Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In diesem Thema werden die verschiedenen verfügbaren Optionen für die Verschlüsselung Ihrer Dateidaten während der Übertragung zwischen einem FSx für ONTAP verfügbaren Dateisystem und verbundenen Clients erläutert. Es enthält auch Anleitungen, die Ihnen bei der Auswahl der für Ihren Workflow am besten geeigneten Verschlüsselungsmethode helfen sollen.
Alle Daten, die AWS-Regionen über das AWS globale Netzwerk übertragen werden, werden auf der physischen Ebene automatisch verschlüsselt, bevor sie AWS gesicherte Einrichtungen verlassen. Der gesamte Verkehr zwischen Availability Zones ist verschlüsselt. Zusätzliche Verschlüsselungsebenen, einschließlich der in diesem Abschnitt aufgeführten, bieten zusätzlichen Schutz. Weitere Informationen zum AWS Schutz von Daten AWS-Regionen, die zwischen Available Zones und Instances fließen, finden Sie unter Verschlüsselung bei der Übertragung im Amazon Elastic Compute Cloud-Benutzerhandbuch für Linux-Instances.
Amazon FSx for NetApp ONTAP unterstützt die folgenden Methoden zur Verschlüsselung von Daten bei der Übertragung zwischen FSx for ONTAP-Dateisystemen und verbundenen Clients:
Automatische Nitro-basierte Verschlüsselung für alle unterstützten Protokolle und Clients, die auf unterstützten Amazon EC2 Linux - und Windows-Instance-Typen ausgeführt werden.
Kerberos-basierte Verschlüsselung über NFS- und SMB-Protokolle.
IPsecbasierte Verschlüsselung über NFS-, iSCSI- und SMB-Protokolle
Alle unterstützten Methoden zur Verschlüsselung von Daten bei der Übertragung verwenden kryptografische AES-256-Algorithmen nach Industriestandard, die eine Verschlüsselung auf Unternehmensebene ermöglichen.
Themen
Auswahl einer Methode zur Verschlüsselung von Daten bei der Übertragung
Verschlüsselung von Daten während der Übertragung mit AWS Nitro System
Verschlüsselung von Daten während der Übertragung mit Kerberos-basierter Verschlüsselung
Verschlüsseln von Daten während der Übertragung mit Verschlüsselung IPsec
Aktivieren der SMB-Verschlüsselung von Daten bei der Übertragung
Konfiguration IPsec mithilfe der Zertifikatsauthentifizierung
Auswahl einer Methode zur Verschlüsselung von Daten bei der Übertragung
Dieser Abschnitt enthält Informationen, anhand derer Sie entscheiden können, welche der unterstützten Verschlüsselungsmethoden bei der Übertragung für Ihren Workflow am besten geeignet ist. Schauen Sie sich diesen Abschnitt an, wenn Sie sich mit den unterstützten Optionen befassen, die in den folgenden Abschnitten ausführlich beschrieben werden.
Bei der Entscheidung, wie Sie Daten bei der Übertragung zwischen Ihrem FSx für ONTAP Dateisystem und verbundenen Clients verschlüsseln möchten, sind mehrere Faktoren zu berücksichtigen. Zu diesen Faktoren gehören:
Das AWS-Region , in dem Ihr Dateisystem FSx für ONTAP läuft.
Der Instanztyp, auf dem der Client läuft.
Der Standort des Clients, der auf Ihr Dateisystem zugreift.
Anforderungen an die Netzwerkleistung.
Das Datenprotokoll, das Sie verschlüsseln möchten.
Wenn Sie Microsoft Active Directory verwenden.
- AWS-Region
Die Art und Weise AWS-Region , in der Ihr Dateisystem ausgeführt wird, bestimmt, ob Sie die Amazon Nitro-basierte Verschlüsselung verwenden können oder nicht. Weitere Informationen finden Sie unter Verschlüsselung von Daten während der Übertragung mit AWS Nitro System.
- Typ der Client-Instanz
Sie können die Amazon Nitro-basierte Verschlüsselung verwenden, wenn der Client, der auf Ihr Dateisystem zugreift, auf einem der unterstützten Amazon EC2 Mac-, Linux - oder Windows-Instance-Typen läuft und Ihr Workflow alle anderen Anforderungen für die Verwendung der Nitro-basierten Verschlüsselung erfüllt. Es gibt keine Anforderungen an den Client-Instance-Typ für die Verwendung von Kerberos oder Verschlüsselung. IPsec
- Kundenstandort
-
Der Standort des Clients, der auf Daten zugreift, in Bezug auf den Speicherort Ihres Dateisystems hat Einfluss darauf, welche Verschlüsselungsmethoden während der Übertragung verwendet werden können. Sie können jede der unterstützten Verschlüsselungsmethoden verwenden, wenn sich der Client und das Dateisystem in derselben VPC befinden. Das Gleiche gilt, wenn sich der Client und das Dateisystem im Peering-Modus befinden VPCs, sofern der Datenverkehr nicht über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst, wie z. B. ein Transit-Gateway, geleitet wird. Nitrobasierte Verschlüsselung ist keine verfügbare Option, wenn sich der Client nicht in derselben oder einer Peering-VPC befindet oder wenn der Datenverkehr über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst geleitet wird.
- Netzwerkleistung
-
Die Verwendung von Amazon Nitro-basierter Verschlüsselung hat keine Auswirkungen auf die Netzwerkleistung. Dies liegt daran, dass die unterstützten EC2 Amazon-Instances die Offload-Funktionen der zugrunde liegenden Nitro System-Hardware nutzen, um den während der Übertragung befindlichen Verkehr zwischen Instances automatisch zu verschlüsseln.
Die Verwendung von Kerberos oder IPsec Verschlüsselung hat Auswirkungen auf die Netzwerkleistung. Dies liegt daran, dass diese beiden Verschlüsselungsmethoden softwarebasiert sind, was bedeutet, dass der Client und der Server Rechenressourcen verwenden müssen, um den während der Übertragung befindlichen Verkehr zu verschlüsseln und zu entschlüsseln.
- Datenprotokoll
-
Sie können Amazon Nitro-basierte Verschlüsselung und IPsec Verschlüsselung mit allen unterstützten Protokollen verwenden — NFS, SMB und iSCSI. Sie können die Kerberos-Verschlüsselung mit den Protokollen NFS und SMB (mit einem Active Directory) verwenden.
- Active Directory
Wenn Sie verwenden Microsoft In Active Directory können Sie die Kerberos-Verschlüsselung über die Protokolle NFS und SMB verwenden.
Verwenden Sie das folgende Diagramm, um zu entscheiden, welche Verschlüsselungsmethode bei der Übertragung verwendet werden soll.
IPsec Verschlüsselung ist die einzige verfügbare Option, wenn alle der folgenden Bedingungen auf Ihren Workflow zutreffen:
Sie verwenden das NFS-, SMB- oder iSCSI-Protokoll.
Ihr Workflow unterstützt die Verwendung von Amazon Nitro-basierter Verschlüsselung nicht.
Sie verwenden kein Microsoft Active Directory-Domäne.
Verschlüsselung von Daten während der Übertragung mit AWS Nitro System
Bei der Nitro-basierten Verschlüsselung werden Daten während der Übertragung automatisch verschlüsselt, wenn Clients, die auf Ihre Dateisysteme zugreifen, auf unterstützten Amazon EC2 Linux - oder Windows-Instance-Typen laufen.
Die Verwendung von Amazon Nitro-basierter Verschlüsselung hat keine Auswirkungen auf die Netzwerkleistung. Dies liegt daran, dass die unterstützten EC2 Amazon-Instances die Offload-Funktionen der zugrunde liegenden Nitro System-Hardware nutzen, um den während der Übertragung befindlichen Verkehr zwischen Instances automatisch zu verschlüsseln.
Die Nitro-basierte Verschlüsselung wird automatisch aktiviert, wenn sich die unterstützten Client-Instance-Typen in derselben AWS-Region und derselben VPC oder in einer VPC befinden, die mit der VPC des Dateisystems über Peering verbunden ist. Wenn sich der Client in einer Peering-VPC befindet, können Daten außerdem kein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst (z. B. ein Transit-Gateway) passieren, sodass die Nitro-basierte Verschlüsselung automatisch aktiviert wird. Weitere Informationen zur Nitro-basierten Verschlüsselung finden Sie im Abschnitt Verschlüsselung bei der Übertragung im EC2 Amazon-Benutzerhandbuch für Linux - oder Windows-Instance-Typen.
In der folgenden Tabelle wird detailliert beschrieben AWS-Regionen , in welchen Bereichen die Nitro-basierte Verschlüsselung verfügbar ist.
| Generation | Bereitstellungstypen | AWS-Region |
|---|---|---|
| Dateisysteme der ersten Generation 1 | Single-AZ 1 Multi-AZ 1 | USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), Europa (Irland) |
| Dateisysteme der zweiten Generation | Single-AZ 2 Multi-AZ 2 | USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Nordkalifornien), USA West (Oregon), Europa (Frankfurt), Europa (Irland), Asien-Pazifik (Sydney) |
1 Dateisysteme der ersten Generation, die am oder nach dem 28. November 2022 erstellt wurden, unterstützen die Nitro-basierte Verschlüsselung bei der Übertragung, die in der Liste aufgeführt ist. AWS-Regionen
Weitere Informationen darüber, AWS-Regionen wo FSx ONTAP verfügbar ist, finden Sie unter Amazon FSx for NetApp ONTAP
Weitere Informationen zu den Leistungsspezifikationen FSx für ONTAP-Dateisysteme finden Sie unter. Auswirkung der Durchsatzkapazität auf die Leistung
Verschlüsselung von Daten während der Übertragung mit Kerberos-basierter Verschlüsselung
Wenn Sie verwenden Microsoft In Active Directory können Sie die Kerberos-basierte Verschlüsselung über die Protokolle NFS und SMB verwenden, um Daten während der Übertragung für untergeordnete Volumes zu verschlüsseln SVMs , die mit einem Microsoft Active Directory verbunden sind.
Verschlüsselung von Daten bei der Übertragung über NFS mithilfe von Kerberos
Die Verschlüsselung von Daten während der Übertragung mit Kerberos wird für alle Protokolle unterstützt. NFSv3 NFSv4 Informationen zur Aktivierung der Verschlüsselung bei der Übertragung mithilfe von Kerberos für das NFS-Protokoll finden Sie unter Verwenden von Kerberos
Verschlüsselung von Daten bei der Übertragung über SMB mit Kerberos
Die Verschlüsselung von Daten bei der Übertragung über das SMB-Protokoll wird auf Dateifreigaben unterstützt, die einer Recheninstanz zugeordnet sind, die das SMB-Protokoll 3.0 oder neuer unterstützt. Dies beinhaltet alle Microsoft Windows Versionen von Microsoft Windows Server 2012 und höher sowie Microsoft Windows 8 und höher. Wenn diese Option aktiviert ist, verschlüsselt FSx for ONTAP automatisch Daten während der Übertragung mithilfe der SMB-Verschlüsselung, wenn Sie auf Ihr Dateisystem zugreifen, ohne dass Sie Ihre Anwendungen ändern müssen.
FSx für ONTAP unterstützt SMB die 128- und 256-Bit-Verschlüsselung, die von der Client-Sitzungsanfrage bestimmt wird. Eine Beschreibung der verschiedenen Verschlüsselungsstufen finden Sie im Abschnitt Mindestsicherheitsstufe für die SMB-Serverauthentifizierung festlegen unter SMB mit der CLI verwalten in der
Anmerkung
Der Client bestimmt den Verschlüsselungsalgorithmus. Sowohl die NTLM- als auch die Kerberos-Authentifizierung funktionieren sowohl mit 128- als auch mit 256-Bit-Verschlüsselung. Der FSx for ONTAP SMB Server akzeptiert alle standardmäßigen Windows-Client-Anfragen, und die detaillierten Steuerungen werden durch Gruppenrichtlinien oder Registrierungseinstellungen von Microsoft übernommen.
Sie verwenden den ONTAP CLI zur Verwaltung der Transitverschlüsselungseinstellungen FSx für ONTAP SVMs und Volumes. Um auf die zuzugreifen NetApp ONTAP CLI, richten Sie eine SSH-Sitzung auf der SVM ein, auf der Sie die Verschlüsselung in den Transiteinstellungen vornehmen, wie unter beschrieben. Verwaltung SVMs mit dem ONTAP CLI
Anweisungen zur Aktivierung der SMB-Verschlüsselung auf einer SVM oder einem Volume finden Sie unter. Aktivieren der SMB-Verschlüsselung von Daten bei der Übertragung
Verschlüsseln von Daten während der Übertragung mit Verschlüsselung IPsec
FSx für ONTAP unterstützt die Verwendung des IPsec Protokolls im Transportmodus, um sicherzustellen, dass Daten während der Übertragung kontinuierlich sicher und verschlüsselt sind. IPsec bietet end-to-end Verschlüsselung von Daten während der Übertragung zwischen Clients und FSx für ONTAP-Dateisysteme für den gesamten unterstützten IP-Verkehr — NFS-, iSCSI- und SMB-Protokolle. Bei der IPsec Verschlüsselung wird ein IPsec Tunnel zwischen einer SVM FSx für ONTAP, die mit IPsec aktiviert konfiguriert ist, und einem Client eingerichtet, der auf dem verbundenen IPsec Client ausgeführt wird und auf die Daten zugreift.
Es wird empfohlen, Daten während der Übertragung über NFS-, SMB- und iSCSI-Protokolle IPsec zu verschlüsseln, wenn Sie auf Ihre Daten von Clients zugreifen, die keine Nitro-basierte Verschlüsselung unterstützen, und wenn Ihr Client nicht mit einem Active Directory verbunden ist, was für die Kerberos-basierte Verschlüsselung erforderlich ist. SVMs IPsec Verschlüsselung ist die einzige verfügbare Option für die Verschlüsselung von Daten während der Übertragung für iSCSI-Verkehr, wenn Ihr iSCSI-Client keine Nitro-basierte Verschlüsselung unterstützt.
Für die IPsec Authentifizierung können Sie entweder Pre-Shared Keys () oder Zertifikate verwenden. PSKs Wenn Sie ein PSK verwenden, muss der von Ihnen verwendete IPsec Client Internet Key Exchange Version 2 (IKEv2) mit einem PSK unterstützen. Die allgemeinen Schritte zur Konfiguration der IPsec Verschlüsselung sowohl für ONTAP als auch FSx für den Client lauten wie folgt:
Aktivieren und konfigurieren Sie es IPsec auf Ihrem Dateisystem.
Installieren und konfigurieren Sie IPsec auf Ihrem Client
Konfigurieren Sie IPsec für den Zugriff mehrerer Clients
Weitere Informationen zur Konfiguration IPsec mithilfe von PSK finden Sie unter Configure IP Security (IPsec) over Wire Encryption
Weitere Informationen zur Konfiguration IPsec mithilfe von Zertifikaten finden Sie unterKonfiguration IPsec mithilfe der Zertifikatsauthentifizierung.
