Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei dati in transito
Questo argomento spiega le diverse opzioni disponibili per crittografare i dati dei file mentre sono in transito tra un file system FSx for ONTAP e i client connessi. Fornisce inoltre indicazioni per aiutarvi a scegliere il metodo di crittografia più adatto al vostro flusso di lavoro.
Tutti i dati che fluiscono attraverso la Regioni AWS rete AWS globale vengono automaticamente crittografati a livello fisico prima di lasciare le strutture AWS protette. Tutto il traffico tra le zone di disponibilità è crittografato. I livelli di crittografia aggiuntivi, inclusi quelli elencati in questa sezione, forniscono protezioni aggiuntive. Per ulteriori informazioni su come AWS fornisce protezione per il flusso di dati tra Regioni AWS zone disponibili e istanze, consulta Encryption in transit nella Amazon Elastic Compute Cloud User Guide for Linux Instances.
Amazon FSx for NetApp ONTAP supporta i seguenti metodi per crittografare i dati in transito tra i file system FSx for ONTAP e i client connessi:
Tutti i metodi supportati per la crittografia dei dati in transito utilizzano algoritmi crittografici AES-256 standard del settore che forniscono una crittografia avanzata di livello aziendale.
Argomenti
- Scelta di un metodo per crittografare i dati in transito
- Crittografia dei dati in transito con AWS Nitro System
- Crittografia dei dati in transito con la crittografia basata su Kerberos
- Crittografia dei dati in transito con crittografia IPSec
- Abilita la crittografia SMB dei dati in transito
- Configurazione di IPSec utilizzando l'autenticazione PSK
- Configurazione di IPSec utilizzando l'autenticazione dei certificati
Scelta di un metodo per crittografare i dati in transito
Questa sezione fornisce informazioni che possono aiutarti a decidere quale dei metodi di crittografia supportati nei metodi di transito è più adatto al tuo flusso di lavoro. Fai riferimento a questa sezione per esplorare le opzioni supportate descritte in dettaglio nelle sezioni che seguono.
Esistono diversi fattori da considerare nella scelta del modo in cui crittografare i dati in transito tra il file system FSx for ONTAP e i client connessi. Questi fattori includono:
Il Regione AWS file system FSx for ONTAP su cui è in esecuzione.
Il tipo di istanza su cui è in esecuzione il client.
La posizione del client che accede al file system.
Requisiti prestazionali della rete.
Il protocollo di dati che desideri crittografare.
Se si utilizza Microsoft Active Directory.
- Regione AWS
Il sistema in Regione AWS cui è in esecuzione il file system determina se è possibile utilizzare o meno la crittografia basata su Amazon Nitro. La crittografia basata su Nitro è disponibile nelle seguenti versioni: Regioni AWS
Stati Uniti orientali (Virginia settentrionale)
Stati Uniti orientali (Ohio)
US West (Oregon)
Europa (Irlanda)
Inoltre, la crittografia basata su Nitro è disponibile per i file system con scalabilità orizzontale nella regione Asia-Pacifico (Sydney). Regione AWS
- Tipo di istanza del client
Puoi utilizzare la crittografia basata su Amazon Nitro se il client che accede al tuo file system è in esecuzione su uno dei tipi di istanza Amazon EC2 per Mac, Linux o Windows supportati e il tuo flusso di lavoro soddisfa tutti gli altri requisiti per l'utilizzo della crittografia basata su Nitro. Non esistono requisiti relativi al tipo di istanza client per l'utilizzo della crittografia Kerberos o IPSec.
- Client location (Posizione del client)
-
La posizione del client che accede ai dati rispetto alla posizione del file system influisce sui metodi di crittografia in transito disponibili per l'uso. Puoi utilizzare uno qualsiasi dei metodi di crittografia supportati se il client e il file system si trovano nello stesso VPC. Lo stesso vale se il client e il file system si trovano in VPC peer, purché il traffico non passi attraverso un dispositivo o un servizio di rete virtuale, come un gateway di transito. La crittografia basata su Nitro non è un'opzione disponibile se il client non si trova nello stesso VPC o in un VPC peerizzato o se il traffico passa attraverso un dispositivo o un servizio di rete virtuale.
- Prestazioni di rete
-
L'uso della crittografia basata su Amazon Nitro non ha alcun impatto sulle prestazioni di rete. Questo perché le istanze Amazon EC2 supportate utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze.
L'utilizzo della crittografia Kerberos o IPSec ha un impatto sulle prestazioni della rete. Questo perché entrambi questi metodi di crittografia sono basati su software, il che richiede al client e al server di utilizzare risorse di elaborazione per crittografare e decrittografare il traffico in transito.
- Protocollo dati
-
Puoi utilizzare la crittografia basata su Amazon Nitro e la crittografia IPSec con tutti i protocolli supportati: NFS, SMB e iSCSI. Puoi utilizzare la crittografia Kerberos con i protocolli NFS e SMB (con Active Directory).
- Active Directory
Se si utilizza Microsoft Active Directory, è possibile utilizzare la crittografia Kerberos sui protocolli NFS e SMB.
Utilizzate il seguente diagramma per decidere quale metodo di crittografia in transito utilizzare.
La crittografia IPSec è l'unica opzione disponibile quando tutte le seguenti condizioni si applicano al flusso di lavoro:
Stai utilizzando il protocollo NFS, SMB o iSCSI.
Il tuo flusso di lavoro non supporta l'uso della crittografia basata su Amazon Nitro.
Non stai utilizzando un dominio Microsoft Active Directory.
Crittografia dei dati in transito con AWS Nitro System
Con la crittografia basata su Nitro, i dati in transito vengono crittografati automaticamente quando i client che accedono ai tuoi file system sono in esecuzione su tipi di istanze Linux o Windows supportati di Amazon EC2.
L'uso della crittografia basata su Amazon Nitro non ha alcun impatto sulle prestazioni di rete. Questo perché le istanze Amazon EC2 supportate utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze.
La crittografia basata su Nitro viene abilitata automaticamente quando i tipi di istanze client supportati si trovano nello stesso Regione AWS e nello stesso VPC o in un VPC peerizzato con il VPC del file system. Inoltre, se il client si trova in un VPC con peering, i dati non possono attraversare un dispositivo o un servizio di rete virtuale (come un gateway di transito) per abilitare automaticamente la crittografia basata su Nitro. Per ulteriori informazioni sulla crittografia basata su Nitro, consulta la sezione Encryption in transit della Amazon EC2 User Guide per i tipi di istanze Linux o Windows.
La crittografia in transito basata su Nitro è disponibile per i file system creati dopo il 28 novembre 2022 nei seguenti paesi: Regioni AWS
Stati Uniti orientali (Virginia settentrionale)
Stati Uniti orientali (Ohio)
US West (Oregon)
Europa (Irlanda)
Inoltre, la crittografia basata su Nitro è disponibile per i file system a scalabilità orizzontale nell'Asia Pacifico (Sydney). Regione AWS
Per ulteriori informazioni sui paesi Regioni AWS in cui è disponibile FSx for ONTAP, consulta i prezzi di Amazon FSx
Per ulteriori informazioni sulle specifiche prestazionali per i file system FSx for ONTAP, vedere. Impatto della capacità di throughput sulle prestazioni
Crittografia dei dati in transito con la crittografia basata su Kerberos
Se si utilizza Microsoft Active Directory, è possibile utilizzare la crittografia basata su Kerberos sui protocolli NFS e SMB per crittografare i dati in transito per i volumi figlio di SVM uniti a Microsoft Active Directory.
Crittografia dei dati in transito su NFS utilizzando Kerberos
La crittografia dei dati in transito tramite Kerberos è supportata per i protocolli NFSv3 e NFSv4. Per abilitare la crittografia in transito utilizzando Kerberos per il protocollo NFS, vedi Uso di Kerberos con NFS per una sicurezza avanzata nel Documentation Center.
Crittografia dei dati in transito su SMB utilizzando Kerberos
La crittografia dei dati in transito tramite il protocollo SMB è supportata sulle condivisioni di file mappate su un'istanza di calcolo che supporta il protocollo SMB 3.0 o versione successiva. Sono incluse tutte Microsoft Windows le versioni di Microsoft Windows Server 2012 e versioni successive e Microsoft Windows 8 e versioni successive. Se abilitato, FSx for ONTAP crittografa automaticamente i dati in transito utilizzando la crittografia SMB quando si accede al file system senza la necessità di modificare le applicazioni.
FSx for ONTAP SMB supporta la crittografia a 128 e 256 bit, determinata dalla richiesta di sessione del client. Per le descrizioni dei diversi livelli di crittografia, consulta la sezione Impostazione del livello minimo di sicurezza di autenticazione del server SMB di Gestire SMB con la CLI
Nota
Il client determina l'algoritmo di crittografia. Sia l'autenticazione NTLM che quella Kerberos funzionano con la crittografia a 128 e 256 bit. Il server SMB FSx for ONTAP accetta tutte le richieste standard dei client Windows e i controlli granulari sono gestiti dalle impostazioni dei criteri di gruppo o del registro di Microsoft.
Utilizzi la ONTAP CLI per gestire la crittografia nelle impostazioni di transito su SVM e volumi FSx for ONTAP. Per accedere alla NetApp ONTAP CLI, stabilite una sessione SSH sulla SVM su cui state effettuando la crittografia nelle impostazioni di transito, come descritto in. Gestione delle SVM con la CLI ONTAP
Per istruzioni su come abilitare la crittografia SMB su un SVM o un volume, consulta. Abilita la crittografia SMB dei dati in transito
Crittografia dei dati in transito con crittografia IPSec
FSx for ONTAP supporta l'utilizzo del protocollo IPSec in modalità di trasporto per garantire che i dati siano continuamente sicuri e crittografati durante il transito. IPSec offre end-to-end la crittografia dei dati in transito tra client e file system FSx for ONTAP per tutto il traffico IP supportato: protocolli NFS, iSCSI e SMB. Con la crittografia IPSec, si stabilisce un tunnel IPSec tra un SVM FSx for ONTAP configurato con IPSec abilitato e un client IPSec in esecuzione sul client connesso che accede ai dati.
Si consiglia di utilizzare IPSec per crittografare i dati in transito tramite i protocolli NFS, SMB e iSCSI quando si accede ai dati da client che non supportano la crittografia basata su Nitro e se il client e le SVM non sono uniti a un Active Directory, necessario per la crittografia basata su Kerberos. La crittografia IPSec è l'unica opzione disponibile per crittografare i dati in transito per il traffico iSCSI quando il client iSCSI non supporta la crittografia basata su Nitro.
Per l'autenticazione IPSec, è possibile utilizzare chiavi precondivise (PSK) o certificati. Se si utilizza un PSK, il client IPSec utilizzato deve supportare Internet Key Exchange versione 2 (IKEv2) con un PSK. I passaggi di alto livello per configurare la crittografia IPSec sia su FSx for ONTAP che sul client sono i seguenti:
Abilita e configura IPSec sul tuo file system.
Installa e configura IPSec sul tuo client
Configura IPSec per l'accesso a più client
Per ulteriori informazioni su come configurare IPSec utilizzando PSK, vedere Configurare la sicurezza IP (IPSec) tramite crittografia via cavo nel centro documentazione
Per ulteriori informazioni su come configurare IPSec utilizzando i certificati, vedere. Configurazione di IPSec utilizzando l'autenticazione dei certificati
