Verschlüsseln von Daten während der Übertragung - FSx für ONTAP
Auswahl einer Methode zur Verschlüsselung von Daten bei der ÜbertragungVerschlüsselung auf NitrobasisVerschlüsselung von Daten während der Übertragung mit KerberosIPSec-Verschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Daten während der Übertragung

In diesem Thema werden die verschiedenen verfügbaren Optionen für die Verschlüsselung Ihrer Dateidaten während der Übertragung zwischen einem FSx for ONTAP-Dateisystem und verbundenen Clients erläutert. Es enthält auch Anleitungen, die Ihnen bei der Auswahl der für Ihren Workflow am besten geeigneten Verschlüsselungsmethode helfen sollen.

Alle Daten, die AWS-Regionen über das AWS globale Netzwerk übertragen werden, werden auf der physischen Ebene automatisch verschlüsselt, bevor sie AWS gesicherte Einrichtungen verlassen. Der gesamte Verkehr zwischen Availability Zones ist verschlüsselt. Zusätzliche Verschlüsselungsebenen, einschließlich der in diesem Abschnitt aufgeführten, bieten zusätzlichen Schutz. Weitere Informationen zum AWS Schutz von Daten AWS-Regionen, die zwischen Available Zones und Instances fließen, finden Sie unter Verschlüsselung bei der Übertragung im Amazon Elastic Compute Cloud-Benutzerhandbuch für Linux-Instances.

Amazon FSx for NetApp ONTAP unterstützt die folgenden Methoden zur Verschlüsselung von Daten bei der Übertragung zwischen FSx for ONTAP-Dateisystemen und verbundenen Clients:

  • Automatische Nitro-basierte Verschlüsselung für alle unterstützten Protokolle und Clients, die auf unterstützten Amazon EC2 EC2-Linux - und Windows-Instance-Typen ausgeführt werden.

  • Kerberos-basierte Verschlüsselung über NFS- und SMB-Protokolle.

  • IPSec-basierte Verschlüsselung über NFS-, iSCSI- und SMB-Protokolle

Alle unterstützten Methoden zur Verschlüsselung von Daten während der Übertragung verwenden kryptografische AES-256-Algorithmen nach Industriestandard, die eine sichere Verschlüsselung für Unternehmen bieten.

Themen

Auswahl einer Methode zur Verschlüsselung von Daten bei der Übertragung

Dieser Abschnitt enthält Informationen, anhand derer Sie entscheiden können, welche der unterstützten Verschlüsselungsmethoden bei der Übertragung für Ihren Workflow am besten geeignet ist. Schauen Sie sich diesen Abschnitt an, wenn Sie sich mit den unterstützten Optionen befassen, die in den folgenden Abschnitten ausführlich beschrieben werden.

Bei der Entscheidung, wie Sie Daten bei der Übertragung zwischen Ihrem FSx for ONTAP-Dateisystem und verbundenen Clients verschlüsseln möchten, sind mehrere Faktoren zu berücksichtigen. Zu diesen Faktoren gehören:

  • AWS-Region Das, in dem Ihr FSx for ONTAP-Dateisystem läuft.

  • Der Instanztyp, auf dem der Client läuft.

  • Der Standort des Clients, der auf Ihr Dateisystem zugreift.

  • Anforderungen an die Netzwerkleistung.

  • Das Datenprotokoll, das Sie verschlüsseln möchten.

  • Wenn Sie Microsoft Active Directory verwenden.

AWS-Region

Die Art und Weise AWS-Region , in der Ihr Dateisystem ausgeführt wird, bestimmt, ob Sie die Amazon Nitro-basierte Verschlüsselung verwenden können oder nicht. Die Verschlüsselung auf Nitrobasis ist in den folgenden Fällen verfügbar: AWS-Regionen

  • USA Ost (Nord-Virginia)

  • USA Ost (Ohio)

  • USA West (Oregon)

  • Europa (Irland)

Darüber hinaus ist Nitro-basierte Verschlüsselung für Scale-Out-Dateisysteme im asiatisch-pazifischen Raum (Sydney) verfügbar. AWS-Region

Typ der Client-Instanz

Sie können die Amazon Nitro-basierte Verschlüsselung verwenden, wenn der Client, der auf Ihr Dateisystem zugreift, auf einem der unterstützten Amazon EC2 EC2-Instance-Typen für Mac, Linux oder Windows läuft und Ihr Workflow alle anderen Anforderungen für die Verwendung der Nitro-basierten Verschlüsselung erfüllt. Für die Verwendung der Kerberos- oder IPSec-Verschlüsselung bestehen keine Anforderungen an den Client-Instance-Typ.

Kundenstandort

Der Standort des Clients, der in Bezug auf den Speicherort Ihres Dateisystems auf Daten zugreift, wirkt sich darauf aus, welche Verschlüsselungsmethoden während der Übertragung verwendet werden können. Sie können jede der unterstützten Verschlüsselungsmethoden verwenden, wenn sich der Client und das Dateisystem in derselben VPC befinden. Das Gleiche gilt, wenn sich der Client und das Dateisystem in Peer-VPCs befinden, sofern der Datenverkehr nicht über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst, z. B. ein Transit-Gateway, geleitet wird. Nitrobasierte Verschlüsselung ist keine verfügbare Option, wenn sich der Client nicht in derselben oder einer Peering-VPC befindet oder wenn der Datenverkehr über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst geleitet wird.

Netzwerkleistung

Die Verwendung von Amazon Nitro-basierter Verschlüsselung hat keine Auswirkungen auf die Netzwerkleistung. Dies liegt daran, dass die unterstützten Amazon EC2 EC2-Instances die Offload-Funktionen der zugrunde liegenden Nitro System-Hardware nutzen, um den während der Übertragung befindlichen Verkehr zwischen Instances automatisch zu verschlüsseln.

Die Verwendung von Kerberos- oder IPSec-Verschlüsselung wirkt sich auf die Netzwerkleistung aus. Dies liegt daran, dass diese beiden Verschlüsselungsmethoden softwarebasiert sind, was bedeutet, dass der Client und der Server Rechenressourcen verwenden müssen, um den während der Übertragung befindlichen Verkehr zu verschlüsseln und zu entschlüsseln.

Datenprotokoll

Sie können Amazon Nitro-basierte Verschlüsselung und IPSec-Verschlüsselung mit allen unterstützten Protokollen — NFS, SMB und iSCSI — verwenden. Sie können die Kerberos-Verschlüsselung mit den Protokollen NFS und SMB (mit einem Active Directory) verwenden.

Active Directory

Wenn Sie Microsoft Active Directory verwenden, können Sie die Kerberos-Verschlüsselung über die Protokolle NFS und SMB verwenden.

Verwenden Sie das folgende Diagramm, um zu entscheiden, welche Verschlüsselungsmethode bei der Übertragung verwendet werden soll.

Flussdiagramm, das anhand von fünf Entscheidungspunkten zeigt, welche Verschlüsselungsmethode bei der Übertragung verwendet werden soll.

Die IPSec-Verschlüsselung ist die einzige verfügbare Option, wenn alle der folgenden Bedingungen auf Ihren Workflow zutreffen:

  • Sie verwenden das NFS-, SMB- oder iSCSI-Protokoll.

  • Ihr Workflow unterstützt die Verwendung von Amazon Nitro-basierter Verschlüsselung nicht.

  • Sie verwenden keine Microsoft Active Directory-Domäne.

Verschlüsselung von Daten während der Übertragung mit AWS Nitro System

Bei der Nitro-basierten Verschlüsselung werden Daten während der Übertragung automatisch verschlüsselt, wenn Clients, die auf Ihre Dateisysteme zugreifen, auf unterstützten Amazon EC2 EC2-Linux - oder Windows-Instance-Typen ausgeführt werden.

Die Verwendung von Amazon Nitro-basierter Verschlüsselung hat keine Auswirkungen auf die Netzwerkleistung. Dies liegt daran, dass die unterstützten Amazon EC2 EC2-Instances die Offload-Funktionen der zugrunde liegenden Nitro System-Hardware nutzen, um den während der Übertragung befindlichen Verkehr zwischen Instances automatisch zu verschlüsseln.

Die Nitro-basierte Verschlüsselung wird automatisch aktiviert, wenn sich die unterstützten Client-Instance-Typen in derselben AWS-Region und derselben VPC oder in einer VPC befinden, die mit der VPC des Dateisystems über Peering verbunden ist. Wenn sich der Client in einer Peering-VPC befindet, können Daten außerdem kein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst (z. B. ein Transit-Gateway) passieren, sodass die Nitro-basierte Verschlüsselung automatisch aktiviert wird. Weitere Informationen zur Nitro-basierten Verschlüsselung finden Sie im Abschnitt Verschlüsselung bei der Übertragung im Amazon EC2-Benutzerhandbuch für Linux - oder Windows-Instance-Typen.

Nitro-basierte Verschlüsselung bei der Übertragung ist für Dateisysteme verfügbar, die nach dem 28. November 2022 erstellt wurden, und zwar im Folgenden: AWS-Regionen

  • USA Ost (Nord-Virginia)

  • USA Ost (Ohio)

  • USA West (Oregon)

  • Europa (Irland)

Darüber hinaus ist Nitro-basierte Verschlüsselung für Scale-Out-Dateisysteme im asiatisch-pazifischen Raum (Sydney) verfügbar. AWS-Region

Weitere Informationen darüber, AWS-Regionen wo FSx for ONTAP erhältlich ist, finden Sie unter Amazon FSx for NetApp ONTAP — Preise.

Weitere Informationen zu den Leistungsspezifikationen für FSx für ONTAP-Dateisysteme finden Sie unter. Auswirkung der Durchsatzkapazität auf die Leistung

Verschlüsselung von Daten während der Übertragung mit Kerberos-basierter Verschlüsselung

Wenn Sie Microsoft Active Directory verwenden, können Sie die Kerberos-basierte Verschlüsselung über die Protokolle NFS und SMB verwenden, um Daten während der Übertragung für untergeordnete Volumes von SVMs zu verschlüsseln, die mit einem Microsoft Active Directory verbunden sind.

Verschlüsselung von Daten bei der Übertragung über NFS mit Kerberos

Die Verschlüsselung von Daten während der Übertragung mit Kerberos wird für die Protokolle NFSv3 und NFSv4 unterstützt. Informationen zur Aktivierung der Verschlüsselung bei der Übertragung mit Kerberos für das NFS-Protokoll finden Sie im Documentation Center unter Verwenden von Kerberos mit NFS für hohe Sicherheit. NetApp ONTAP

Verschlüsselung von Daten bei der Übertragung über SMB mithilfe von Kerberos

Die Verschlüsselung von Daten bei der Übertragung über das SMB-Protokoll wird auf Dateifreigaben unterstützt, die einer Recheninstanz zugeordnet sind, die das SMB-Protokoll 3.0 oder neuer unterstützt. Dies umfasst alle Microsoft Windows Versionen von Microsoft Windows Server 2012 und höher sowie Microsoft Windows 8 und höher. Wenn diese Option aktiviert ist, verschlüsselt FSx for ONTAP automatisch Daten während der Übertragung mithilfe der SMB-Verschlüsselung, wenn Sie auf Ihr Dateisystem zugreifen, ohne dass Sie Ihre Anwendungen ändern müssen.

FSx for ONTAP SMB unterstützt 128- und 256-Bit-Verschlüsselung, die durch die Client-Sitzungsanfrage bestimmt wird. Eine Beschreibung der verschiedenen Verschlüsselungsstufen finden Sie im Abschnitt Mindestsicherheitsstufe für die SMB-Serverauthentifizierung festlegen unter SMB mit der CLI verwalten im NetApp ONTAP Documentation Center.

Anmerkung

Der Client bestimmt den Verschlüsselungsalgorithmus. Sowohl die NTLM- als auch die Kerberos-Authentifizierung funktionieren sowohl mit 128- als auch mit 256-Bit-Verschlüsselung. Der FSx for ONTAP SMB Server akzeptiert alle standardmäßigen Windows-Client-Anfragen, und die detaillierten Steuerungen werden von Microsoft-Gruppenrichtlinien oder Registrierungseinstellungen übernommen.

Sie verwenden die ONTAP CLI, um die Einstellungen für die Verschlüsselung bei der Übertragung auf SVMs und Volumes von FSx for ONTAP zu verwalten. Um auf die NetApp ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf der SVM ein, auf der Sie die Verschlüsselung in den Transiteinstellungen vornehmen, wie unter beschrieben. Verwaltung von SVMs mit der CLI ONTAP

Anweisungen zur Aktivierung der SMB-Verschlüsselung auf einer SVM oder einem Volume finden Sie unter. Aktivieren Sie die SMB-Verschlüsselung von Daten bei der Übertragung

Verschlüsseln von Daten während der Übertragung mit IPSec-Verschlüsselung

FSx for ONTAP unterstützt die Verwendung des IPSec-Protokolls im Transportmodus, um sicherzustellen, dass Daten während der Übertragung kontinuierlich sicher und verschlüsselt sind. IPSec bietet end-to-end Verschlüsselung von Daten während der Übertragung zwischen Clients und FSx for ONTAP-Dateisystemen für den gesamten unterstützten IP-Verkehr — NFS-, iSCSI- und SMB-Protokolle. Mit der IPSec-Verschlüsselung richten Sie einen IPSec-Tunnel zwischen einer FSx for ONTAP SVM, die mit aktiviertem IPSec konfiguriert ist, und einem IPSec-Client ein, der auf dem verbundenen Client ausgeführt wird und auf die Daten zugreift.

Wir empfehlen Ihnen, IPSec zu verwenden, um Daten während der Übertragung über die Protokolle NFS, SMB und iSCSI zu verschlüsseln, wenn Sie von Clients auf Ihre Daten zugreifen, die keine Nitro-basierte Verschlüsselung unterstützen, und wenn Ihr Client und Ihre SVMs nicht mit einem Active Directory verbunden sind, was für die Kerberos-basierte Verschlüsselung erforderlich ist. IPSec-Verschlüsselung ist die einzige verfügbare Option für die Verschlüsselung von Daten während der Übertragung für iSCSI-Verkehr, wenn Ihr iSCSI-Client keine Nitro-basierte Verschlüsselung unterstützt.

Für die IPSec-Authentifizierung können Sie entweder Pre-Shared Keys (PSKs) oder Zertifikate verwenden. Wenn Sie ein PSK verwenden, muss der von Ihnen verwendete IPSec-Client Internet Key Exchange Version 2 (IKEv2) mit einem PSK unterstützen. Die allgemeinen Schritte zur Konfiguration der IPSec-Verschlüsselung sowohl auf FSx for ONTAP als auch auf dem Client lauten wie folgt:

  1. Aktivieren und konfigurieren Sie IPSec auf Ihrem Dateisystem.

  2. Installieren und konfigurieren Sie IPSec auf Ihrem Client

  3. Konfigurieren Sie IPSec für den Zugriff mehrerer Clients

Weitere Informationen zur Konfiguration von IPSec mit PSK finden Sie im Dokumentationscenter unter IP-Sicherheit (IPSec) über Drahtverschlüsselung konfigurieren. NetApp ONTAP

Weitere Informationen zur Konfiguration von IPSec mithilfe von Zertifikaten finden Sie unter. Konfiguration von IPSec mithilfe der Zertifikatsauthentifizierung