Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei dati in transito
Questo argomento spiega le diverse opzioni disponibili per crittografare i dati dei file mentre sono in transito tra un ONTAP file system FSx for e i client connessi. Fornisce inoltre indicazioni per aiutarvi a scegliere il metodo di crittografia più adatto al vostro flusso di lavoro.
Tutti i dati che fluiscono attraverso la Regioni AWS rete AWS globale vengono automaticamente crittografati a livello fisico prima di lasciare le strutture AWS protette. Tutto il traffico tra le zone di disponibilità è crittografato. I livelli di crittografia aggiuntivi, inclusi quelli elencati in questa sezione, forniscono protezioni aggiuntive. Per ulteriori informazioni su come AWS fornisce protezione per il flusso di dati tra Regioni AWS zone disponibili e istanze, consulta Encryption in transit nella Amazon Elastic Compute Cloud User Guide for Linux Instances.
Amazon FSx for NetApp ONTAP supporta i seguenti metodi per crittografare i dati in transito tra FSx i ONTAP file system e i client connessi:
Tutti i metodi supportati per la crittografia dei dati in transito utilizzano algoritmi crittografici standard di settore AES -256 che forniscono una crittografia avanzata di livello aziendale.
Argomenti
- Scelta di un metodo per crittografare i dati in transito
- Crittografia dei dati in transito con AWS Nitro System
- Crittografia dei dati in transito con la crittografia basata su Kerberos
- Crittografia dei dati in transito con IPsec crittografia
- Abilita SMB la crittografia dei dati in transito
- Configurazione IPsec mediante autenticazione PSK
- Configurazione IPsec tramite autenticazione tramite certificato
Scelta di un metodo per crittografare i dati in transito
Questa sezione fornisce informazioni che possono aiutarti a decidere quale dei metodi di crittografia supportati nei metodi di transito è più adatto al tuo flusso di lavoro. Fai riferimento a questa sezione per esplorare le opzioni supportate descritte in dettaglio nelle sezioni seguenti.
Ci sono diversi fattori da considerare nella scelta del modo in cui crittografare i dati in transito tra il ONTAP file system FSx for file e i client connessi. Questi fattori includono:
Il sistema in Regione AWS cui è in esecuzione il ONTAP file system FSx for.
Il tipo di istanza su cui è in esecuzione il client.
La posizione del client che accede al file system.
Requisiti prestazionali della rete.
Il protocollo di dati che desideri crittografare.
Se si utilizza Microsoft Active Directory.
- Regione AWS
Il file system in Regione AWS cui è in esecuzione determina se è possibile utilizzare o meno la crittografia basata su Amazon Nitro. La crittografia basata su Nitro è disponibile nelle seguenti versioni: Regioni AWS
Stati Uniti orientali (Virginia settentrionale)
Stati Uniti orientali (Ohio)
US West (Oregon)
Europa (Irlanda)
Inoltre, la crittografia basata su Nitro è disponibile per i file system di seconda generazione nella regione Asia-Pacifico (Sydney). Regione AWS
- Tipo di istanza del client
Puoi utilizzare la crittografia basata su Amazon Nitro se il client che accede al tuo file system è in esecuzione su uno dei tipi di istanza Amazon EC2 Mac, Linux o Windows supportati e il tuo flusso di lavoro soddisfa tutti gli altri requisiti per l'utilizzo della crittografia basata su Nitro. Non esistono requisiti relativi al tipo di istanza client per l'utilizzo di Kerberos o della crittografia. IPsec
- Client location (Posizione del client)
-
La posizione del client che accede ai dati rispetto alla posizione del file system influisce sui metodi di crittografia in transito disponibili per l'uso. È possibile utilizzare uno qualsiasi dei metodi di crittografia supportati se il client e il file system si trovano nello stesso VPC ambiente. Lo stesso vale se il client e il file system si trovano in modalità VPCs peer-to-peer, purché il traffico non passi attraverso un dispositivo o un servizio di rete virtuale, ad esempio un gateway di transito. La crittografia basata su Nitro non è disponibile se il client non è collegato allo stesso computer o se il traffico passa attraverso un dispositivo o un servizio di rete virtuale. VPC
- Prestazioni di rete
-
L'uso della crittografia basata su Amazon Nitro non ha alcun impatto sulle prestazioni di rete. Questo perché le EC2 istanze Amazon supportate utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze.
L'uso di Kerberos o della crittografia ha un impatto sulle prestazioni della rete. IPsec Questo perché entrambi questi metodi di crittografia sono basati su software, il che richiede al client e al server di utilizzare risorse di elaborazione per crittografare e decrittografare il traffico in transito.
- Protocollo dati
-
Puoi utilizzare la crittografia e IPsec la crittografia basate su Amazon Nitro con tutti i protocolli supportati: NFSSMB, e iSCSI. Puoi utilizzare la crittografia Kerberos con i SMB protocolli NFS and (con Active Directory).
- Active Directory
Se si utilizza Microsoft Active Directory, è possibile utilizzare la crittografia Kerberos sui protocolli and. NFS SMB
Utilizzate il seguente diagramma per decidere quale metodo di crittografia in transito utilizzare.
IPsecla crittografia è l'unica opzione disponibile quando tutte le seguenti condizioni si applicano al flusso di lavoro:
Stai utilizzando il SCSI protocollo NFSSMB, o i.
Il tuo flusso di lavoro non supporta l'uso della crittografia basata su Amazon Nitro.
Non stai utilizzando un dominio Microsoft Active Directory.
Crittografia dei dati in transito con AWS Nitro System
Con la crittografia basata su Nitro, i dati in transito vengono crittografati automaticamente quando i client che accedono ai tuoi file system sono in esecuzione su tipi di istanze Amazon EC2 Linux o Windows supportati.
L'uso della crittografia basata su Amazon Nitro non ha alcun impatto sulle prestazioni di rete. Questo perché le EC2 istanze Amazon supportate utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze.
La crittografia basata su Nitro viene abilitata automaticamente quando i tipi di istanze client supportati si trovano nella stessa unità VPC o in un sistema Regione AWS peer-to-peer con il file system. VPC VPC Inoltre, se il client utilizza un sistema peerVPC, i dati non possono attraversare un dispositivo o un servizio di rete virtuale (come un gateway di transito) per abilitare automaticamente la crittografia basata su Nitro. Per ulteriori informazioni sulla crittografia basata su Nitro, consulta la sezione Encryption in transit della Amazon EC2 User Guide per i tipi di istanze Linux o Windows.
La crittografia in transito basata su Nitro è disponibile per i file system creati dopo il 28 novembre 2022 nei seguenti paesi: Regioni AWS
Stati Uniti orientali (Virginia settentrionale)
Stati Uniti orientali (Ohio)
US West (Oregon)
Europa (Irlanda)
Inoltre, la crittografia basata su Nitro è disponibile per i file system di seconda generazione nell'Asia Pacifico (Sydney). Regione AWS
Per ulteriori informazioni su Regioni AWS dove FSx ONTAP è disponibile, consulta Amazon FSx for NetApp ONTAP Pricing
Per ulteriori informazioni sulle specifiche prestazionali FSx per i ONTAP file system, consultaImpatto della capacità di throughput sulle prestazioni.
Crittografia dei dati in transito con la crittografia basata su Kerberos
Se si utilizza Microsoft Active Directory, è possibile utilizzare la crittografia basata su Kerberos su SMB protocolli NFS e per crittografare i dati in transito per i volumi figlio SVMsche sono uniti a un Microsoft Active Directory.
Crittografia dei dati in transito tramite Kerberos NFS
La crittografia dei dati in transito tramite Kerberos è supportata da e protocolli. NFSv3 NFSv4 Per abilitare la crittografia in transito utilizzando Kerberos per il NFS protocollo, vedi Utilizzo di Kerberos con NFS per
Crittografia dei dati in transito tramite Kerberos SMB
La crittografia dei dati in transito tramite il SMB protocollo è supportata sulle condivisioni di file mappate su un'istanza di calcolo che supporta il protocollo 3.0 o versioni successive. SMB Sono incluse tutte Microsoft Windows le versioni di Microsoft Windows Server 2012 e versioni successive e Microsoft Windows 8 e versioni successive. Se abilitato, FSx for crittografa ONTAP automaticamente i dati in transito utilizzando la SMB crittografia quando si accede al file system senza la necessità di modificare le applicazioni.
FSxfor ONTAP SMB supporta la crittografia a 128 e 256 bit, determinata dalla richiesta di sessione del client. Per le descrizioni dei diversi livelli di crittografia, vedere la sezione Impostare il livello minimo di sicurezza di autenticazione del SMB server in Gestire SMB con o CLI nel
Nota
Il client determina l'algoritmo di crittografia. NTLMSia l'autenticazione che quella Kerberos funzionano con la crittografia a 128 e 256 bit. FSxfor ONTAP SMB Server accetta tutte le richieste standard dei client Windows e i controlli granulari sono gestiti dalle impostazioni dei criteri di gruppo o del registro di Microsoft.
Si utilizza ONTAP CLI per gestire la crittografia nelle impostazioni di transito su FSx for ONTAP SVMs e volumi. Per accedere a NetApp ONTAPCLI, stabilite una SSH sessione SVM sulla quale state effettuando la crittografia nelle impostazioni di transito, come descritto inGestione delle SVM con la CLI ONTAP.
Per istruzioni su come abilitare la SMB crittografia su un volume SVM or, consultaAbilita SMB la crittografia dei dati in transito.
Crittografia dei dati in transito con IPsec crittografia
FSxper ONTAP supportare l'utilizzo del IPsec protocollo in modalità di trasporto per garantire che i dati siano costantemente sicuri e crittografati durante il transito. IPsecoffre end-to-end la crittografia dei dati in transito tra client e FSx per i ONTAP file system per tutto il traffico IP supportato NFSSCSI, i e SMB i protocolli. Con IPsec la crittografia, si stabilisce un IPsec tunnel tra un FSx client ONTAP SVM configurato come IPsec abilitato e un IPsec client in esecuzione sul client connesso che accede ai dati.
Si consiglia di utilizzare i SCSI protocolli IPsec per crittografare i dati in transito tramite i NFSSMB, e i quando si accede ai dati da client che non supportano la crittografia basata su Nitro e se io e il client non SVMs siamo uniti a un Active Directory, necessario per la crittografia basata su Kerberos. IPsecla crittografia è l'unica opzione disponibile per crittografare i dati in transito per il SCSI traffico i quando il client i non supporta la crittografia basata su NitroSCSI.
Per IPsec l'autenticazione, puoi utilizzare chiavi precondivise () PSKs o certificati. Se si utilizza unPSK, il IPsec client utilizzato deve supportare Internet Key Exchange versione 2 (IKEv2) con unPSK. I passaggi di alto livello per configurare IPsec la crittografia sia FSx per che per ONTAP il client sono i seguenti:
Abilita e configura IPsec sul tuo file system.
Installa e configura IPsec sul tuo client
Configura IPsec per l'accesso a più client
Per ulteriori informazioni su come configurare IPsec l'utilizzoPSK, consulta Configure IP security (IPsec) over wire encryption
Per ulteriori informazioni su come configurare IPsec l'utilizzo dei certificati, vedereConfigurazione IPsec tramite autenticazione tramite certificato.