Crittografia dei dati in transito - FSx per ONTAP
Scelta di un metodo per crittografare i dati in transitoCrittografia basata su NCrittografia dei dati in transito con KerberosIPseccrittografia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati in transito

Questo argomento spiega le diverse opzioni disponibili per crittografare i dati dei file mentre sono in transito tra un ONTAP file system FSx for e i client connessi. Fornisce inoltre indicazioni per aiutarvi a scegliere il metodo di crittografia più adatto al vostro flusso di lavoro.

Tutti i dati che fluiscono attraverso la Regioni AWS rete AWS globale vengono automaticamente crittografati a livello fisico prima di lasciare le strutture AWS protette. Tutto il traffico tra le zone di disponibilità è crittografato. I livelli di crittografia aggiuntivi, inclusi quelli elencati in questa sezione, forniscono protezioni aggiuntive. Per ulteriori informazioni su come AWS fornisce protezione per il flusso di dati tra Regioni AWS zone disponibili e istanze, consulta Encryption in transit nella Amazon Elastic Compute Cloud User Guide for Linux Instances.

Amazon FSx for NetApp ONTAP supporta i seguenti metodi per crittografare i dati in transito tra FSx i ONTAP file system e i client connessi:

  • Crittografia automatica basata su Nitro su tutti i protocolli e client supportati in esecuzione su tipi di istanze Amazon EC2 Linux e Windows supportati.

  • Crittografia e protocolli basati su Kerberos. NFS SMB

  • IPseccrittografia basata su protocolliNFS, i SCSI e SMB

Tutti i metodi supportati per la crittografia dei dati in transito utilizzano algoritmi crittografici standard di settore AES -256 che forniscono una crittografia avanzata di livello aziendale.

Argomenti

Scelta di un metodo per crittografare i dati in transito

Questa sezione fornisce informazioni che possono aiutarti a decidere quale dei metodi di crittografia supportati nei metodi di transito è più adatto al tuo flusso di lavoro. Fai riferimento a questa sezione per esplorare le opzioni supportate descritte in dettaglio nelle sezioni seguenti.

Ci sono diversi fattori da considerare nella scelta del modo in cui crittografare i dati in transito tra il ONTAP file system FSx for file e i client connessi. Questi fattori includono:

  • Il sistema in Regione AWS cui è in esecuzione il ONTAP file system FSx for.

  • Il tipo di istanza su cui è in esecuzione il client.

  • La posizione del client che accede al file system.

  • Requisiti prestazionali della rete.

  • Il protocollo di dati che desideri crittografare.

  • Se si utilizza Microsoft Active Directory.

Regione AWS

Il file system in Regione AWS cui è in esecuzione determina se è possibile utilizzare o meno la crittografia basata su Amazon Nitro. La crittografia basata su Nitro è disponibile nelle seguenti versioni: Regioni AWS

  • Stati Uniti orientali (Virginia settentrionale)

  • Stati Uniti orientali (Ohio)

  • US West (Oregon)

  • Europa (Irlanda)

Inoltre, la crittografia basata su Nitro è disponibile per i file system di seconda generazione nella regione Asia-Pacifico (Sydney). Regione AWS

Tipo di istanza del client

Puoi utilizzare la crittografia basata su Amazon Nitro se il client che accede al tuo file system è in esecuzione su uno dei tipi di istanza Amazon EC2 Mac, Linux o Windows supportati e il tuo flusso di lavoro soddisfa tutti gli altri requisiti per l'utilizzo della crittografia basata su Nitro. Non esistono requisiti relativi al tipo di istanza client per l'utilizzo di Kerberos o della crittografia. IPsec

Client location (Posizione del client)

La posizione del client che accede ai dati rispetto alla posizione del file system influisce sui metodi di crittografia in transito disponibili per l'uso. È possibile utilizzare uno qualsiasi dei metodi di crittografia supportati se il client e il file system si trovano nello stesso VPC ambiente. Lo stesso vale se il client e il file system si trovano in modalità VPCs peer-to-peer, purché il traffico non passi attraverso un dispositivo o un servizio di rete virtuale, ad esempio un gateway di transito. La crittografia basata su Nitro non è disponibile se il client non è collegato allo stesso computer o se il traffico passa attraverso un dispositivo o un servizio di rete virtuale. VPC

Prestazioni di rete

L'uso della crittografia basata su Amazon Nitro non ha alcun impatto sulle prestazioni di rete. Questo perché le EC2 istanze Amazon supportate utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze.

L'uso di Kerberos o della crittografia ha un impatto sulle prestazioni della rete. IPsec Questo perché entrambi questi metodi di crittografia sono basati su software, il che richiede al client e al server di utilizzare risorse di elaborazione per crittografare e decrittografare il traffico in transito.

Protocollo dati

Puoi utilizzare la crittografia e IPsec la crittografia basate su Amazon Nitro con tutti i protocolli supportati: NFSSMB, e iSCSI. Puoi utilizzare la crittografia Kerberos con i SMB protocolli NFS and (con Active Directory).

Active Directory

Se si utilizza Microsoft Active Directory, è possibile utilizzare la crittografia Kerberos sui protocolli and. NFS SMB

Utilizzate il seguente diagramma per decidere quale metodo di crittografia in transito utilizzare.

Diagramma di flusso che mostra quale metodo di crittografia in transito utilizzare in base a cinque punti decisionali.

IPsecla crittografia è l'unica opzione disponibile quando tutte le seguenti condizioni si applicano al flusso di lavoro:

  • Stai utilizzando il SCSI protocollo NFSSMB, o i.

  • Il tuo flusso di lavoro non supporta l'uso della crittografia basata su Amazon Nitro.

  • Non stai utilizzando un dominio Microsoft Active Directory.

Crittografia dei dati in transito con AWS Nitro System

Con la crittografia basata su Nitro, i dati in transito vengono crittografati automaticamente quando i client che accedono ai tuoi file system sono in esecuzione su tipi di istanze Amazon EC2 Linux o Windows supportati.

L'uso della crittografia basata su Amazon Nitro non ha alcun impatto sulle prestazioni di rete. Questo perché le EC2 istanze Amazon supportate utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze.

La crittografia basata su Nitro viene abilitata automaticamente quando i tipi di istanze client supportati si trovano nella stessa unità VPC o in un sistema Regione AWS peer-to-peer con il file system. VPC VPC Inoltre, se il client utilizza un sistema peerVPC, i dati non possono attraversare un dispositivo o un servizio di rete virtuale (come un gateway di transito) per abilitare automaticamente la crittografia basata su Nitro. Per ulteriori informazioni sulla crittografia basata su Nitro, consulta la sezione Encryption in transit della Amazon EC2 User Guide per i tipi di istanze Linux o Windows.

La crittografia in transito basata su Nitro è disponibile per i file system creati dopo il 28 novembre 2022 nei seguenti paesi: Regioni AWS

  • Stati Uniti orientali (Virginia settentrionale)

  • Stati Uniti orientali (Ohio)

  • US West (Oregon)

  • Europa (Irlanda)

Inoltre, la crittografia basata su Nitro è disponibile per i file system di seconda generazione nell'Asia Pacifico (Sydney). Regione AWS

Per ulteriori informazioni su Regioni AWS dove FSx ONTAP è disponibile, consulta Amazon FSx for NetApp ONTAP Pricing.

Per ulteriori informazioni sulle specifiche prestazionali FSx per i ONTAP file system, consultaImpatto della capacità di throughput sulle prestazioni.

Crittografia dei dati in transito con la crittografia basata su Kerberos

Se si utilizza Microsoft Active Directory, è possibile utilizzare la crittografia basata su Kerberos su SMB protocolli NFS e per crittografare i dati in transito per i volumi figlio SVMsche sono uniti a un Microsoft Active Directory.

Crittografia dei dati in transito tramite Kerberos NFS

La crittografia dei dati in transito tramite Kerberos è supportata da e protocolli. NFSv3 NFSv4 Per abilitare la crittografia in transito utilizzando Kerberos per il NFS protocollo, vedi Utilizzo di Kerberos con NFS per una maggiore sicurezza nel Documentation Center. NetApp ONTAP

Crittografia dei dati in transito tramite Kerberos SMB

La crittografia dei dati in transito tramite il SMB protocollo è supportata sulle condivisioni di file mappate su un'istanza di calcolo che supporta il protocollo 3.0 o versioni successive. SMB Sono incluse tutte Microsoft Windows le versioni di Microsoft Windows Server 2012 e versioni successive e Microsoft Windows 8 e versioni successive. Se abilitato, FSx for crittografa ONTAP automaticamente i dati in transito utilizzando la SMB crittografia quando si accede al file system senza la necessità di modificare le applicazioni.

FSxfor ONTAP SMB supporta la crittografia a 128 e 256 bit, determinata dalla richiesta di sessione del client. Per le descrizioni dei diversi livelli di crittografia, vedere la sezione Impostare il livello minimo di sicurezza di autenticazione del SMB server in Gestire SMB con o CLI nel NetApp ONTAP Documentation Center.

Nota

Il client determina l'algoritmo di crittografia. NTLMSia l'autenticazione che quella Kerberos funzionano con la crittografia a 128 e 256 bit. FSxfor ONTAP SMB Server accetta tutte le richieste standard dei client Windows e i controlli granulari sono gestiti dalle impostazioni dei criteri di gruppo o del registro di Microsoft.

Si utilizza ONTAP CLI per gestire la crittografia nelle impostazioni di transito su FSx for ONTAP SVMs e volumi. Per accedere a NetApp ONTAPCLI, stabilite una SSH sessione SVM sulla quale state effettuando la crittografia nelle impostazioni di transito, come descritto inGestione delle SVM con la CLI ONTAP.

Per istruzioni su come abilitare la SMB crittografia su un volume SVM or, consultaAbilita SMB la crittografia dei dati in transito.

Crittografia dei dati in transito con IPsec crittografia

FSxper ONTAP supportare l'utilizzo del IPsec protocollo in modalità di trasporto per garantire che i dati siano costantemente sicuri e crittografati durante il transito. IPsecoffre end-to-end la crittografia dei dati in transito tra client e FSx per i ONTAP file system per tutto il traffico IP supportato NFSSCSI, i e SMB i protocolli. Con IPsec la crittografia, si stabilisce un IPsec tunnel tra un FSx client ONTAP SVM configurato come IPsec abilitato e un IPsec client in esecuzione sul client connesso che accede ai dati.

Si consiglia di utilizzare i SCSI protocolli IPsec per crittografare i dati in transito tramite i NFSSMB, e i quando si accede ai dati da client che non supportano la crittografia basata su Nitro e se io e il client non SVMs siamo uniti a un Active Directory, necessario per la crittografia basata su Kerberos. IPsecla crittografia è l'unica opzione disponibile per crittografare i dati in transito per il SCSI traffico i quando il client i non supporta la crittografia basata su NitroSCSI.

Per IPsec l'autenticazione, puoi utilizzare chiavi precondivise () PSKs o certificati. Se si utilizza unPSK, il IPsec client utilizzato deve supportare Internet Key Exchange versione 2 (IKEv2) con unPSK. I passaggi di alto livello per configurare IPsec la crittografia sia FSx per che per ONTAP il client sono i seguenti:

  1. Abilita e configura IPsec sul tuo file system.

  2. Installa e configura IPsec sul tuo client

  3. Configura IPsec per l'accesso a più client

Per ulteriori informazioni su come configurare IPsec l'utilizzoPSK, consulta Configure IP security (IPsec) over wire encryption nel centro di NetApp ONTAP documentazione.

Per ulteriori informazioni su come configurare IPsec l'utilizzo dei certificati, vedereConfigurazione IPsec tramite autenticazione tramite certificato.