本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密传输中数据
本主题说明了在文件系统和连接的客户端之间传输文件数据时,可用于FSx对ONTAP文件数据进行加密的不同选项。它还提供指导,帮助您选择最适合您的工作流程的加密方法。
流经 AWS 全球 AWS 区域 网络的所有数据在离开 AWS 安全设施之前,都会在物理层自动加密。可用区之间的所有流量都是加密的。其他加密层(包括本节中列出的加密层)会提供额外保护。有关如何为流经可用区域和实例的数据 AWS 提供保护的更多信息 AWS 区域,请参阅《适用于 Linux 实例的 Amazon Elastic Compute Cloud 用户指南》中的传输中加密。
Amazon FSx for NetApp ONTAP 支持以下方法对ONTAP文件系统和连接FSx的客户端之间传输的数据进行加密:
所有支持的传输中数据加密方法都使用行业标准的 AES -256 加密算法,这些算法提供企业级加密。
主题
选择加密传输中数据的方法
本节提供的信息可以帮助您确定哪种支持的传输中加密方法最适合您的工作流程。您可以在探索以下各节中详细介绍的支持选项时重新参阅本节。
在选择如何加密ONTAP文件系统和连接的客户端之间传输的数据时,FSx需要考虑几个因素。这些因素包括:
你 AWS 区域 的 ONTAP f FSx or 文件系统正在运行的。
客户端运行的实例类型。
客户端访问文件系统的位置。
网络性能要求。
您要加密的数据协议。
如果你使用的是微软 Active Directory。
- AWS 区域
您的文件系统的运行状态决定了您是否可以使用基于 Amazon Nitro 的加密。 AWS 区域 基于 Nitro 的加密在以下 AWS 区域提供:
美国东部(弗吉尼亚州北部)
美国东部(俄亥俄州)
美国西部(俄勒冈州)
欧洲地区(爱尔兰)
此外,基于 Nitro的加密可用于亚太地区(悉尼)的第二代文件系统。 AWS 区域
- 客户端实例类型
如果访问您的文件系统的客户端运行在任何支持的亚马逊 EC2 Mac、Linux 或 Windows 实例类型上,并且您的工作流程满足使用基于 Nitro 的加密的所有其他要求,则可以使用基于 Amazon Nitro 的加密。使用 Kerberos 或IPsec加密没有任何客户端实例类型要求。
- 客户端位置
-
客户端访问数据的位置相对于文件系统的位置会影响可以使用的传输中加密方法。如果客户端和文件系统位于同一位置,则可以使用任何支持的加密方法VPC。如果客户端和文件系统位于对等状态VPCs,只要流量不通过虚拟网络设备或服务(例如传输网关),情况也是如此。如果客户端不在同一个或对等状态,或者流量通过虚拟网络设备或服务VPC,则基于 Nitro 的加密不是一个可用的选项。
- 网络性能
-
使用基于 Amazon Nitro 的加密技术对网络性能没有影响。这是因为支持的 Amazon EC2 实例利用底层 Nitro System 硬件的卸载功能来自动加密实例之间的传输流量。
使用 Kerberos 或IPsec加密会对网络性能产生影响。这是因为这两种加密方法都是基于软件的加密,需要客户端和服务器使用计算资源来加密和解密传输中的流量。
- 数据协议
-
您可以将基于 Amazon Nitro 的IPsec加密和加密与所有支持的协议 — NFS SMB、和 i SCSI 一起使用。您可以将 Kerberos 加密与NFS和SMB协议(使用 Active Directory)一起使用。
- Active Directory
如果您使用的是 Act Microsoft ive Directory,则可以在NFS和SMB协议上使用 Kerberos 加密。
利用下图来帮助您决定使用哪种传输中加密方法。
IPsec当以下所有条件都适用于您的工作流程时,加密是唯一可用的选项:
您正在使用NFSSMB、或 i SCSI 协议。
您的工作流程不支持使用基于 Amazon Nitro 的加密。
您使用的不是 Microsoft Active Directory 域。
使用 AWS Nitro 系统对传输中的数据进行加密
使用基于 Nitro 的加密,当访问您的文件系统的客户端运行在支持的 Amazon EC2 Linux 或 Windows 实例类型上时,传输中的数据会自动加密。
使用基于 Amazon Nitro 的加密对网络性能没有影响。这是因为支持的 Amazon EC2 实例利用底层 Nitro System 硬件的卸载功能来自动加密实例之间的传输流量。
当支持的客户端实例类型与文件系统处于相同VPC或相同或对 AWS 区域 等状态时,将自动启用基于 Nitr VPC o 的加密。VPC此外,如果客户端处于对等互连状态VPC,则数据无法通过虚拟网络设备或服务(例如传输网关),从而自动启用基于 Nitro 的加密。有关基于 Nitro的加密的更多信息,请参阅适用于 Linux 或 Windows 实例类型的亚马逊EC2用户指南的传输中加密部分。
基于 Nitro 的传输中加密可用于 2022 年 11 月 28 日之后创建的文件系统,具体如下: AWS 区域
美国东部(弗吉尼亚州北部)
美国东部(俄亥俄州)
美国西部(俄勒冈州)
欧洲地区(爱尔兰)
此外,基于 Nitro的加密可用于亚太地区(悉尼)的第二代文件系统。 AWS 区域
有关 AWS 区域 何处FSx可用的更多信息,请参阅 Amazon FSx 的定 NetApp ONTAP价
有关ONTAP文件系统性能规格的FSx更多信息,请参见吞吐能力对性能的影响。
使用基于 Kerberos 的加密进行传输中数据加密
如果您使用SVMs的是 Act Microsoft ive Directory,则可以使用基于 Kerberos 的加密NFS和SMB协议来加密已加入 Microsoft Active Directory 的子卷的传输数据。
使用 Kerberos 对传输中的数据NFS进行加密
和协议支持使用 Kerberos 对传输中的数据进行NFSv3加密。NFSv4要使用 Kerberos 为NFS协议启用传输中的加密,请参阅文档中心中的将 Kerberos 与一起使用NFS以获得强大的安全性
使用 Kerberos 对传输中的数据SMB进行加密
在支持SMB协议 3.0 或更高版本的计算实例上映射的文件共享支持加密通过SMB协议传输的数据。这包括微软 Windows Server 2012 及更高Microsoft Windows版本以及微软 Windows 8 及更高版本的所有版本。启用后,FSxfor 将在您访问文件系统时使用SMB加密功能ONTAP自动加密传输中的数据,而无需修改应用程序。
FSxfo ONTAP SMB r 支持 128 位和 256 位加密,这由客户端会话请求决定。有关不同加密级别的描述,请参阅NetApp ONTAP文档中心中SMB使用管理
注意
客户端决定加密算法。两者NTLM和 Kerberos 身份验证均可使用 128 位和 256 位加密。f FSx or ONTAP SMB Server 接受所有标准的 Windows 客户端请求,精细控制由 Microsoft 组策略或注册表设置处理。
您可以使用ONTAPCLI来管理 for ONTAP SVMs 和 volumes 上的FSx传输中加密设置。要访问 NetApp ONTAPCLI,请在传输设置中SVM对要进行加密的SSH会话建立会话,如中所述使用 CLI 管理 SVM ONTAP。
有关如何在SVM或卷上启用SMB加密的说明,请参阅对SMB传输中的数据启用加密。
使用加密对传输中的数据进行IPsec加密
FSxfor ONTAP 支持在传输模式下使用该IPsec协议,以确保数据在传输过程中持续保持安全和加密。IPsec为所有支持的 IP 流量(、i SCSI 和FSxSMB协议)提供对客户端之间以及ONTAP文件系统之间传输的数据进行 end-to-end 加密。NFS通过IPsec加密,可以在ONTAPSVM配置FSx为IPsec启用的 for 与在连接的IPsec客户端上运行的客户端访问数据之间建立IPsec隧道。
我们建议您在从不支持 Nitro 加密的客户端访问数据时 NFSSMB,以及如果您的客户端未加入基于 Kerberos 的加密所必需的 Active Directory,SVMs则使用IPsec、和 i SCSI 协议对传输的数据进行加密。IPsec当你的 i SCSI 客户端不支持基于 Nitro的加密时,加密是唯一可用于加密传输中的i SCSI 流量数据的选项。
要进行IPsec身份验证,您可以使用预共享密钥 (PSKs) 或证书。如果您使用的是PSK,则您使用的IPsec客户端必须支持 Internet Key Exchange 版本 2 (IKEv2) 和PSK。在客户端ONTAP和客户端上配置IPsec加密的高级步骤如下:FSx
IPsec在您的文件系统上启用和配置。
在您的客户端IPsec上安装和配置
配置IPsec多客户端访问权限
有关如何IPsec使用进行配置的更多信息PSK,请参阅NetApp ONTAP文档中心中的通过线路加密配置 IP 安全 (IPsec)
有关如何IPsec使用证书进行配置的更多信息,请参阅IPsec使用证书身份验证进行配置。
