Cifrado de datos en tránsito - FSx para ONTAP
Elección de un método para cifrar datos en tránsitoCifrado basado en NitroCifrar datos en tránsito con KerberosIPseccifrado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en tránsito

En este tema se explican las diferentes opciones disponibles para cifrar los datos de los archivos mientras están en tránsito entre un sistema de ONTAP archivos y FSx los clientes conectados. También proporciona orientación para ayudarle a elegir el método de cifrado que mejor se adapte a su flujo de trabajo.

Todos los datos que circulan Regiones de AWS por la red AWS global se cifran automáticamente en la capa física antes de salir de las instalaciones AWS seguras. Se cifra todo el tráfico entre las zonas de disponibilidad. Las capas adicionales de cifrado, incluidas las que aparecen en esta sección, pueden proporcionar una protección adicional. Para obtener más información sobre cómo se AWS protege el flujo de datos entre Regiones de AWS las zonas disponibles y las instancias, consulte Encryption in transit en la Guía del usuario de Amazon Elastic Compute Cloud para instancias de Linux.

Amazon FSx for NetApp ONTAP admite los siguientes métodos para cifrar los datos en tránsito entre los sistemas FSx de ONTAP archivos y los clientes conectados:

  • Cifrado automático basado en Nitro en todos los protocolos y clientes compatibles que se ejecutan en los tipos de instancias de Amazon EC2 Linux y Windows compatibles.

  • Cifrado y protocolos basados en Kerberos. NFS SMB

  • IPseccifrado basado en protocolosNFS, i SCSI y SMB

Todos los métodos compatibles para cifrar los datos en tránsito utilizan algoritmos criptográficos estándar del sectorAES: 256, que proporcionan un cifrado de nivel empresarial.

Temas

Elección de un método para cifrar datos en tránsito

En esta sección se proporciona información que puede ayudarle a decidir cuál de los métodos de cifrado en tránsito admitidos es el mejor para su flujo de trabajo. Vuelva a consultar esta sección para explorar las opciones compatibles que se describen en detalle en las secciones siguientes.

Hay varios factores que se deben tener en cuenta a la hora de elegir cómo se van a cifrar los datos en tránsito entre el sistema de ONTAP archivos y FSx los clientes conectados. Estos factores incluyen:

  • El lugar en el Región de AWS que se ejecuta su FSx sistema de ONTAP archivos.

  • Tipo de instancia en la que se ejecuta el cliente.

  • La ubicación del cliente que accede al sistema de archivos.

  • Requisitos de rendimiento de red.

  • El protocolo de datos que desea cifrar.

  • Si utiliza Microsoft Active Directory.

Región de AWS

El sistema de archivos en el Región de AWS que se ejecuta determina si puede utilizar o no el cifrado basado en Amazon Nitro. El cifrado basado en Nitro está disponible en las siguientes Regiones de AWS:

  • Este de EE. UU. (Norte de Virginia)

  • Este de EE. UU. (Ohio)

  • Oeste de EE. UU. (Oregón)

  • Europe (Irlanda)

Además, el cifrado basado en Nitro está disponible para los sistemas de archivos de segunda generación en Asia Pacífico (Sídney). Región de AWS

Tipo de instancia del cliente

Puede utilizar el cifrado basado en Amazon Nitro si el cliente que accede a su sistema de archivos se ejecuta en alguno de los tipos de instancias compatibles de Amazon EC2 Mac, Linux o Windows, y su flujo de trabajo cumple todos los demás requisitos para utilizar el cifrado basado en Nitro. No hay ningún requisito de tipo de instancia de cliente para usar Kerberos o el cifrado. IPsec

Ubicación del cliente

La ubicación del cliente que accede a los datos con respecto a la ubicación del sistema de archivos influye en los métodos de cifrado en tránsito disponibles para su uso. Puede usar cualquiera de los métodos de cifrado compatibles si el cliente y el sistema de archivos están ubicados en el mismo VPC lugar. Lo mismo ocurre si el cliente y el sistema de archivos están ubicados en dispositivos interconectadosVPCs, siempre y cuando el tráfico no pase por un dispositivo o servicio de red virtual, como una puerta de enlace de tránsito. El cifrado basado en Nitro no es una opción disponible si el cliente no está en el mismo lugar o no está interconectadoVPC, o si el tráfico pasa a través de un dispositivo o servicio de red virtual.

Rendimiento de la red

El uso del cifrado basado en Amazon Nitro no tiene impacto en el rendimiento de la red. Esto se debe a que las EC2 instancias de Amazon compatibles utilizan las capacidades de descarga del hardware subyacente del sistema Nitro para cifrar automáticamente el tráfico en tránsito entre instancias.

El uso de Kerberos o el IPsec cifrado tiene un impacto en el rendimiento de la red. Esto se debe a que ambos métodos de cifrado están basados en software, lo que requiere que el cliente y el servidor utilicen recursos de computación para cifrar y descifrar el tráfico en tránsito.

Protocolo de datos

Puede utilizar el cifrado basado en Amazon Nitro y el IPsec cifrado con todos los protocolos compatibles:NFS,SMB, e iSCSI. Puede utilizar el cifrado Kerberos con los SMB protocolos NFS y (con un Active Directory).

Active Directory

Si utiliza Microsoft Active Directory, puede utilizar el cifrado Kerberos a través de los protocolos NFS ySMB.

Utilice el siguiente diagrama como ayuda para decidir qué método de cifrado en tránsito debe utilizar.

Diagrama de flujo que muestra qué método de cifrado en tránsito utilizar en función de cinco puntos de decisión.

IPsecel cifrado es la única opción disponible cuando se cumplen todas las condiciones siguientes al flujo de trabajo:

  • Está utilizando el SCSI protocolo NFSSMB, o i.

  • Su flujo de trabajo no admite el uso del cifrado basado en Amazon Nitro.

  • No está utilizando un dominio de Microsoft Active Directory.

Cifrar los datos en tránsito con AWS Nitro System

Con el cifrado basado en Nitro, los datos en tránsito se cifran automáticamente cuando los clientes que acceden a sus sistemas de archivos se ejecutan en tipos de instancias de Amazon EC2 Linux o Windows compatibles.

El uso del cifrado basado en Amazon Nitro no tiene impacto en el rendimiento de la red. Esto se debe a que las EC2 instancias de Amazon compatibles utilizan las capacidades de descarga del hardware subyacente del sistema Nitro para cifrar automáticamente el tráfico en tránsito entre instancias.

El cifrado basado en Nitro se habilita automáticamente cuando los tipos de instancias de cliente compatibles se encuentran en el mismo Región de AWS y en el mismo sistema de archivos VPC o en una instancia sincronizada con el sistema de archivosVPC. VPC Además, si el cliente se encuentra en un servidor interconectadoVPC, los datos no pueden atravesar un dispositivo o servicio de red virtual (como una pasarela de tránsito) para que el cifrado basado en Nitro se habilite automáticamente. Para obtener más información sobre el cifrado basado en Nitro, consulta la sección Cifrado en tránsito de la Guía del EC2 usuario de Amazon para tipos de instancias de Linux o Windows.

El cifrado en tránsito basado en Nitro está disponible para los siguientes sistemas de archivos creados después del 28 de noviembre de 2022: Regiones de AWS

  • Este de EE. UU. (Norte de Virginia)

  • Este de EE. UU. (Ohio)

  • Oeste de EE. UU. (Oregón)

  • Europe (Irlanda)

Además, el cifrado basado en Nitro está disponible para los sistemas de archivos de segunda generación en Asia Pacífico (Sídney). Región de AWS

Para obtener más información sobre Regiones de AWS dónde FSx ONTAP está disponible, consulta Amazon FSx para NetApp ONTAP conocer los precios.

Para obtener más información sobre las especificaciones de rendimiento de FSx los sistemas de ONTAP archivos, consulteImpacto de la capacidad de rendimiento en el rendimiento.

Cifrado de los datos en tránsito con un cifrado basado en Kerberos

Si utiliza Microsoft Active Directory, puede utilizar el cifrado basado en Kerberos sobre SMB los protocolos NFS y para cifrar los datos en tránsito de los volúmenes secundarios SVMsque están unidos a un Microsoft Active Directory.

Cifrar los datos en tránsito mediante Kerberos NFS

Se admite el cifrado de datos en tránsito mediante Kerberos y sus protocolos. NFSv3 NFSv4 Para habilitar el cifrado en tránsito mediante Kerberos como NFS protocolo, consulte Uso de Kerberos con NFS fines de seguridad reforzados en el Centro de documentación. NetApp ONTAP

Cifrar los datos en tránsito mediante Kerberos SMB

El cifrado de los datos en tránsito a través del SMB protocolo se admite en los archivos compartidos que están mapeados en una instancia de procesamiento compatible con el SMB protocolo 3.0 o posterior. Esto incluye todas Microsoft Windows las versiones de Microsoft Windows Server 2012 y posteriores, y Microsoft Windows 8 y posteriores. Cuando está activado, FSx cifra ONTAP automáticamente los datos en tránsito mediante el SMB cifrado al acceder al sistema de archivos sin necesidad de modificar las aplicaciones.

FSxfor ONTAP SMB admite el cifrado de 128 y 256 bits, determinado por la solicitud de sesión del cliente. Para obtener descripciones de los diferentes niveles de cifrado, consulte la sección Establecer el nivel mínimo de seguridad de autenticación del SMB servidor de Administrar SMB con CLI el centro de NetApp ONTAP documentación.

nota

El cliente determina el algoritmo de cifrado. NTLMTanto la autenticación como la de Kerberos funcionan con el cifrado de 128 y 256 bits. El FSx for ONTAP SMB Server acepta todas las solicitudes de clientes estándar de Windows y los controles granulares los gestiona la política de grupo o la configuración del registro de Microsoft.

Se utiliza ONTAP CLI para administrar la configuración de cifrado en tránsito de los volúmenes ONTAP SVMs y FSx los volúmenes. Para acceder a la configuración de cifrado en tránsito NetApp ONTAPCLI, establezca una SSH sesión SVM en la que vaya a realizar el cifrado en tránsito, tal y como se describe enAdministración de SVM con la CLI ONTAP.

Para obtener instrucciones sobre cómo habilitar el SMB cifrado en un volumen SVM o, consulteHabilitar SMB el cifrado de los datos en tránsito.

Cifrar los datos en tránsito con IPsec cifrado

FSxya que ONTAP admite el uso del IPsec protocolo en modo de transporte para garantizar que los datos estén protegidos y cifrados de forma continua mientras están en tránsito. IPsecofrece el end-to-end cifrado de los datos en tránsito entre clientes y sistemas de ONTAP archivos FSx para todo el tráfico IP (NFSiSCSI) y SMB los protocolos compatibles. Con el IPsec cifrado, se establece un IPsec túnel entre un formulario FSx ONTAP SVM configurado con IPsec activado y un IPsec cliente que se ejecuta en el cliente conectado y accede a los datos.

Le recomendamos que utilice IPsec para cifrar los datos en tránsito a través de SCSI los protocolos NFSSMB, e i cuando acceda a sus datos desde clientes que no admitan el cifrado basado en Nitro y si su cliente y yo no SVMs estamos unidos a un Active Directory, que es necesario para el cifrado basado en Kerberos. IPsecel cifrado es la única opción disponible para cifrar los datos en tránsito para el SCSI tráfico i cuando su cliente i no admite el cifrado basado en Nitro. SCSI

Para la IPsec autenticación, puedes usar claves previamente compartidas () PSKs o certificados. Si utiliza unPSK, el IPsec cliente que utilice debe ser compatible con la versión 2 (IKEv2) de Internet Key Exchange con unPSK. Los pasos básicos para configurar el IPsec cifrado tanto FSx para el cliente como para ONTAP el cliente son los siguientes:

  1. Actívelo y IPsec configúrelo en su sistema de archivos.

  2. Instale y configure IPsec en su cliente

  3. Configure IPsec para el acceso de varios clientes

Para obtener más información sobre cómo configurar el IPsec usoPSK, consulte Configurar la seguridad IP (IPsec) mediante cifrado por cable en el centro de NetApp ONTAP documentación.

Para obtener más información sobre cómo configurar el IPsec uso de certificados, consulteConfiguración IPsec mediante autenticación mediante certificado.