Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de datos en tránsito
En este tema se explican las diferentes opciones disponibles para cifrar los datos de los archivos mientras están en tránsito entre un sistema de archivos FSx for ONTAP y los clientes conectados. También proporciona orientación para ayudarle a elegir el método de cifrado que mejor se adapte a su flujo de trabajo.
Todos los datos que circulan Regiones de AWS por la red AWS global se cifran automáticamente en la capa física antes de salir de las instalaciones AWS seguras. Se cifra todo el tráfico entre las zonas de disponibilidad. Las capas adicionales de cifrado, incluidas las que aparecen en esta sección, pueden proporcionar una protección adicional. Para obtener más información sobre cómo se AWS protege el flujo de datos entre Regiones de AWS las zonas disponibles y las instancias, consulte Encryption in transit en la Guía del usuario de Amazon Elastic Compute Cloud para instancias de Linux.
Amazon FSx para NetApp ONTAP admite los siguientes métodos para cifrar los datos en tránsito entre los sistemas de archivos fSx for ONTAP y los clientes conectados:
Todos los métodos compatibles para cifrar los datos en tránsito utilizan algoritmos criptográficos AES-256 estándar del sector que proporcionan un cifrado de nivel empresarial.
Temas
- Elección de un método para cifrar datos en tránsito
- Cifrado de datos en tránsito con Nitro System AWS
- Cifrado de los datos en tránsito con un cifrado basado en Kerberos
- Cifrado de datos en tránsito con cifrado de IPsec
- Habilitar el cifrado SMB de los datos en tránsito
- Configuración de IPsec mediante la autenticación PSK
- Configuración de IPsec mediante la autenticación PSK
Elección de un método para cifrar datos en tránsito
En esta sección se proporciona información que puede ayudarle a decidir cuál de los métodos de cifrado en tránsito admitidos es el mejor para su flujo de trabajo. Vuelva a consultar esta sección para explorar las opciones compatibles que se describen en detalle en las secciones siguientes.
Hay varios factores que se deben tener en cuenta a la hora de elegir cómo se van a cifrar los datos en tránsito entre el sistema de archivos de FSx para ONTAP y los clientes conectados. Estos factores incluyen:
En el Región de AWS que se ejecuta su sistema de archivos FSx for ONTAP.
Tipo de instancia en la que se ejecuta el cliente.
La ubicación del cliente que accede al sistema de archivos.
Requisitos de rendimiento de red.
El protocolo de datos que desea cifrar.
Si utiliza Microsoft Active Directory.
- Región de AWS
El sistema de archivos en el Región de AWS que se ejecuta determina si puede utilizar o no el cifrado basado en Amazon Nitro. El cifrado basado en Nitro está disponible en las siguientes Regiones de AWS:
Este de EE. UU. (Norte de Virginia)
Este de EE. UU. (Ohio)
Oeste de EE. UU. (Oregón)
Europa (Irlanda)
Además, el cifrado basado en Nitro está disponible para los sistemas de archivos de segunda generación en Asia Pacífico (Sídney). Región de AWS
- Tipo de instancia del cliente
Puede utilizar el cifrado basado en Amazon Nitro si el cliente que accede a su sistema de archivos se ejecuta en alguno de los tipos de instancias de Amazon EC2 para Mac, Linux o Windows compatibles y su flujo de trabajo cumple todos los demás requisitos para utilizar el cifrado basado en Nitro. No hay ningún requisito de tipo de instancia de cliente para utilizar el cifrado de Kerberos o IPsec.
- Ubicación del cliente
-
La ubicación del cliente que accede a los datos con respecto a la ubicación del sistema de archivos influye en los métodos de cifrado en tránsito disponibles para su uso. Puede usar cualquiera de los métodos de cifrado compatibles si el cliente y el sistema de archivos están ubicados en la misma VPC. Lo mismo ocurre si el cliente y el sistema de archivos se encuentran en una VPC emparejada, siempre que el tráfico no pase a través de un dispositivo o servicio de red virtual, como una puerta de enlace. El cifrado basado en Nitro no está disponible si el cliente no está en la misma VPC o en una VPC emparejada, o si el tráfico pasa a través de un dispositivo o servicio de red virtual.
- Rendimiento de la red
-
El uso del cifrado basado en Amazon Nitro no tiene impacto en el rendimiento de la red. Esto se debe a que las instancias de Amazon EC2 compatibles utilizan las capacidades de descarga del hardware de Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias.
El uso del cifrado de Kerberos o IPsec tiene impacto en el rendimiento de la red. Esto se debe a que ambos métodos de cifrado están basados en software, lo que requiere que el cliente y el servidor utilicen recursos de computación para cifrar y descifrar el tráfico en tránsito.
- Protocolo de datos
-
Puede utilizar el cifrado basado en Amazon Nitro y el cifrado de IPsec con todos los protocolos compatibles: NFS, SMB e iSCSI. Puede utilizar el cifrado de Kerberos con los protocolos NFS y SMB (con un Active Directory).
- Active Directory
Si utiliza Microsoft Active Directory, puede utilizar el cifrado de Kerberos a través de los protocolos NFS y SMB.
Utilice el siguiente diagrama como ayuda para decidir qué método de cifrado en tránsito debe utilizar.
El cifrado de IPsec es la única opción disponible cuando se cumplen todas las condiciones siguientes al flujo de trabajo:
Está utilizando el protocolo NFS, SMB o iSCSI.
Su flujo de trabajo no admite el uso del cifrado basado en Amazon Nitro.
No está utilizando un dominio de Microsoft Active Directory.
Cifrado de datos en tránsito con Nitro System AWS
Con el cifrado basado en Nitro, los datos en tránsito se cifran automáticamente cuando los clientes que acceden a sus sistemas de archivos utilizan tipos de instancias de Amazon EC2 de Linux o Windows compatibles.
El uso del cifrado basado en Amazon Nitro no tiene impacto en el rendimiento de la red. Esto se debe a que las instancias de Amazon EC2 compatibles utilizan las capacidades de descarga del hardware de Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias.
El cifrado basado en Nitro se habilita automáticamente cuando los tipos de instancias de cliente compatibles se encuentran en la misma Región de AWS y en la misma VPC o en una VPC emparejada con la VPC del sistema de archivos. Además, si el cliente se encuentra en una VPC emparejada, los datos no pueden atravesar un dispositivo o servicio de red virtual (como una puerta de enlace de tránsito) para que el cifrado basado en Nitro se habilite automáticamente. Para obtener más información sobre el cifrado basado en Nitro, consulte la sección Cifrado en tránsito de la Guía del usuario de Amazon EC2 para tipos de instancia de Linuxhttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit o Windows.
El cifrado en tránsito basado en Nitro está disponible para los siguientes sistemas de archivos creados después del 28 de noviembre de 2022: Regiones de AWS
Este de EE. UU. (Norte de Virginia)
Este de EE. UU. (Ohio)
Oeste de EE. UU. (Oregón)
Europa (Irlanda)
Además, el cifrado basado en Nitro está disponible para los sistemas de archivos de segunda generación en Asia Pacífico (Sídney). Región de AWS
Para obtener más información sobre Regiones de AWS dónde está disponible fSx para ONTAP, consulte los precios de Amazon FSx
Para obtener más información sobre las especificaciones de rendimiento de los sistemas de archivos de FSx para ONTAP, consulte Impacto de la capacidad de rendimiento en el rendimiento.
Cifrado de los datos en tránsito con un cifrado basado en Kerberos
Si utiliza Microsoft Active Directory, puede utilizar el cifrado basado en Kerberos a través de los protocolos NFS y SMB para cifrar los datos en tránsito de los volúmenes secundarios de las SVM que están unidas a un Microsoft Active Directory.
Cifrar los datos en tránsito a través de NFS mediante Kerberos
Los protocolos NFSv3 y NFSv4 admiten el cifrado de datos en tránsito mediante Kerberos. Para habilitar el cifrado en tránsito mediante Kerberos para el protocolo NFS, consulte Uso de Kerberos con NFS para una mayor seguridad
Cifrar los datos en tránsito a través de SMB mediante Kerberos
El cifrado de los datos en tránsito a través del protocolo SMB se admite en los archivos compartidos que están mapeados en una instancia de procesamiento que admite el protocolo SMB 3.0 o posterior. Esto incluye todas Microsoft Windows las versiones de Microsoft Windows Server 2012 y posteriores, y Microsoft Windows 8 y posteriores. Si está activado, FSx para ONTAP cifra automáticamente los datos en tránsito mediante cifrado SMB a medida que se accede al sistema de archivos, sin necesidad de modificar las aplicaciones.
FSx para ONTAP SMB admite el cifrado de 128 y 256 bits, que se determina mediante la solicitud de sesión del cliente. Para obtener descripciones de los diferentes niveles de cifrado, consulte la sección Establecer el nivel de seguridad de autenticación mínimo del servidor SMB de Gestionar SMB con la CLI
nota
El cliente determina el algoritmo de cifrado. Tanto la autenticación de NTLM como la de Kerberos funcionan con el cifrado de 128 y 256 bits. El servidor FSx para ONTAP SMB acepta todas las solicitudes estándar de los clientes de Windows y los controles detallados se gestionan mediante la política de grupo de Microsoft o la configuración del registro.
Utilice la CLI de ONTAP para gestionar la configuración de cifrado en tránsito en FSx para SVM y volúmenes ONTAP. Para acceder a la CLI de NetApp ONTAP, establezca una sesión SSH en la SVM en la que está realizando la configuración de cifrado en tránsito, como se describe en Administración de SVM con la CLI ONTAP.
Para obtener instrucciones sobre cómo habilitar el cifrado SMB en un SVM o volumen, consulte. Habilitar el cifrado SMB de los datos en tránsito
Cifrado de datos en tránsito con cifrado de IPsec
FSx para ONTAP admite el uso del protocolo de IPsec en el modo de transporte para garantizar que los datos estén protegidos y cifrados de forma continua mientras están en tránsito. IPsec ofrece el end-to-end cifrado de los datos en tránsito entre los clientes y FSx para los sistemas de archivos ONTAP para todo el tráfico IP compatible: protocolos NFS, iSCSI y SMB. Con el cifrado de IPsec, se establece un túnel de IPsec entre un FSx para ONTAP SVM configurado con IPsec activado y un cliente de IPsec que se ejecuta en el cliente conectado que accede a los datos.
Le recomendamos que utilice IPsec para cifrar los datos en tránsito a través de los protocolos NFS, SMB e iSCSI al acceder a los datos desde clientes que no admiten el Cifrado basado en Nitro y si su cliente y las SVM no están unidos a un Active Directory, que es necesario para el cifrado basado en Kerberos. El cifrado de IPsec es la única opción disponible para cifrar los datos en tránsito para el tráfico iSCSI cuando el cliente iSCSI no admite el cifrado basado en Nitro.
Para la autenticación de IPsec, puede usar claves previamente compartidas (PSK) o certificados. Si utiliza un PSK, el cliente IPSec que utilice debe ser compatible con la versión 2 del intercambio de claves de Internet (IKEv2) con un PSK. Los pasos de alto nivel para configurar el cifrado IPsec tanto en FSx para ONTAP como para el cliente son los siguientes:
Habilite y configure IPsec en su sistema de archivos.
Instale y configure IPsec en su cliente
Configure IPsec para el acceso de varios clientes
Para obtener más información sobre cómo configurar IPSec mediante PSK, consulte Configuración de la seguridad IP (IPsec) mediante cifrado por cable
Para obtener más información sobre cómo configurar IPSec mediante certificados, consulte. Configuración de IPsec mediante la autenticación PSK
