As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia de dados em trânsito
Este tópico explica as diferentes opções disponíveis para criptografar seus dados de arquivo enquanto eles estão em trânsito entre um sistema de ONTAP arquivos FSx for e clientes conectados. Ele também fornece orientação para ajudá-lo a escolher qual método de criptografia é mais adequado para seu fluxo de trabalho.
Todos os dados que fluem Regiões da AWS pela rede AWS global são criptografados automaticamente na camada física antes de saírem das instalações AWS protegidas. Todo o tráfego entre as zonas de disponibilidade é criptografado. Camadas adicionais de criptografia, inclusive as listadas nesta seção, fornecem mais proteções. Para obter mais informações sobre como AWS fornece proteção para o fluxo de dados Regiões da AWS, zonas disponíveis e instâncias, consulte Criptografia em trânsito no Guia do usuário do Amazon Elastic Compute Cloud para instâncias Linux.
O Amazon FSx for NetApp ONTAP oferece suporte aos seguintes métodos para criptografar dados em trânsito entre FSx sistemas de ONTAP arquivos e clientes conectados:
Todos os métodos suportados para criptografar dados em trânsito usam algoritmos criptográficos AES -256 padrão do setor que fornecem criptografia de força corporativa.
Tópicos
- Como escolher um método para criptografar dados em trânsito
- Criptografando dados em trânsito com o AWS Nitro System
- Criptografia de dados em trânsito com criptografia baseada em Kerberos
- Criptografando dados em trânsito com IPsec criptografia
- Habilite a SMB criptografia de dados em trânsito
- Configurando IPsec usando autenticação PSK
- Configurando IPsec usando a autenticação de certificado
Como escolher um método para criptografar dados em trânsito
Esta seção fornece informações que podem ajudar você a decidir qual dos métodos de criptografia em trânsito com suporte é melhor para seu fluxo de trabalho. Consulte esta seção novamente ao explorar as opções com suporte descritas detalhadamente nas seções a seguir.
Há vários fatores a serem considerados ao escolher como você criptografará os dados em trânsito entre o sistema de ONTAP arquivos FSx for e os clientes conectados. Esses fatores incluem:
Aquele em Região da AWS que seu sistema de ONTAP arquivos FSx for está sendo executado.
O tipo de instância no qual o cliente está sendo executado.
A localização do cliente que está acessando o sistema de arquivos.
Requisitos de performance da rede.
O protocolo de dados que você deseja criptografar.
Se você estiver usando o Microsoft Active Directory.
- Região da AWS
A configuração em Região da AWS que seu sistema de arquivos está sendo executado determina se você pode ou não usar a criptografia baseada no Amazon Nitro. A criptografia baseada em Nitro está disponível nas seguintes Regiões da AWS:
Leste dos EUA (Norte da Virgínia)
Leste dos EUA (Ohio)
Oeste dos EUA (Oregon)
Europa (Irlanda)
Além disso, a criptografia baseada em Nitro está disponível para sistemas de arquivos de segunda geração na Ásia-Pacífico (Sydney). Região da AWS
- Tipo de instância do cliente
Você pode usar a criptografia baseada no Amazon Nitro se o cliente que está acessando seu sistema de arquivos estiver sendo executado em qualquer um dos tipos de instância Amazon EC2 Mac, Linux ou Windows compatíveis, e seu fluxo de trabalho atender a todos os outros requisitos de uso da criptografia baseada em Nitro. Não há requisitos de tipo de instância de cliente para usar Kerberos ou IPsec criptografia.
- Client location (Localização do cliente)
-
A localização do cliente que acessa dados em relação à localização do sistema de arquivos afeta quais métodos de criptografia em trânsito estão disponíveis para uso. Você pode usar qualquer um dos métodos de criptografia compatíveis se o cliente e o sistema de arquivos estiverem localizados no mesmoVPC. O mesmo acontece se o cliente e o sistema de arquivos estiverem localizados em peeringVPCs, desde que o tráfego não passe por um dispositivo ou serviço de rede virtual, como um gateway de trânsito. A criptografia baseada em Nitro não é uma opção disponível se o cliente não estiver no mesmo computador ou em um peeringVPC, ou se o tráfego passar por um dispositivo ou serviço de rede virtual.
- Performance de rede
-
O uso da criptografia baseada no Amazon Nitro não tem impacto na performance da rede. Isso ocorre porque as EC2 instâncias suportadas da Amazon utilizam os recursos de descarga do hardware subjacente do Nitro System para criptografar automaticamente o tráfego em trânsito entre as instâncias.
O uso do Kerberos ou da IPsec criptografia tem um impacto no desempenho da rede. Isso ocorre porque esses dois métodos de criptografia são baseados em software, o que exige que o cliente e o servidor usem recursos de computação para criptografar e decriptografar o tráfego em trânsito.
- Protocolo de dados
-
Você pode usar criptografia e IPsec criptografia baseadas no Amazon Nitro com todos os protocolos suportados —NFS,SMB, e i. SCSI Você pode usar a criptografia Kerberos com os SMB protocolos NFS e (com um Active Directory).
- Active Directory
Se você estiver usando o Microsoft Active Directory, poderá usar a criptografia Kerberos nos protocolos NFS e. SMB
Use o diagrama a seguir como ajuda para decidir qual método de criptografia em trânsito usar.
IPseca criptografia é a única opção disponível quando todas as condições a seguir se aplicam ao seu fluxo de trabalho:
Você está usando o SCSI protocolo NFSSMB,, ou i.
Seu fluxo de trabalho não dá suporte ao uso da criptografia baseada no Amazon Nitro.
Você não está usando um domínio do Microsoft Active Directory.
Criptografando dados em trânsito com o AWS Nitro System
Com a criptografia baseada em Nitro, os dados em trânsito são criptografados automaticamente quando os clientes que acessam seus sistemas de arquivos estão sendo executados em tipos de instância Amazon EC2 Linux ou Windows compatíveis.
O uso da criptografia baseada no Amazon Nitro não tem impacto na performance da rede. Isso ocorre porque as EC2 instâncias suportadas da Amazon utilizam os recursos de descarga do hardware subjacente do Nitro System para criptografar automaticamente o tráfego em trânsito entre as instâncias.
A criptografia baseada em Nitro é VPC ativada automaticamente quando os tipos de instância de cliente compatíveis estão localizados no mesmo Região da AWS e no mesmo sistema de arquivos VPC ou em um mesmo nível com o do sistema de arquivos. VPC Além disso, se o cliente estiver em um peeringVPC, os dados não poderão atravessar um dispositivo ou serviço de rede virtual (como um gateway de trânsito) para que a criptografia baseada em Nitro seja ativada automaticamente. Para obter mais informações sobre criptografia baseada em Nitro, consulte a seção Criptografia em trânsito do Guia EC2 do usuário da Amazon para tipos de instância Linux ou Windows.
A criptografia em trânsito baseada em Nitro está disponível para sistemas de arquivos criados após 28 de novembro de 2022 da seguinte forma: Regiões da AWS
Leste dos EUA (Norte da Virgínia)
Leste dos EUA (Ohio)
Oeste dos EUA (Oregon)
Europa (Irlanda)
Além disso, a criptografia baseada em Nitro está disponível para sistemas de arquivos de segunda geração na Ásia-Pacífico (Sydney). Região da AWS
Para obter mais informações sobre Regiões da AWS onde FSx ONTAP está disponível, consulte Amazon FSx for NetApp ONTAP Pricing
Para obter mais informações sobre as especificações de desempenho FSx para sistemas de ONTAP arquivos, consulteImpacto da capacidade de throughput na performance.
Criptografia de dados em trânsito com criptografia baseada em Kerberos
Se você estiver usando o Microsoft Active Directory, poderá usar a criptografia baseada em Kerberos nos SMB protocolos NFS e para criptografar dados em trânsito para volumes secundários SVMsque estejam associados a um Microsoft Active Directory.
Criptografando dados em trânsito NFS usando Kerberos
A criptografia de dados em trânsito usando Kerberos tem suporte e protocolosNFSv3. NFSv4 Para habilitar a criptografia em trânsito usando o Kerberos para o NFS protocolo, consulte Usando o Kerberos com NFS para uma forte segurança
Criptografando dados em trânsito SMB usando Kerberos
A criptografia de dados em trânsito pelo SMB protocolo é suportada em compartilhamentos de arquivos mapeados em uma instância de computação compatível com o SMB protocolo 3.0 ou mais recente. Isso inclui todas as Microsoft Windows versões do Microsoft Windows Server 2012 e posterior e do Microsoft Windows 8 e posterior. Quando ativado, o FSx for criptografa ONTAP automaticamente os dados em trânsito usando SMB criptografia à medida que você acessa seu sistema de arquivos, sem a necessidade de modificar seus aplicativos.
FSxfor ONTAP SMB suporta criptografia de 128 e 256 bits, que é determinada pela solicitação da sessão do cliente. Para obter descrições dos diferentes níveis de criptografia, consulte a seção Definir o nível mínimo de segurança de autenticação do SMB servidor em Gerenciar SMB com o CLI
nota
O cliente determina o algoritmo de criptografia. NTLMTanto a autenticação quanto a Kerberos funcionam com criptografia de 128 e 256 bits. O FSx for ONTAP SMB Server aceita todas as solicitações padrão do cliente Windows, e os controles granulares são gerenciados pelas configurações da Política de Grupo ou do Registro da Microsoft.
Você usa o ONTAP CLI para gerenciar a criptografia nas configurações de trânsito em FSx for ONTAP SVMs e volumes. Para acessar o NetApp ONTAPCLI, estabeleça uma SSH sessão SVM na qual você está fazendo criptografia nas configurações de trânsito, conforme descrito emGerenciando SVMs com a CLI ONTAP.
Para obter instruções sobre como habilitar a SMB criptografia em um volume SVM or, consulteHabilite a SMB criptografia de dados em trânsito.
Criptografando dados em trânsito com IPsec criptografia
FSxpara ONTAP oferecer suporte ao uso do IPsec protocolo no modo de transporte para garantir que os dados estejam continuamente seguros e criptografados enquanto estão em trânsito. IPsecoferece end-to-end criptografia de dados em trânsito entre clientes e FSx para sistemas de ONTAP arquivos para todo o tráfego IP — NFSSCSI, i e SMB protocolos compatíveis. Com a IPsec criptografia, você estabelece um IPsec túnel entre um FSx for ONTAP SVM configurado com IPsec ativado e um IPsec cliente em execução no cliente conectado acessando os dados.
Recomendamos que você use IPsec para criptografar dados em trânsito pelos SCSI protocolosNFS,SMB, e i ao acessar seus dados de clientes que não oferecem suporte à criptografia baseada em Nitro e se seu cliente e não SVMs estiverem associados a um Active Directory, o que é necessário para a criptografia baseada em Kerberos. IPseca criptografia é a única opção disponível para criptografar dados em trânsito para SCSI tráfego i quando seu SCSI cliente i não oferece suporte à criptografia baseada em Nitro.
Para IPsec autenticação, você pode usar chaves pré-compartilhadas (PSKs) ou certificados. Se você estiver usando umPSK, o IPsec cliente que você usa deve oferecer suporte ao Internet Key Exchange versão 2 (IKEv2) com umPSK. As etapas de alto nível para configurar a IPsec criptografia tanto FSx para ONTAP quanto para o cliente são as seguintes:
Ative e configure IPsec em seu sistema de arquivos.
Instale e configure IPsec em seu cliente
Configurar IPsec para acesso a vários clientes
Para obter mais informações sobre como configurar o IPsec usoPSK, consulte Configurar a segurança IP (IPsec) por criptografia eletrônica
Para obter mais informações sobre como configurar IPsec usando certificados, consulteConfigurando IPsec usando a autenticação de certificado.
