료 이제다음레슨을준비하기위해호스트의전원을끄겠습니다. 1. esx-03b 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 3. Power( 전원 ) 드롭다운메뉴에서 Shut Down Guest OS( 게스트 OS 종료 ) 를클릭합니다. Page 196

esx-03b - 호스트전원켜기 - 확인 가상머신의전원을끌것인지확인하는팝업창이표시됩니다. 1. Yes( 예 ) 버튼을클릭하여가상머신의전원을끕니다. 서명되지않은 VIB 제거 - 완료 이레슨에서는 "esxcli software vib remove -n ProFTPD" 를사용하여이전에설치한서명되지않은 VIB(vSphere Installation Bundle) 를제거했습니다. 이제보안부팅을사용하도록설정한상태에서도호스트의전원을켜고끌수있으며, PSOD(Purple Screen of Death) 없이정상적으로전원이켜집니다. 그런다음실습리소스를절감하기위해호스트를종료했습니다. Page 197

vtpm 2.0 을위한 ESXi 호스트구성 이레슨에서는 PowerCLI 를사용하여 esx-03b 중첩호스트에 vtpm 을추가합니다. 이중중첩호스트이므로 vsphere Web Client 를사용하여 esx-03b 에 vtpm 을추가할수없습니다. 따라서대신명령줄을사용하여 vtpm 을추가할수있는방법을알아보겠습니다. 참고 : 이미 vcenter Server 로관리중인 ESXi 호스트에 TPM 2.0 칩을추가하려면먼저호스트를분리한후다시연결해야합니다. 호스트분리및재연결에대한정보는 vcenter Server 및호스트관리설명서를참조하십시오. esx-03b - 설정편집 1. esxi-03b 호스트를마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Edit Settings( 설정편집 ) 를클릭합니다. Page 198

esx-03b - 부팅옵션 1. Edit Settings( 설정편집 ) 팝업창상단에서 VM Options( 가상머신옵션 ) 탭을클릭합니다. 2. Boot Options( 부팅옵션 ) 옆에있는아래쪽화살표를클릭합니다. 3. 호스트의 Secure Boot( 보안부팅 ) 을사용하도록설정하기위한확인란을클릭합니다. 4. OK( 확인 ) 버튼을클릭합니다. esx-03b - 전원켜기 Page 199

이제 esx-03b 중첩 ESXi 호스트의전원을켜겠습니다. 1. esx-03b 가상머신이선택된상태에서 ACTIONS( 작업 ) 를클릭합니다. 2. Menu( 메뉴 ) 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 3. Power On( 전원켜기 ) 을클릭합니다. 참고 : 시작한모듈에따라실습환경의가상머신의목록은화면캡처와다르게표시될수있습니다. Google Chrome 최소화 1. Google Chrome 의최소화아이콘을클릭합니다. PowerCLI - 시작 1. 바탕화면에서 VMware PowerCLI 아이콘을두번클릭하여 PowerCLI 를시작합니다. Page 200

PowerCLI - 모듈임포트 ( 필요할경우 ) 참고 : 모듈 3: " 가상머신암호화및암호화된 vmotion" 에서이미 VMware.VMEncryption PowerShell 모듈을임포트한후실습을종료하지않은경우다음단계를건너뛸수있습니다. 1. PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Import-Module -Name "C:\Labfiles\HOL-1911\VMware.VMEncryption.psd1" 2. PowerCLI 텍스트창에다음명령을입력한후 Enter 키를누릅니다. Import-Module -Name "C:\Labfiles\HOL-1911\VMware.VMEncryption.psm1" PowerCLI - esx-03b.corp.local 에연결 1. PowerCLI 창에다음명령을입력하여 vcsa-01b.corp.local vcenter Server 에연결합니다. Connect-VIServer -Server vcsa-01b.corp.local -User administrator@corp.local -Password VMware1! Page 201

2. esx-01b.corp.local vcenter Server 에연결되었다는것을알수있습니다. PowerCLI - esx-03b 에 vtpm 추가 이중중첩호스트이므로 vsphere Web Client 를사용하여 esx-03b 에 vtpm 을추가할수없습니다. 따라서대신명령줄을사용하여 vtpm 을추가할수있는방법을알아보겠습니다. 이방법은가상머신홈을암호화하고호스트에가상 TPM 을추가합니다. 가상머신홈이이미암호화된경우 cmdlet 은가상머신에가상 TPM 을추가합니다. 가상머신홈이아직암호화되지않은경우가상머신홈을암호화한후가상 TPM 을추가합니다. esx-03b 에 vtpm 을추가하기위한두명령을실행하기위해임의의변수 ($vm1) 를사용합니다. 변수 $vm1 은 Get-VM -Name cmdlet 으로인해 esx-03b 가상머신이름과일치합니다. 그런다음 esx-03b 가상머신을나타내는 $vm1 변수와함께 Add-Vtpm cmdlet 을사용합니다. 1. PowerCLI 창에다음명령을입력합니다. $vm1 = Get-VM -Name esx-03b 2. PowerCLI 창에다음명령을입력합니다. ( 명령에서대소문자구분에주의해야함 ) Add-Vtpm $vm1 3. 작업번호가반환되는것을통해명령이성공적으로실행되었음을알수있습니다. 참고 : PowerCLI 명령을실행할때마다작업번호가달라집니다. 이번호는여러로그에서사용하기위한참조번호입니다. 따라서실습환경의작업번호는화면캡처와다를수있습니다. 4. 다음명령을입력하여 PowerCLI 를종료합니다. exit Page 202

Google Chrome 최대화 1. 작업표시줄에서 Google Chrome 탭을클릭하여최대화합니다. esx-03b - vtpm 검증 이제실제운영환경에서작업할경우 vsphere Web Client 로이동하여증명상태를확인할것입니다. 하지만이실습환경에서는중첩호스트를사용하므로일반적인경우처럼확인할수없습니다. 운영환경에서이를확인하는방법을살펴보겠습니다. 1. 탐색창에서 RegionB01 데이터센터를클릭합니다. 2. Content( 컨텐츠 ) 창에서 Monitor( 모니터 ) 탭을클릭합니다. 3. Tasks and Events( 작업및이벤트 ) 하단의 Security( 보안 ) 를클릭합니다. 4. 현재 2 대의호스트만표시되고이중중첩호스트인 esx-03b 는보이지않습니다. 운영환경에서는여기에 esx-03b 호스트가표시되고 TPM version(tpm 버전 ) 열에도정보가표시될것입니다. 참고 : 시작한모듈에따라실습환경의가상머신의목록은화면캡처와다르게표시될수있습니다. vtpm 2.0 을위한 ESXi 호스트구성 - 완료 ESXi 호스트에 vtpm 2.0 을추가하는이레슨을완료했습니다. 다시말하지만가상화된 ESXI 호스트를사용했기때문에 ESXi 호스트에 vtpm 을추가하고이를확인할수있는방법이제한적이었습니다. Page 203

가상머신의보안부팅 이레슨에서는 PowerShell 명령을사용하여가상머신에보안부팅이설정되었는지확인하는단계를수행합니다. win10 - 게스트 OS 종료 1. win10 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 3. Power( 전원 ) 드롭다운메뉴에서 Shut Down Guest OS( 게스트 OS 종료 ) 를클릭합니다. win10 - 종료확인 Page 204

1. 드롭다운메뉴에서 Edit Settings( 설정편집 ) 를클릭합니다. win10 - 설정편집 1. win10 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Edit Settings( 설정편집 ) 를클릭합니다. Page 205

win10 - 보안부팅설정 1. Edit Settings( 설정편집 ) 팝업창에서 VM Options( 가상머신옵션 ) 탭을클릭합니다. 2. Boot Options( 부팅옵션 ) 옆에있는아래쪽화살표를클릭하여확장합니다. 3. Secure Boot( 보안부팅 ) 에대한 Enabled( 설정 ) 확인란을클릭하여보안부팅을사용하도록설정합니다. 4. OK( 확인 ) 버튼을클릭합니다. 참고 : 시작한모듈에따라실습환경의가상머신의목록은화면캡처와다르게표시될수있습니다. Page 206

win10 - 전원켜기 1. win10 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를선택합니다. 3. Power( 전원 ) 드롭다운메뉴에서 Power On( 전원켜기 ) 을클릭합니다. Page 207

win10 - 웹콘솔시작 1. win10 가상머신을클릭합니다. 2. Launch Web Console( 웹콘솔열기 ) 링크를클릭하여다른탭에콘솔을엽니다. 참고 : 시작한모듈에따라실습환경의가상머신의목록은화면캡처와다르게표시될수있습니다. Page 208

win10 - 콘솔창 1. 가상머신의바탕화면을클릭하여 Login( 로그인 ) 화면을표시합니다. win10 - 로그인 1. Password ( 암호 ) 필드에 VMware1! 를입력합니다. 2. 화살표아이콘을클릭하여가상머신에로그인합니다. Page 209

win10 - PowerShell(Admin) 실행 가상머신에로그인이완료되면다음과같이 PowerShell 명령줄툴을시작합니다. 1. 작업표시줄의 Windows Start (Windows 시작 ) 아이콘을마우스오른쪽버튼으로클릭합니다. 2. Start( 시작 ) 메뉴에서 Windows PowerShell (Admin) 을클릭합니다. win10 - 가상머신보안부팅확인 1. 다음명령을입력하고 Enter 키를눌러디렉토리를 C:\Windows\system32\: 로변경합니다. cd C:\Windows\system32\ Page 210

2. PowerCLI 텍스트필드에다음명령을입력한후 Enter 키를누릅니다. Confirm-SecureBootUEFI 3. 보안부팅을사용하도록설정했으므로예상대로명령실행결과가 True 로반환됩니다. Powershell 종료 2. PowerCLI 텍스트필드에다음명령을입력한후 Enter 키를누릅니다. exit Google Chrome 탭닫기 1. win10 Google Chrome 탭의 "X" 를클릭하여종료합니다. 가상머신의보안부팅 - 완료 이레슨에서는 Windows 10 가상데스크톱에로그인한다음관리권한으로 PowerShell 을시작했습니다. 그런다음 Confirm-SecureBootUEFI 명령을입력하면가상머신에아직보안부팅을구성하지않았으므로 False 상태가반환됩니다. 다음세션에서는가상머신에보안부팅을사용하도록설정합니다. Page 211

결론 모듈 4 가완료되었습니다. 이모듈에서는 vsphere 6.7 의호스트및가상머신보안부팅기능에대해살펴보았습니다. 이기능을통해시스템관리자는회사가승인한 ESXi 이미지만설치하여부팅할수있으므로항상호스트가안전하게유지됩니다. 이어서모듈 6 을계속하거나다른모듈로건너뛸수있습니다. 다음모듈을계속진행하거나관심있는다른모듈로건너뛸수있습니다. (15 분, 초급 ) 이모듈에서는 ESXi 호스트의암호복잡성요구사항과호스트에대한요구사항설정을자동화하는방법에대해알아봅니다. 이러한보안규정준수요구사항으로인해어려움을겪고있다면이실습이많은도움이될것입니다. 이실습에서는클러스터내모든호스트에대해 ESXi 사용자의암호복잡성규칙을설정하는 PowerCLI 스크립트를실행합니다. (30 분, 초급 ) 이모듈에서는 vsphere 시스템관리자가 vsphere 6.7 및 vrealize Log Insight 의향상된로깅기능을사용하여 vcenter 에서실제로누가무엇을했는지를알아보는방법에대해살펴봅니다. 또한이모듈에서는시스템관리자가신속하게가상머신을재부팅한사용자는물론 ESXi 에대한유효하거나허용되지않은로그인시도를확인할수있는맞춤형대시보드를만드는방법을알아봅니다. (60 분, 고급 ) 이모듈에서는가상머신의암호화및암호화해제와같은향상된 vsphere 6.7 의보안기능을소개합니다. vsphere 6.7 에서암호화는스토리지정책을통해구현됩니다. 기존의전원이꺼진가상머신에암호화스토리지정책을적용하면디스크가암호화됩니다. 이는오늘날의보안요구사항을충족하는데필요한수준의보안을제공하기위해많은기업에서요청한기능입니다. 또한기본적으로일반 vmotion 과동일하지만 vmotion 프로세스를시작하기전에가상머신을암호화하는암호화된 vmotion 에대해알아봅니다. 이기능역시기업이보안및규정준수요구사항을충족하기위해많이요청한기능입니다. 그런다음 PowerCLI 명령줄툴을사용해봅니다. 이툴에는이제사용자가가상머신의암호화및해제등의작업을수행할수있는모듈이포함됩니다. 암호화에 PowerCLI 와같은명령줄툴을사용하면시스템관리자가 vsphere 환경에서대량의가상머신에암호화변경사항을적용할수있어시간과노력이절감됩니다. (15 분, 고급 ) vsphere 6.5 이상버전에서제공되는암호화기능으로인해시스템관리자의가상머신암호화를제한할필요가생김에따라암호화제외시스템관리자역할이제공됩니다. 이새역할은 vcenter Server 시스템관리자와사용권한이동일하지만가상머신암호화 / 암호화해제, 데이터스토어탐색또는암호화된가상머신의파일다운로드시도를수행할수없습니다. (30 분, 고급 ) vsphere 6.7 의새보안기능에는가상머신용가상 TPM(Trusted Platform Module) 2.0 버전사용이포함됩니다. 또한 Windows 10 에서 Microsoft 의 VBS(Virtualization Based Security) 및 Credential Guard 기능을사용하기위한통합이포함되어있습니다. 이를수행하기위해 vtpm 2.0 및 VBS 를사용하도록설정할것입니다. Page 212

호스트및가상머신의보안부팅참고자료 : 참고 : 실습설명서의 VMware 참고자료에대한링크는참조용으로만제공됩니다. 실습환경은인터넷연결이제공되지않을수있으므로이러한참고자료를보지못할수있습니다. 제공되는링크에연결할수없는경우링크를수동으로기록하거나모바일기기를사용하여사진을찍으십시오. VMware vsphere 6.7 블로그 - ESXi 6.7 호스트의보안부팅준비 : https://blogs.vmware.com/vsphere/2018/06/prepping-an-esxi-6-7-host-for-secureboot.html VMware vsphere 유튜브채널 - ESXi 의보안부팅 : https://www.youtube.com/ watch?v=31acxplkkou 선택사항 : 실습종료방법 참고 : 실습에서 END( 종료 ) 버튼을클릭하면실습이종료되고관련가상머신이삭제됩니다. 따라서실습을다시시작하면이전실습인스턴스가아닌새가상머신의새인스턴스가생성됩니다. 이전의모든설정은사라지고실습이처음배포될때의기본설정으로돌아갑니다. 이제다음모듈을계속진행하거나목차를사용하여원하는다른모듈로건너뛸수있습니다. 실습을끝내려면 END( 종료 ) 버튼을클릭합니다. 참고 : 실습을종료한후다른모듈을실행하려면실습에다시등록해야합니다. Page 213

모듈 5 - 암호화제외시스템관 리자역할및사용권한 (15 분 ) Page 214

소개 중요참고사항 : 모듈 3( 가상머신암호화및암호화된 vmotion) 을완료한후바로이어서이모듈을시작한경우첫두레슨은건너뛰고바로세번째레슨 ( 암호화제외사용자계정을사용하여로그인 ) 을시작할수있습니다. 이모듈 ( 모듈 5) 을시작하기전에모듈 3 을수행하지않은경우실습준비를위해몇가지추가단계를수행해야합니다. 먼저가상머신을암호화할수있도록 vcenter Server 에단일 HyTrust KMS Server 를추가합니다. 그런다음암호화제외사용자계정을사용하여로그인레슨을시작하기전에가상머신을암호화해야합니다. 이모듈 ( 모듈 5 - 암호화제외시스템관리자역할및사용권한 ) 에서는 vsphere 6.7 에추가된새로운암호화제외시스템관리자역할에대해알아봅니다. 가상머신암호화및암호화된 vmotion 의새로운보안기능을사용하려는경우 KMS( 키관리서버 ) 가필요합니다. 그러나 vcenter Server 에대한관리액세스권한을가진모든시스템관리자가객체를암호화하거나암호화를해제할수있는것은원치않습니다. 객체에대해암호화제외시스템관리자역할이부여된사용자는암호화작업권한을제외하고시스템관리자역할이부여된사용자와동일한권한을갖습니다. 이역할은시스템관리자가가상머신의암호화또는암호화해제, 암호화된데이터액세스를제외한모든관리작업을수행할수있는다른시스템관리자를지정할수있도록합니다. KMS 로그인을위한자격증명은 vcenter Server 에만있으며, ESXi 호스트에는이러한자격증명이없습니다. vcenter Server 는 KMS 에서키를가져와 ESXi 호스트로키를푸시합니다. vcenter Server 는 KMS 키를저장하지않지만키 ID 목록을보유합니다. vcenter Server 는암호화작업을수행하는사용자의권한을확인합니다. vsphere Web Client 를사용하여사용자그룹에암호화작업권한또는암호화제외시스템관리자사용자지정역할을지정할수있습니다. 암호화작업은 vcenter Server 가포함된환경에서만가능합니다. 또한 ESXi 호스트는대부분의암호화작업에대해암호화모드가설정되어있어야합니다. 작업을수행하는사용자는적절한권한을보유하고있어야합니다. 암호화작업권한의조합은세부제어가가능합니다. 가상머신암호화작업에서호스트암호화모드변경이필요할경우추가권한이필요합니다. 암호화권한및역할이기본제공됩니다. 즉 vcenter Server 시스템관리자역할이부여된사용자에게는모든암호화작업권한이부여됩니다. 암호화권한이필요없는 vcenter Server 시스템관리자에게는암호화제외시스템관리자역할을지정할수있습니다. vcenter Server 시스템관리자역할의사용자에게는기본적으로모든권한이부여됩니다. 암호화작업권한이필요없는 vcenter Server 사용자에게는암호화제외시스템관리자역할을지정할수있습니다. 암호화제외시스템관리자는다음과같은암호화작업권한이제외됩니다. 암호화작업권한추가 전역. 진단 호스트. 인벤토리. 클러스터에호스트추가 호스트. 인벤토리. 독립형호스트추가 호스트. 로컬작업. 사용자그룹관리 사용자가수행할수있는작업을추가로제한하려면암호화제외시스템관리자역할을복제한후일부암호화작업권한만사용하여사용자지정역할을생성합니다. 예를들어가상머신의암호화는 Page 215

가능하지만암호화해제는할수없는역할또는관리작업에대한권한을부여하는역할을생성할수있습니다. 자세한내용은 vsphere 보안설명서를참조하십시오. 이모듈에서는다음과같은작업을수행합니다. 암호화제외사용자계정에대한사용자로그인 데이터스토어브라우저사용시도 암호화된가상머신의파일다운로드시도 암호화된가상머신의콘솔열기시도 실습가정 이미 Active Directory 사용자계정 (nocrypto@corp.local) 을생성하여암호화제외역할을지정했습니다. 사전정의된계정을사용하여 vcenter Server 에로그인합니다. Page 216

HyTrust KMS Server 를사용하여가상머신암호화 이레슨에서는이미설치된 HyTrust KMS Server 를사용하여가상머신을암호화합니다. vsphere Web Client(HTML5) 를사용하여가상머신의암호화및암호화해제를수행합니다. 메뉴드롭다운 먼저 vcenter 의 Policies and Profiles( 정책및프로필 ) 섹션에서기본가상머신암호화정책에대해살펴보겠습니다. 1. 페이지상단의 Menu( 메뉴 ) 아이콘을클릭합니다. 2. Menu( 메뉴 ) 드롭다운에서 Policies and Profiles( 정책및프로필 ) 를선택합니다. Page 217

기본가상머신암호화정책 1. 탐색창에서 VM Storage Policies( 가상머신스토리지정책 ) 를클릭합니다. 2. 기본적으로각 vcenter Server 당하나씩, 이미 2 개의가상머신암호화정책이있다는것을알수있습니다. 참고 : VMware 가생성된기본가상머신암호화정책이있지만원할경우사용자가직접정책을생성할수있습니다. 기본암호화속성 1. 탐색창에서 Storage Policy Components( 스토리지정책구성요소 ) 를클릭합니다. 2. 각 vcenter Server 당하나씩, 2 개의기본암호화속성구성요소가표시됩니다. 3. 또한컨텐츠창하단에설명이표시됩니다. Page 218

메뉴드롭다운 이제 Hosts and Clusters( 호스트및클러스터 ) 뷰에서 core-01a 가상머신의암호화프로세스를시작합니다. 1. 페이지상단의 Menu( 메뉴 ) 아이콘을클릭합니다. 2. Menu( 메뉴 ) 드롭다운에서 Hosts and Clusters( 호스트및클러스터 ) 를선택합니다. Page 219

esx-01a 선택 이제 core-01a 가상머신을암호화하기위해다음단계를수행합니다. 1. 왼쪽탐색창에서 core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 VM Policies( 가상머신정책 ) 를클릭합니다. 3. VM Policies( 가상머신정책 ) 드롭다운메뉴에서 Edit VM Storage Policies( 가상머신스토리지정책편집 ) 를클릭합니다. Page 220

core-01a - 가상머신스토리지정책편집 VMware 에서이미생성한몇가지기본정책이표시되지만다음을수행하여구체적인가상머신암호화정책을선택합니다. 1. VM storage policy( 가상머신스토리지정책 ) 드롭다운메뉴에서화살표를클릭하여 VM Encryption Policy( 가상머신암호화정책 ) 를선택합니다. 2. Configure per disk( 디스크별구성 ) 슬라이더를클릭하여설정합니다. 참고 : 이실습에서는가상머신의모든구성요소를암호화합니다. 하지만옵션을선택하여 VM Home( 가상머신홈 ) 폴더또는 Hard disk 1( 하드디스크 1) 만암호화할수있습니다. 개별항목만암호화하려면창의오른쪽상단에있는슬라이더를클릭하여개별항목을선택할수있습니다. Page 221

core-01a - 디스크별구성 Configure per disk( 디스크별구성 ) 옵션을사용하도록설정하면 VM Home folder( 가상머신홈폴더 ) 및 Hard disk 1( 하드디스크 1) 이더이상회색으로표시되지않아정책을개별적으로관리할수있습니다. 1. 임시로 Hard disk 1( 하드디스크 1) 드롭다운을클릭하여 VM Encryption Policy( 가상머신암호화정책 ) 를선택합니다. 이제가상머신의두구성요소에개별적으로정책을지정할수있는방법을알수있습니다. 옵션을검토한후 Datastore Default( 데이터스토어기본값 ) 옵션으로되돌립니다. 참고 : 이실습에서는가상머신의모든구성요소를암호화합니다. 하지만옵션을선택하여 VM Home( 가상머신홈 ) 폴더또는 Hard disk 1( 하드디스크 1) 만암호화할수있습니다. Page 222

core-01a - 가상머신스토리지정책편집 1. 이미선택되어있지않은경우 VM storage policy( 가상머신스토리지정책 ) 드롭다운메뉴에서화살표를클릭하여 VM Encryption Policy( 가상머신암호화정책 ) 를선택합니다. 2. OK( 확인 ) 버튼을클릭합니다. core-01a - 가상머신스토리지정책규정준수확인 Page 223

탐색창에 core-01a 가상머신이선택된상태에서다음단계를수행합니다. 1. core-01a 의컨텐츠창에서스크롤막대를사용하여 VM Storage Policies( 가상머신스토리지정책 ) 위젯이표시될때까지페이지하단으로이동합니다. 2. 필요할경우화살표를클릭하여 VM Storage Policies( 가상머신스토리지정책 ) 위젯을열어야할수있습니다. 3. 이제가상머신에 VM Encryption Policy( 가상머신암호화정책 ) 이지정되어있고녹색확인표시를통해규정을준수하고있음을알수있습니다. core-01a - 미준수 ( 필요할경우 ) 어떤이유로든 1~2 분후에도 VM Storage Policy( 가상머신스토리지정책 ) 위젯에정보가표시되지않거나규정을준수하지않는다고표시될경우다음단계를수행합니다. 1. Check Compliance( 규정준수확인 ) 링크를클릭하여규정준수정보를업데이트합니다. 참고 : 이제 Check Compliance( 규정준수확인 ) 링크를클릭한후 1 분이내에정보가업데이트되어규정준수상태를표시해야합니다. 상태가변경되지않으면웹브라우저창을새로고쳐보십시오. 그래도여전히제대로정보가반영되도록업데이트되지않으면 Hands-On Lab 인터페이스를사용하거나실제손을들어실습진행자의지원을요청하십시오. HyTrust KMS Server 를사용하여가상머신암호화 - 완료 이레슨에서는 vsphere Web Client 를사용하여 core-01a 가상머신에가상머신암호화정책을적용했습니다. 정책을적용한후가상머신에서가상머신암호화정책을준수하는것을확인했습니다. 그런다음동일한단계를거쳐 core-01a 가상머신에서암호화정책을제거했습니다. 이작업을완료한후 VM Storage Policy( 가상머신스토리지정책 ) 위젯이다시빈상태로표시되는것을확인할수있었습니다. 이는예상된동작으로가상머신파일암호화가제거되었음을나타냅니다. vsphere Web Client 를사용하는것이가상머신의암호화및암호화해제를수행하는유일한방법은아닙니다. 또한 PowerCLI 명령을사용하면단일가상머신또는다수의가상머신에일괄적으로동일한작업을더효율적으로수행할수있습니다. 한번에많은수의가상머신에서암호화상태를변경할경우 PowerCLI 명령을사용하는것이가장좋습니다. Page 224

다음레슨에서는여러암호화관련작업에서 PowerCLI 를사용하는것에대해자세히살펴보겠습니다. 또한이모듈의뒷부분에서는 PowerCLI 명령을사용하여실제로가상머신을암호화하고다시해제합니다. Page 225

암호화제외사용자계정을사용하여로그인 이레슨에서는암호화제외역할이지정된 nocrypto@corp.local Active Directory 사용자계정으로로그인합니다. vcenter 탐색 암호화제외역할을표시하기위해먼저 vcenter 의 Roles( 역할 ) 선택항목으로이동해야합니다. Menu( 메뉴 ) 드롭다운메뉴를클릭합니다. 드롭다운메뉴에서 Administration( 관리 ) 을선택합니다. Page 226

전역사용권한 1. Access Control( 액세스제어 ) 에서 Global Permissions( 전역사용권한 ) 을클릭합니다. 2. CORP.LOCAL\nocrypto Active Directory 계정에이미암호화제외시스템관리자역할이지정되었음을알수있습니다. vcenter Server 로그아웃 이제 vcenter Server 에시스템관리자로로그인되어있으므로다음과같이로그아웃합니다. 1. Administrator@CORP.LOCAL 드롭다운화살표를클릭합니다. 2. Logout( 로그아웃 ) 을선택하여 vcenter Server 에서로그아웃합니다. Page 227

nocrypto 사용자로로그인 암호화제외역할이지정된사용자가암호화된가상머신파일등을볼수없는지확인하기위해사전정의된 nocrypto Active Directory 사용자계정으로로그인해야합니다. 1. User name:( 사용자이름 :) 텍스트필드에 nocrypto@corp.local 을입력합니다. 2. Password:( 암호 :) 텍스트필드에 VMware1! 를입력합니다. 3. Login( 로그인 ) 버튼을클릭합니다. 암호화제외사용자계정을사용하여로그인 - 완료 이레슨에서는 vcenter Server 에서 nocrypto Active Directory 사용자계정에암호화제외역할이지정되었는지확인했습니다. 그런다음 nocrypto@corp.local 사용자계정으로로그인했습니다. 다음레슨에서는이계정이암호화된가상머신의데이터스토어를탐색하거나파일을다운로드할수없는지확인해보겠습니다. Page 228

암호화된가상머신의파일다운로드시도 nocrypto@corp.local Active Directory 사용자계정으로로그인된상태에서암호화된가상머신의파일을다운로드해보겠습니다. 중요참고사항 : 이모듈 ( 모듈 5 - 암호화제외시스템관리자역할및사용권한 ) 을시작하기전에모듈 3 및 4 의모든단계를수행한경우이설명서의 " 가상머신암호화가설정되었는지확인 " 하는섹션은건너뛸수있습니다. 그렇지않은경우처음부터모든단계를수행해야합니다. 최근작업창최소화 Recent Objects( 최근객체 ) 및 Recent Tasks( 최근작업 ) 창이최대화되어있는경우다음단계를수행하고그렇지않으면이 3 단계를건너뛸수있습니다. 1. vsphere Web Client 하단의 Recent Tasks( 최근작업 ) 이중아래쪽화살표를클릭하여창을최소화합니다. 호스트및클러스터 이미 Hosts and Clusters( 호스트및클러스터 ) 뷰가표시되어있으면아래단계를건너뛸수있습니다. 그렇지않으면아래단계를수행하여 Hosts and Clusters( 호스트및클러스터 ) 뷰를표시합니다. Page 229

1. 페이지상단의 Menu( 메뉴 ) 버튼을클릭합니다. 2. Host and Clusters( 호스트및클러스터 ) 를클릭합니다. core-02a - 호스트검증 1. 필요할경우가상머신의목록이표시될때까지 vcsa-01a.corp.local 아래객체목록을확장합니다. 2. 탐색창에서 core-01a 가상머신을클릭합니다. 3. core-01a 가있는 ESXi 호스트가 esx-02a.corp.local 인지확인합니다. 참고 : 이모듈에앞서이전모듈을완료했는지여부에따라실습환경의가상머신목록은화면캡처와다를수있습니다. 스토리지탭 이 nocrypto Active Directory 사용자계정에권한이적절히부여되었는지확인하기위한테스트로이사용자계정에서암호화된가상머신의파일을다운로드해보겠습니다. 맞게구성된경우가상머신파일을다운로드할수없어야합니다. 이사용자에대해역할이제대로구성되었는지확인하기위해다음을수행합니다. 1. 탐색창에서 Storage( 스토리지 ) 아이콘을클릭합니다. 2. RegionA01-ISCSI01-COMP01 데이터스토어가표시될때까지 vcsa-01a.corp.local 옆의화살표를클릭하여확장합니다. 3. RegionA01-ISCSI01-COMP01 데이터스토어를클릭합니다. 4. 컨텐츠창에서 Files( 파일 ) 탭을클릭합니다. Page 230

core-01a VMX 파일 1. core-01a 가상머신의폴더를클릭합니다. 2. core-01a.vmx 파일을선택합니다. 3. Download( 다운로드 ) 버튼을클릭합니다. 참고 :.vmx 파일을찾기위해 "Name"( 이름 ) 열을확장하여파일확장유형을확인해야할수도있습니다. 로그인팝업창 nocrypto@corp.local 계정으로 vcenter 에로그인했으므로가상머신과그파일이모두암호화되어있어 VMX 파일을다운로드할수없다는것을알수있습니다. 로그인자격증명을묻는팝업창을통해이를확인할수있습니다. vcenter 에대한관리액세스권한이있고암호화제외역할이지정되지않은사용자로로그인했다면 VMX 파일을다운로드할수있었을것입니다. Page 231

1. Cancel( 취소 ) 버튼을클릭합니다. Google Chrome 탭닫기 1. Google Chrome 탭의 "X" 를클릭하여종료합니다. 암호화된가상머신의파일다운로드시도 - 완료 이레슨에서는 nocrypto@corp.local Active Directory 사용자계정을사용하여 vcenter Server 에로그인했습니다. 이계정에는이미 vcenter Server 에서암호화제외시스템관리자역할이지정되었습니다. 암호화제외시스템관리자역할이지정된사용자는암호화된가상머신파일을다운로드할수없습니다. 또한암호화제외시스템관리자역할은가상머신을암호화및암호화해제할수없습니다. Page 232

암호화된가상머신의콘솔열기시도 이레슨에서는암호화된가상머신의원격콘솔을열어볼것입니다. 맞게구성되었다면암호화된가상머신파일의콘솔을열어서볼수없어야합니다. core-01a - 전원켜기 1. 탐색창에서 Hosts and Clusters( 호스트및클러스터 ) 아이콘을클릭합니다. 2. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 3. 드롭다운메뉴에서 Power( 전원 ) 를클릭합니다. 4. Power( 전원 ) 드롭다운메뉴에서 Power On( 전원켜기 ) 을클릭합니다. 참고 : 시작한모듈에따라실습환경의가상머신의목록은화면캡처와다르게표시될수있습니다. core-01a - 웹콘솔시작 Page 233

1. 탐색창에서 core-01a 가상머신을클릭합니다. 2. 컨텐츠창에서 Launch Web Console( 웹콘솔시작 ) 링크를클릭합니다. 참고 : 이모듈에앞서이전모듈을완료했는지여부에따라실습환경의가상머신목록은화면캡처와다를수있습니다. core-01a 요약탭 1. nocrypto@corp.local 계정으로로그인했으므로 core-01a 가상머신의콘솔에연결할수없습니다. 2. Google Chrome 탭의 "X" 를클릭하여종료합니다. 암호화된가상머신의콘솔열기시도 - 완료 이레슨을통해암호화제외시스템관리자역할이지정된사용자는암호화된가상머신의콘솔을열수없다는것을확인했습니다. Page 234

가상머신의암호화해제시도 nocrypto@corp.local Active Directory 사용자계정으로로그인된상태에서암호화된가상머신의파일을다운로드해보겠습니다. core-01a - 전원끄기 가상머신의암호화를해제하기위해서는 core-01a 가상머신의전원을꺼야합니다. 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를클릭합니다. 3. Power( 전원 ) 드롭다운메뉴에서 Shut Down Guest OS( 게스트 OS 종료 ) 를클릭합니다. core-01a - 전원끄기확인 ( 필요할경우 ) Page 235

1. 확인팝업창이표시되면 Yes( 예 ) 버튼을클릭하고, 그렇지않으면이단계를건너뜁니다. core-01a - 가상머신스토리지정책편집 1. core-01a 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 VM Policies( 가상머신정책 ) 를클릭합니다. 3. VM Policies( 가상머신정책 ) 메뉴에서 Edit VM Storage Policies( 가상머신스토리지정책편집 ) 를클릭합니다. Page 236

데이터스토어기본정책 1. VM Storage Policy( 가상머신스토리지정책 ) 드롭다운메뉴에서 Datastore Default( 데이터스토어기본 ) 를선택합니다. 2. OK( 확인 ) 버튼을클릭합니다. core-01a - 작업 Page 237

nocrypto@corp.local 사용자는 core-01a 가상머신의암호화해제를수행할수없다는것을확인하기위해 Monitor( 모니터 ) 탭을살펴보겠습니다. 1. 탐색창에서 core-01a 가상머신을클릭합니다. 2. Monitor( 모니터 ) 탭을클릭합니다. 3. 컨텐츠창의 Tasks and Events( 작업및이벤트 ) 섹션아래 Tasks( 작업 ) 를클릭합니다. core-01a - 사용권한 1. nocrypto@corp.local 계정으로로그인한상태에서 core-01a 가상머신의암호화를해제하려는경우 Permissions to perform this operation was denied( 이작업을수행할수있는권한이거부되었음 ) 라는오류메시지가표시되는것을확인했습니다. 이는예상된결과입니다. nocrypto 사용자로그오프 Page 238

이제웹클라이언트에서 nocrypto@corp.local 사용자계정을로그아웃합니다. 1. 웹클라이언트오른쪽상단의 nocrypto@corp.local 사용자계정을클릭합니다. 2. Logout( 로그아웃 ) 을클릭합니다. Administrator@corp.local 로로그인 이미 RegionA vcenter Server 에로그인되어있으면아래단계를건너뛸수있습니다. 그렇지않으면아래단계를완료합니다. 1. User name:( 사용자이름 :) 텍스트필드에 administrator@corp.local 을입력합니다. 2. Password:( 암호 :) 텍스트필드에 VMware1! 를입력합니다. 3. Login( 로그인 ) 버튼을클릭합니다. 암호화된가상머신의파일다운로드시도 - 완료 이레슨에서는 nocrypto@corp.local Active Directory 사용자계정을사용하여 vcenter Server 에로그인했습니다. 이계정에는이미 vcenter Server 에서암호화제외시스템관리자역할이지정되었습니다. 암호화제외시스템관리자역할이지정된사용자는가상머신을암호화하거나암호화를해제할수없습니다. Page 239

결론 모듈 5 를완료했습니다. 이모듈에서는객체에대해암호화제외시스템관리자역할이부여된사용자는암호화작업권한을제외하고시스템관리자역할의사용자와동일한권한을갖는것에대해알아보았습니다. 이역할은시스템관리자가가상머신의암호화또는암호화해제, 암호화된데이터액세스를제외한모든관리작업을수행할수있는다른시스템관리자를지정할수있도록합니다. 이레슨에서다음과같은여러작업을수행했습니다. vcenter Server 에사전구성된역할을검토했습니다. 사전정의된 nocrypto Active Directory 사용자계정에암호화제외시스템관리자역할이할당되었는지확인했습니다. nocrypto Active Directory 사용자계정을사용하여 vcenter Server 에로그인했습니다. 암호화된가상머신파일의탐색을시도했습니다. 암호화된가상머신파일의다운로드를시도했습니다. 암호화된가상머신의콘솔열기를시도했습니다. 이실습 ( - vsphere 6.7 보안개념및구현 ) 에서다음과같은모듈을수행했습니다. ESXi 사용자의암호복잡성정책자동화 vrealize Log Insight 를사용한보안분석 KMS Server 추가, 가상머신의암호화 / 암호화해제, PowerCLI 사용 호스트및가상머신의보안부팅 새암호화제외시스템관리자역할및사용권한 아래에서원하는다른모듈을다시실행할수있습니다. (15 분, 초급 ) 이모듈에서는 ESXi 호스트의암호복잡성요구사항과호스트에대한요구사항설정을자동화하는방법에대해알아봅니다. 이러한보안규정준수요구사항으로인해어려움을겪고있다면이실습이많은도움이될것입니다. 이실습에서는클러스터내모든호스트에대해 ESXi 사용자의암호복잡성규칙을설정하는 PowerCLI 스크립트를실행합니다. (30 분, 초급 ) 이모듈에서는 vsphere 시스템관리자가 vsphere 6.7 및 vrealize Log Insight 의향상된로깅기능을사용하여 vcenter 에서실제로누가무엇을했는지를알아보는방법에대해살펴봅니다. 또한이모듈에서는시스템관리자가신속하게가상머신을재부팅한사용자는물론 ESXi 에대한유효하거나허용되지않은로그인시도를확인할수있는맞춤형대시보드를만드는방법을알아봅니다. (60 분, 고급 ) 이모듈에서는가상머신의암호화및암호화해제와같은향상된 vsphere 6.7 의보안기능을소개합니다. vsphere 6.7 에서암호화는스토리지정책을통해구현됩니다. 기존의전원이꺼진가상머신에암호화스토리지정책을적용하면디스크가암호화됩니다. 이는오늘날의보안요구사항을충족하는데필요한수준의보안을제공하기위해많은기업에서요청한기능입니다. 또한기본적으로일반 vmotion 과동일하지만 vmotion 프로세스를시작하기전에가상머신을암호화하는암호화된 vmotion 에대해알아봅니다. 이기능 Page 240

역시기업이보안및규정준수요구사항을충족하기위해많이요청한기능입니다. 그런다음 PowerCLI 명령줄툴을사용해봅니다. 이툴에는이제사용자가가상머신의암호화및해제등의작업을수행할수있는모듈이포함됩니다. 암호화에 PowerCLI 와같은명령줄툴을사용하면시스템관리자가 vsphere 환경에서대량의가상머신에암호화변경사항을적용할수있어시간과노력이절감됩니다. (30 분, 초급 ) 이모듈에서는가상머신및 vsphere 호스트에대한보안부팅지원을사용하는 vsphere 6.5 기능에대해살펴봅니다. vsphere 6.7 의새로운기능으로호스트와가상머신에가상 TPM 2.0 을추가하는기능이추가되었습니다. UEFI 보안부팅은 OS 핸드오프이전에신뢰할수있는코드만 EFI 펌웨어가로드하도록보장하는메커니즘입니다. 신뢰여부는펌웨어에서관리되는키및인증서에따라결정됩니다. 가상머신내부에이러한기능을구현함으로써가상머신에서 EFI 지원 OS 의보안부팅이가능합니다. (30 분, 고급 ) vsphere 6.7 의새보안기능에는가상머신용가상 TPM(Trusted Platform Module) 2.0 버전사용이포함됩니다. 또한 Windows 10 에서 Microsoft 의 VBS(Virtualization Based Security) 및 Credential Guard 기능을사용하기위한통합이포함되어있습니다. 이를수행하기위해 vtpm 2.0 및 VBS 를사용하도록설정할것입니다. 암호화제외역할참고자료 : 참고 : 실습설명서의 VMware 참고자료에대한링크는참조용으로만제공됩니다. 실습환경은인터넷연결이제공되지않을수있으므로이러한참고자료를보지못할수있습니다. 제공되는링크에연결할수없는경우링크를수동으로기록하거나모바일기기를사용하여사진을찍으십시오. 아래에는암호화제외시스템관리자역할과관련하여도움이되는추가자료에대한링크가나와있습니다. VMware vsphere 6.7 설명서 - 암호화작업에대한사전요건및필수권한 : https://pubs.vmware.com/vsphere-6-5/ index.jsp?topic=%2fcom.vmware.wssdk.pg.doc%2fpg_vm_encryption.14.4.html vsphere 6.7 백서 - vsphere 보안 : https://docs.vmware.com/en/vmwarevsphere/6.7/vsphere-esxi-vcenter-server-67-security-guide.pdf VMware vsphere 블로그 - vsphere 6.7 보안의새로운기능 : https://blogs.vmware.com/vsphere/2018/04/introducingvsphere-6-7-security.html 선택사항 : 실습종료방법 참고 : 실습에서 END( 종료 ) 버튼을클릭하면실습이종료되고관련가상머신이삭제됩니다. 따라서실습을다시시작하면이전실습인스턴스가아닌새가상머신의새인스턴스가생성됩니다. 이전의모든설정은사라지고실습이처음배포될때의기본설정으로돌아갑니다. 이제다음모듈을계속진행하거나목차를사용하여원하는다른모듈로건너뛸수있습니다. Page 241

실습을끝내려면 END( 종료 ) 버튼을클릭합니다. 참고 : 실습을종료한후다른모듈을실행하려면실습에다시등록해야합니다. Page 242

모듈 6 - 가상머신용 vtpm 2.0 및 VBS(30 분 ) Page 243

소개 이모듈 ( 모듈 6: 가상머신용 vtpm 2.0 및 VBS) 에서는새로추가된 vsphere 6.7 보안기능을통해 vsphere 호스트에가상 TPM(vTPM) 을추가하는방법을알아봅니다. 하드웨어 TPM(Trusted Platform Module) 이있어야하거나매핑할필요가없습니다. 새네트워크카드를추가하는것처럼새디바이스로 vtpm 을추가하기만하면됩니다. 표준 Microsoft 드라이버를사용하며, 또한 OS 변경이나특별한소프트웨어가필요없습니다. 또한 Windows 10 가상머신에 VBS(Virtualization Based Security) 를사용하도록설정하는방법도알아봅니다. 이모듈에서다룰내용은다음과같습니다. vsphere 6.7 의새로운보안기능인 ESXi 호스트용 vtpm(virtual Trusted Platform Module) 2.0 을살펴봅니다. 그런다음 vsphere 6.7 의새로운보안기능인가상머신용 vtpm(virtual Trusted Platform Module) 2.0 도살펴보겠습니다. 끝으로 Microsoft 의새가상머신용 VBS(Virtualization Based Security) 를사용하는방법을알아봅니다. ESXi 호스트용 vtpm 2.0: ESXi 는 TPM(Trusted Platform Module) 칩을사용할수있습니다. 이는소프트웨어가아니라하드웨어에기반한신뢰보증을제공하여호스트보안을강화하는안전한암호화프로세서입니다. TPM 은안전한암호화프로세서에대해업계에서널리사용되는표준입니다. TPM 칩은랩톱에서데스크톱, 서버에이르기까지오늘날대부분의컴퓨터에서사용됩니다. vsphere 6.7 은 TPM 버전 2.0 을지원합니다. TPM 2.0 칩은 ESXi 호스트의 ID 에대한증명을제공합니다. 호스트증명은특정시점의호스트소프트웨어상태를인증하고증명하는프로세스입니다. 성공적인증명을위해서는부팅시서명된소프트웨어만로드되도록보장하는 UEFI 보안부팅이필요합니다. TPM 2.0 칩이시스템에서부팅된소프트웨어모듈을평가하여그결과를기록하고안전하게저장하면 vcenter Server 가원격으로이를검증합니다. 원격증명프로세스의단계를간략하게설명하면다음과같습니다. 1. 원격 TPM 의신뢰성을확립하고이에대한증명키 (AK) 를생성합니다. 2. ESXi 호스트가 vcenter Server 에추가되거나재부팅되거나다시연결될때 vcenter Server 는호스트의 AK 를요청합니다. AK 생성과정에는 TPM 하드웨어자체의검증도포함되어알려진 ( 신뢰할수있는 ) 벤더가제작한하드웨어인지확인합니다. 3. 호스트에서증명보고서를검색합니다. 4. vcenter Server 는 TPM 에의해서명된 PCR(Platform Configuration Register) 의인용구문및기타서명된호스트의바이너리메타데이터가포함된증명보고서를보내도록호스트에요청합니다. vcenter Server 는이정보를통해신뢰할수있는것으로간주되는구성에해당하는지확인하여이전에신뢰할수없다고확인된호스트에대해플랫폼을식별합니다. Page 244

5. 호스트의신뢰성을검증합니다. 6. vcenter Server 는서명된구문의신뢰성을확인하고소프트웨어버전을유추하며해당소프트웨어버전의신뢰성을결정합니다. vcenter Server 에서서명된구문이유효하지않다고판단할경우원격증명에실패하고호스트에대한신뢰가수립되지않습니다. TPM 2.0 칩을사용하려면 vcenter Server 환경에서다음요구사항을충족해야합니다. vcenter Server 6.7 TPM 2.0 칩이설치되고 UEFI 가설정된 ESXi 6.7 호스트 UEFI 보안부팅이설정됨 ESXi 호스트의 BIOS 에서 TPM 이 SHA-256 해싱알고리즘및 CRB(Command Response Buffer) 가아닌 TIS/FIFO(First-In, First-Out) 인터페이스를사용하도록구성되었는지확인합니다. 이러한필수 BIOS 옵션설정에대한자세한내용은벤더설명서를참조하십시오. 가상머신용 vtpm 2.0: vtpm(virtual Trusted Platform Module) 개요 vtpm 은암호화코프로세서기능을소프트웨어로수행합니다. vtpm 이가상머신에추가되면게스트운영체제에서개인키를생성하고저장할수있도록합니다. 이키는게스트운영체제에노출되지않습니다. 따라서가상머신의공격범위가감소합니다. 일반적으로게스트운영체제가손상되면그기밀정보도손상되지만 vtpm 을사용하면이리스크가크게줄어듭니다. 이키는게스트운영체제에서만암호화또는서명에사용할수있습니다. 연결된 vtpm 을사용하면제 3 자가원격으로펌웨어및게스트운영체제의 ID 를증명 ( 검증 ) 할수있습니다. 신규가상머신또는기존가상머신에 vtpm 을추가할수있습니다. vtpm 은가상머신암호화를사용하여중요한 TPM 데이터를보호합니다. vtpm 을구성하면가상머신암호화가자동으로가상머신파일을암호화하지만디스크는암호화하지않습니다. 명시적으로가상머신과그디스크에암호화를추가하도록선택할수있습니다. vtpm 이설정된가상머신을백업할수도있습니다. 백업에는 *.nvram 파일을포함하여모든가상머신데이터가포함되어야합니다. 백업에 *.nvram 파일이포함되지않으면 vtpm 을사용하여가상머신을복원할수없습니다. 또한 vtpm 이설정된가상머신은가상머신홈파일이암호화되므로복원시암호화키를사용할수있어야합니다. vtpm 은물리적 TPM(Trusted Platform Module) 2.0 칩없이도 ESXi 호스트에표시됩니다. 그러나호스트증명을수행하려면 TPM 2.0 물리적칩과같은외부엔티티가필요합니다. TPM(Trusted Platform Module) 을사용하여 ESXi 호스트보호를참조하십시오. 참고 : vtpm 이설정된가상머신에는기본적으로스토리지정책이연결되지않습니다. 가상머신파일 ( 가상머신홈 ) 만암호화됩니다. 원할경우가상머신과그디스크에암호화를추가하도록명시적으로선택할수있지만가상머신파일은이미암호화되어있을것입니다. Page 245

가상머신용 VBS(Virtualization Based Security): Windows 10 및 Windows Server 2016 운영체제의기능인 Microsoft VBS 는시스템보안을개선하기위해분리되고하이퍼바이저에제한된전용하위시스템을생성하여하드웨어및소프트웨어가상화를사용합니다. vsphere 6.7 부터지원되는 Windows 게스트운영체제에서 Microsoft VBS(Virtualization Based Security) 를사용하도록설정할수있습니다. 다음은 VBS 를관리하기위한 PowerShell 명령의예입니다. 기존가상머신에 VBS(Virtualization Based Security) 를사용하도록설정 1. 지원되는 Windows 게스트운영체제에대해기존가상머신에 Microsoft VBS(Virtualization Based Security) 를사용하도록설정할수있습니다. 게스트운영체제에 VBS(Virtualization Based Security) 를사용하도록설정 2. 지원되는 Windows 게스트운영체제에대해 Microsoft VBS(Virtualization Based Security) 를사용하도록설정할수있습니다. VBS(Virtualization Based Security) 해제 3. 가상머신에서더이상 VBS(Virtualization Based Security) 를사용하지않을경우 VBS 를해제할수있습니다. 가상머신에서 VBS 를해제할때 Windows VBS 옵션은변경되지않지만성능문제를유발할수있습니다. 가상머신에서 VBS 를해제하기전에 Windows 의 VBS 옵션을해제하십시오. VBS 가설정된가상머신식별 Page 246

VBS 에대해 Windows 10 구성 이레슨에서는 Windows 10 가상머신에 VBS(Virtualization Based Security) 를사용하도록설정하는방법을알아보겠습니다. Google Chrome 실행 Google Chrome 이열려있으면아래단계를건너뛰고, 그렇지않을경우아래단계를수행합니다. 1. 빠른실행작업표시줄에있는 Google Chrome 아이콘을클릭합니다. RegionA 새 Google Chrome 브라우저창을열려는경우아래단계를수행하고그렇지않으면이단계를건너뛸수있습니다. 1. 북마크도구모음에서 RegionA 폴더를클릭합니다. 2. RegionA vsphere Client (HTML) 를클릭합니다. Page 247

RegionA vcenter Server 에로그인 이미 RegionA vcenter Server 에로그인되어있으면아래단계를건너뛸수있습니다. 그렇지않으면아래단계를완료합니다. 1. User name:( 사용자이름 :) 텍스트필드에 administrator@corp.local 을입력합니다. 2. Password:( 암호 :) 텍스트필드에 VMware1! 를입력합니다. 3. Login( 로그인 ) 버튼을클릭합니다. Page 248

호스트및클러스터 1. 탐색창에서 Hosts and Clusters( 호스트및클러스터 ) 아이콘을클릭합니다. 2. 필요할경우 vcsa-01a.corp.local vcenter Server 옆의화살표를클릭하여가상머신의목록이표시될때까지모든항목을확장합니다. Page 249

win10 - 전원끄기 1. 탐색창에서 win10 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를클릭합니다. 3. Power( 전원 ) 드롭다운메뉴에서 Power Off( 전원끄기 ) 를클릭합니다. win10 - 전원끄기확인 1. 팝업창에서 YES( 예 ) 버튼을클릭하여전원끄기를확인합니다. Page 250

win10 - 설정편집 1. 탐색창에서 win10 가상머신을마우스오른쪽버튼으로클릭합니다. 2. Edit Settings( 설정편집 ) 를클릭합니다. Page 251

win10 - 보안부팅설정 이제 win10 가상머신에서보안부팅이설정되었는지확인하겠습니다. 설정되지않은경우보안부팅을설정하는확인란을선택했는지확인합니다. 1. Edit Settings( 설정편집 ) 팝업창에서 VM Options( 가상머신옵션 ) 를클릭합니다. 2. Enabled( 사용 ) 확인란을클릭하여 Secure Boot( 보안부팅 ) 를설정합니다. 3. OK( 확인 ) 버튼을클릭합니다. Page 252

win10 - 전원켜기 1. 탐색창에서 win10 가상머신을마우스오른쪽버튼으로클릭합니다. 2. 드롭다운메뉴에서 Power( 전원 ) 를클릭합니다. 3. Power( 전원 ) 드롭다운메뉴에서 Power On( 전원켜기 ) 을클릭합니다. Page 253

win10 - 가상머신 1. 탐색창에서 VMs and Templates( 가상머신및템플릿 ) 아이콘을클릭합니다. 2. 탐색창에서 vcsa-01b.corp.local vcenter Server 를클릭합니다. 3. 컨텐츠창에서 VMs( 가상머신 ) 탭을클릭합니다. Page 254

win10 - 보이기 / 숨기기열 1. 열머리글에서아래쪽화살표를클릭합니다. 2. Show/Hide( 보이기 / 숨기기 ) 열을클릭합니다. 3. 스크롤막대를사용하여목록하단까지스크롤합니다. 4. TPM 및 VBS 열의확인란을선택하여설정합니다. 5. 빈공간을클릭하여드롭다운메뉴가표시되지않도록하면 TPM 열을볼수있습니다. Page 255

win10 - VBS 열 1. 이제 VBS 열에서 win10 가상머신이 Not Present( 없음 ) 로표시됩니다. win10 - 웹콘솔시작 1. 탐색창에서 Hosts and Clusters( 호스트및클러스터 ) 아이콘을클릭합니다. 2. 탐색창에서 win10 가상머신을클릭합니다. 3. Summary( 요약 ) 탭을클릭합니다. Page 256

4. Launch Web Console( 웹콘솔열기 ) 링크를클릭하여가상머신의콘솔창을엽니다. win10 - 바탕화면 1. 바탕화면을클릭하여 Login( 로그인 ) 화면을표시합니다. win10 - 로그인 1. Password ( 암호 ) 필드에 VMware1! 를입력합니다. 2. 화살표아이콘을클릭하여가상머신에로그인합니다. Page 257

win10 - PowerShell(Admin) 실행 1. 바탕화면왼쪽하단의 Windows 아이콘을클릭합니다. 2. 메뉴에서 Windows PowerShell (Admin) 을클릭합니다. PowerShell - Set-ExecutionPolicy 먼저 DG_Readiness_Tool_v3.5.ps1 스크립트를실행할수있도록실행정책을설정해야합니다. 1. PowerShell 에다음명령을입력하여디렉토리위치를변경합니다. Set-ExecutionPolicy Unrestricted 2. PowerShell 에다음명령을입력하여전체적으로변경사항을적용합니다. A Page 258

PowerShell - 디렉토리변경및스크립트실행 1. PowerShell 에다음명령을입력하여디렉토리위치를변경합니다. cd C:\DG_Readiness_Tool_v3.5\ 2. PowerShell 에다음명령을입력하여 DG Readiness Tool 스크립트를실행합니다../DG_Readiness_Tool_v3.5.ps1 -Capable -DG -CG -HVCI PowerShell - 스크립트결과 1. DG Readiness Tool 스크립트실행결과를통해 win10 가상머신의보안부팅이설정되었음을알수있습니다. 이는 VBS 를사용하도록설정하기위한필수요건입니다. VBS 에대해 Windows 10 구성 - 완료 이레슨에서는 win10 가상머신의설정에서 EFI Firmware(EFI 펌웨어 ), Secure Boot( 보안부팅 ) 및 VBS(Virtualization Based Security) 를사용하도록설정되었는지확인합니다. Page 259

Device Guard 및 Credential Guard 설정 이레슨에서는 Windows 10 머신에서 Microsoft DG Readiness Tool 을사용하여 Device Guard 및 Credential Guard 의상태를확인하고설정및해제할것입니다. 아래에툴폴더에포함된 ReadMe.txt 파일의내용이일부나와있습니다. ######################################################### Readiness Tool 3.4 버전릴리스. Device Guard 및 Credential Guard 를실행할수있는디바이스인지확인하는툴입니다. ######################################################### Device Guard 및 Credential Guard 를사용하도록설정하기위한 OS 및하드웨어요구사항 1. OS SKU: Enterprise, Professional, Home, Education, Server 및 Enterprise IoT OS SKU 에서만 Device Guard 및 Credential Guard 가제공됨 2. OS 버전 : Windows 10, Version 1607 또는 Windows Server 2016 이상의 OS 버전에서툴을실행할수있음 3. 하드웨어 : SLAT 로가상화확장을지원하는최신하드웨어 ######################################################### 실행정책이스크립트실행을허용하도록설정되지않은경우아래와같이수동으로설정한후준비스크립트를사용해야합니다. Set-ExecutionPolicy Unrestricted 용법 : DG_Readiness.ps1 -[Capable/Ready/Enable/Disable] -[DG/CG/HVCI] -[AutoReboot] - Path 세부정보를제공하는로그파일의위치 : C:\DGLogs DG/CG 를사용하도록설정하기위해서는맞춤형 SIPolicy.p7b 가있을경우 -Path 매개변수를사용하고그렇지않으면하드코드된기본정책이사용됨 용법 : DG_Readiness.ps1 -Enable OR DG_Readiness.ps1 -Enable -Path <full path to the SIPolicy.p7b> HVCI 만사용하려는경우 용법 : DG_Readiness.ps1 -Enable -HVCI Page 260

CG 만사용하려는경우 용법 : DG_Readiness.ps1 -Enable -CG DG/CG 가설정되었는지확인하려면 용법 : DG_Readiness.ps1 -Ready DG/CG 를해제하려면 용법 : DG_Readiness.ps1 -Disable DG/CG 가해제되었는지확인하려면 용법 : DG_Readiness.ps1 -Ready 이디바이스가 DG/CG 를지원하는지확인하려면 용법 : DG_Readiness.ps1 -Capable 이디바이스가 HVCI 를지원하는지확인하려면 용법 : DG_Readiness.ps1 -Capable -HVCI 각옵션을사용하여자동재부팅하려면 용법 : DG_Readiness.ps1 -[Capable/Enable/Disable] -AutoReboot ######################################################### '-capable' 을포함하여 Readiness Tool 을실행하면다음과같은 RegKey 값이설정됩니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities CG_Capable DG_Capable HVCI_Capable 값 0 = 이디바이스에는 DG/CG/HVCI 를설정할수없음 값 1 = 이디바이스는 DG/CG/HVCI 를실행할수있지만추가보안자격에필요한일부펌웨어 / 하드웨어 / 소프트웨어가누락되었음 값 2 = DG/CG/HVCI 와완벽하게호환됨 ######################################################### Page 261

유용한참고자료 : Device Guard 및 Credential Guard 에대한 PC OEM 요구사항 : https://msdn.microsoft.com/ library/windows/hardware/mt767514(v=vs.85).aspx Credential Guard 배포 : https://technet.microsoft.com/en-us/itpro/windows/keep-secure/ credential-guard#hardware-and-software-requirements Device Guard 배포 : https://technet.microsoft.com/en-us/itpro/windows/keep-secure/ requirements-and-deployment-planning-guidelines-for-device-guard PowerShell - 화면지우기 1. PowerShell 에다음명령을입력하여화면을지웁니다. clear PowerShell - Device Guard 설정 1. PowerShell 에다음명령을입력하여디렉토리위치를변경합니다. Page 262

./DG_Readiness_Tool_v3.5.ps1 -Enable -DG 2. win10 가상머신이 Device Guard(DG) 를사용하도록설정되었다는것을알수있습니다. PowerShell - Credential Guard 설정 1. PowerShell 에다음명령을입력하여디렉토리위치를변경합니다../DG_Readiness_Tool_v3.5.ps1 -Enable -CG 2. win10 가상머신에 Credential Guard(CG) 가설정된것이확인되었습니다. PowerShell - Device Guard 확인 1. PowerShell 에다음명령을입력하여디렉토리위치를변경합니다. Page 263

./DG_Readiness_Tool_v3.5.ps1 -Ready 2. Device Guard(DG) 가설정되었지만아직실행되지않는것으로표시됩니다. win10 가상머신을다시부팅한후명령을다시실행해야실행중으로표시되기때문입니다. 이는실습환경이므로 win10 가상머신을재부팅하여다시구성하려면시간이너무오래걸립니다. 따라서시간상의이유로실제로 win10 가상머신을재부팅하여확인하지않을것입니다. PowerShell - 종료 1. PowerShell 창의 "X" 를클릭하여종료합니다. win10 탭닫기 1. win10 Google Chrome 탭의 "X" 를클릭하여종료합니다. win10 - 확인 가상머신의리소스가한정된실습환경이므로 win10 가상머신을재부팅하지않았습니다. 일반적으로는 Windows 10 머신을재부팅한후 PowerShell 명령을다시실행하여 DG(Device Guard) 및 CG(Credential Guard) 가설정되었는지상태를확인합니다. Page 264