本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
加密傳輸中的資料
本主題說明在用於檔案系統與連線用戶端之間傳輸時,可用來加密ONTAP檔案資料FSx的不同選項。它也提供指引,協助您選擇最適合您工作流程的加密方法。
在離開 AWS 安全 AWS 區域 設施之前,所有流經 AWS 全球網路的資料都會在實體層自動加密。可用區域之間的所有流量都會加密。其他加密層 (包括本節所列的加密層) 可提供額外的保護。有關如何為流動 AWS 區域、可用區域和執行個體的資料 AWS 提供保護的詳細資訊,請參閱 Amazon 彈性運算雲端使用者指南中的 Linux 執行個體的傳輸中加密。
Amazon of FSx 支 NetApp ONTAP援下列方法來加密ONTAP檔案系統和連線用戶端FSx之間傳輸中的資料:
所有支援的傳輸中資料加密方法都使用業界標準 AES -256 加密演算法,提供企業強度加密。
主題
選擇加密傳輸中資料的方法
本節提供的資訊可協助您決定哪種支援的傳輸中加密方法最適合您的工作流程。當您探索以下各節中詳細描述的支援選項時,請回到本節。
在選擇如何加密FSx適用於ONTAP檔案系統與連線用戶端之間傳輸中的資料時,有幾個因素需要考量。這些因素包括:
您 AWS 區域 的ONTAP文件FSx系統正在運行的。
用戶端執行所在的執行個體類型。
用戶端存取檔案系統的位置。
網路效能需求。
您要加密的資料通訊協定。
如果您使用的是 Microsoft 活動目錄。
- AWS 區域
執 AWS 區域 行檔案系統會決定您是否可以使用 Amazon Nitro-based 加密。以下提供以硝基為基礎的加密: AWS 區域
美國東部 (維吉尼亞北部)
美國東部 (俄亥俄)
美國西部 (奧勒岡)
歐洲 (愛爾蘭)
此外,亞太地區 (雪梨) 的第二代檔案系統也提供以硝基為基礎的加密功能。 AWS 區域
- 客戶端實例類型
如果存取檔案系統的用戶端在任何受支援的 Amazon EC2 Mac、Linux 或 Windows 執行個體類型上執行,且您的工作流程符合使用硝基加密的所有其他要求,則可以使用 Amazon Nit ro-based 加密。使用 Kerberos 或IPsec加密沒有任何用戶端執行個體類型需求。
- 用戶端位置
-
用戶端存取資料相對於檔案系統位置的位置,會影響可使用的傳輸中加密方法。如果用戶端和檔案系統位於相同的加密方法中,您可以使用任何支援的加密方法VPC。如果用戶端和檔案系統位於對等VPCs,只要流量未經過虛擬網路裝置或服務 (例如傳輸閘道),也是如此。如果用戶端不在相同或對等中,或者流量通過虛擬網路裝置或服務VPC,則無法使用 Nitro-based 加密選項。
- 網路效能
-
使用 Amazon 硝基加密技術不會影響網路效能。這是因為受支援的 Amazon EC2 執行個體利用基礎 Nitro System 硬體的卸載功能,自動加密執行個體之間的傳輸中流量。
使用 Kerberos 或IPsec加密會影響網路效能。這是因為這兩種加密方法都是以軟體為基礎,因此用戶端和伺服器必須使用計算資源來加密和解密傳輸中的流量。
- 数据协议
-
您可以在所有支援的協定中使用 Amazon Nitro-based IPsec 加密和加密 — NFS SMB、和 i。SCSI您可以將 Kerberos 加密與NFS和SMB通訊協定 (搭配使用中目錄) 搭配使用。
- Active Directory
如果您使用的是作用Microsoft中目錄,您可以透過NFS和SMB通訊協定使用 Kerberos 加密。
使用下圖可協助您決定要使用的傳輸中加密方法。
IPsec當以下所有條件都適用於您的工作流程時,加密是唯一可用的選項:
您正在使用NFSSMB、或 i SCSI 通訊協定。
您的工作流程不支援使用 Amazon 硝基加密。
您沒有使用Microsoft活動目錄域。
使用 AWS Nitro 系統加密傳輸中的數據
利用 Nitro-based 加密,當存取檔案系統的用戶端在支援的 Amazon EC2 Linux 或 Windows 執行個體類型上執行時,傳輸中的資料會自動加密。
使用以 Amazon Nito 為基礎的加密不會影響網路效能。這是因為受支援的 Amazon EC2 執行個體利用基礎 Nitro System 硬體的卸載功能,自動加密執行個體之間的傳輸中流量。
當受支援的用戶端執行個體類型位於相同且位於相同VPC或與檔案系統的對 AWS 區域 等處時,系統會自動啟用以 NITO 為VPC基礎的加密。VPC此外,如果用戶端位於對等VPC,則資料無法周遊虛擬網路裝置或服務 (例如傳輸閘道),以便自動啟用 Nitro-based 加密。如需有關硝基加密的詳細資訊,請參閱 Amazon Linux 或 Windows 執行個體類型EC2使用者指南中的傳輸中加密一節。
以硝基為基礎的傳輸中加密可用於 2022 年 11 月 28 日之後建立的檔案系統,如下所示: AWS 區域
美國東部 (維吉尼亞北部)
美國東部 (俄亥俄)
美國西部 (奧勒岡)
歐洲 (愛爾蘭)
此外,亞太地區 (雪梨) 的第二代檔案系統也提供以硝基為基礎的加密功能。 AWS 區域
如需有關可用 AWS 區域 位置的FSx詳ONTAP細資訊,請參閱 Amazon FSx 的 NetApp ONTAP定價
如需ONTAP檔案系統效能規格的詳細資訊,請參閱輸送量容量對效能的影響。FSx
使用 Kerberos 型加密技術加密傳輸中的資料
如果您使用的是 Microsoft Active Directory,您可以透過NFS和SMB通訊協定使用 Kerberos 型加密來加密已加入至 Microsoft Active Directory 的子磁碟區SVMs的傳輸中資料。
NFS使用 Kerberos 加密傳輸中的資料
和通訊協定支援使用 Kerberos 傳輸中的資料加密。NFSv3 NFSv4若要針對NFS通訊協定使用 Kerberos 啟用傳輸中的加密,請參閱「文件中心」中的「使用 Kerberos 搭配NFS增強安全性
SMB使用 Kerberos 加密傳輸中的資料
對應至支援 3.0 或更新版本的SMB運算執行個體上的檔案共用,支援透過SMB通訊協定傳輸中的資料加密。這包括所有Microsoft Windows版本從 Microsoft 視窗服務器 2012 及更高版本,以及 Microsoft 視窗 8 及更高版本。啟用時,FSx可在您存取檔案系統時使用SMB加密ONTAP自動加密傳輸中的資料,而無需修改應用程式。
FSxfor ONTAP SMB 支持 128 和 256 位加密,這是由客戶端會話請求確定的。如需不同加密層級的說明,請參閱說明NetApp ONTAP文件中心中的管理SMB
注意
用戶端決定加密演算法。NTLM和 Kerberos 驗證都可以使用 128 位元和 256 位元加密。對FSx於ONTAPSMB服務器接受所有標準的 Windows 客戶端請求,和細微的控制由 Microsoft 組策略或註冊表設置處理。
您可ONTAPCLI以使用來管理ONTAPSVMs和磁碟區的傳輸中加密設定。FSx若要存取 NetApp ONTAPCLI,請在您正在傳輸中進SVM行加密設定的工作SSH階段建立工作階段,如中所述使用 CLI 管理 SVM ONTAP。
如需如何在SVM或磁碟區上啟用SMB加密的指示,請參閱啟用傳輸中的資料SMB加密。
使用加密技術加密傳輸中的IPsec資料
FSxONTAP支持在傳輸模式下使用IPsec協議,以確保數據在傳輸過程中持續安全和加密。IPsec提供FSx用戶端之間傳輸中的資料 end-to-end 加密,以及所有支援 IP 流量的ONTAP檔案系統 — NFS SCSI、i 和通SMB訊協定。使用IPsec加密,您可以在ONTAPSVM設定FSx為IPsec已啟用的用戶端與存取資料的連線用IPsec戶端上執行的用戶端之間建立IPsec通道。
我們建議您使用IPsec來加密傳輸過的資料 NFSSMB,和 i SCSI 通訊協定從不支援 Nitro-based 加密的用戶端存取您的資料時,以及如果您的用戶端並SVMs未加入 Active Directory,這是 Kerberos 型加密所需的。IPsec當 i 用SCSI戶端不支援以 Nitro 為基礎的加密時,加密是唯一可用於加密 i SCSI 流量傳輸中資料的選項。
對於IPsec驗證,您可以使用預先共用金鑰 (PSKs) 或憑證。如果您使用的是PSK,您使用的用IPsec戶端必須支援網際網路金鑰交換第 2 版 (IKEv2) 與PSK. 在ONTAP和用戶端上設定IPsec加密FSx的高階步驟如下:
IPsec在您的檔案系統上啟用和設定。
在客戶端IPsec上安裝和配置
設定多IPsec個用戶端存取
如需有關如何設定IPsec使用的詳細資訊PSK,請參閱NetApp ONTAP文件中心的透過線路加密設定 IP 安全性 (IPsec)
如需如何IPsec使用憑證進行設定的詳細資訊,請參閱IPsec使用憑證驗證設定。
