Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de datos en tránsito
En este tema, se explican las distintas opciones disponibles para cifrar los datos en tránsito entre un sistema de archivos de FSx para ONTAP y los clientes conectados. También se proporciona orientación para ayudarlo a elegir el método de cifrado que mejor se adapte al flujo de trabajo.
Todos los datos que circulan Regiones de AWS por la red AWS global se cifran automáticamente en la capa física antes de salir de las instalaciones AWS seguras. Se cifra todo el tráfico entre las zonas de disponibilidad. Las capas adicionales de cifrado, incluidas las que aparecen en esta sección, pueden proporcionar una protección adicional. Para obtener más información sobre cómo se AWS protege el flujo de datos entre Regiones de AWS las zonas disponibles y las instancias, consulte Encryption in transit en la Guía del usuario de Amazon Elastic Compute Cloud para instancias de Linux.
Amazon FSx para NetApp ONTAP admite los siguientes métodos para cifrar los datos en tránsito entre los sistemas de archivos fSx for ONTAP y los clientes conectados:
Todos los métodos compatibles para cifrar los datos en tránsito utilizan algoritmos AES-256 criptográficos estándar del sector que proporcionan un cifrado sólido para las empresas.
Elección de un método para cifrar datos en tránsito
En esta sección se proporciona información que puede ayudarle a decidir cuál de los métodos de cifrado en tránsito admitidos es el mejor para su flujo de trabajo. Vuelva a consultar esta sección para explorar las opciones compatibles que se describen en detalle en las secciones siguientes.
Hay varios factores que se deben tener en cuenta a la hora de elegir cómo se van a cifrar los datos en tránsito entre el sistema de archivos de FSx para ONTAP y los clientes conectados. Estos factores incluyen:
En el Región de AWS que se ejecuta su sistema de archivos FSx for ONTAP.
Tipo de instancia en la que se ejecuta el cliente.
La ubicación del cliente que accede al sistema de archivos.
Requisitos de rendimiento de red.
El protocolo de datos que desea cifrar.
Si usa Microsoft Active Directory.
- Región de AWS
El sistema de archivos en el Región de AWS que se ejecuta es lo que determina si se puede utilizar o no el Nitro-based cifrado de Amazon. Para obtener más información, consulte Cifrar los datos en tránsito con AWS Nitro System.
- Tipo de instancia del cliente
Puede utilizar el Nitro-based cifrado de Amazon si el cliente que accede a su sistema de archivos se ejecuta en alguno de los tipos de instancias de Amazon EC2 para Mac, Linux o Windows compatibles, y su flujo de trabajo cumple todos los demás requisitos para utilizar Nitro-based el cifrado. No hay ningún requisito de tipo de instancia de cliente para utilizar el cifrado de Kerberos o IPsec.
- Ubicación del cliente
-
La ubicación del cliente que accede a los datos con respecto a la ubicación del sistema de archivos influye en los métodos de cifrado en tránsito disponibles para su uso. Puede usar cualquiera de los métodos de cifrado compatibles si el cliente y el sistema de archivos están ubicados en la misma VPC. Lo mismo ocurre si el cliente y el sistema de archivos están ubicados en VPC interconectadas, siempre que el tráfico no pase a través de un dispositivo o servicio de red virtual, como una puerta de enlace de tránsito. Nitro-based el cifrado no es una opción disponible si el cliente no está en la misma VPC o en una VPC interconectada, o si el tráfico pasa a través de un dispositivo o servicio de red virtual.
- Rendimiento de la red
-
El uso del Nitro-based cifrado de Amazon no afecta al rendimiento de la red. Esto se debe a que las instancias de Amazon EC2 compatibles utilizan las capacidades de descarga del hardware de Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias.
El uso del cifrado de Kerberos o IPsec tiene impacto en el rendimiento de la red. Esto se debe a que ambos métodos de cifrado están basados en software, lo que requiere que el cliente y el servidor utilicen recursos de computación para cifrar y descifrar el tráfico en tránsito.
- Protocolo de datos
-
Puede utilizar el cifrado de Amazon y el Nitro-based cifrado de IPSec con todos los protocolos compatibles: NFS, SMB e iSCSI. Puede utilizar el cifrado de Kerberos con los protocolos NFS y SMB (con un Active Directory).
- Active Directory
Si utiliza Microsoft Active Directory, puede utilizar el cifrado de Kerberos a través de los protocolos NFS y SMB.
Utilice el siguiente diagrama como ayuda para decidir qué método de cifrado en tránsito debe utilizar.
El cifrado de IPsec es la única opción disponible cuando se cumplen todas las condiciones siguientes al flujo de trabajo:
Está utilizando el protocolo NFS, SMB o iSCSI.
Tu flujo de trabajo no admite el uso del Nitro-based cifrado de Amazon.
No está utilizando un dominio de Microsoft Active Directory.
Cifrar los datos en tránsito con AWS Nitro System
Con el Nitro-based cifrado, los datos en tránsito se cifran automáticamente cuando los clientes que acceden a sus sistemas de archivos se ejecutan en tipos de instancias Amazon EC2 Linux o Windows compatibles cuando están Regiones de AWS disponibles en FSx para ONTAP.
El uso del Nitro-based cifrado de Amazon no afecta al rendimiento de la red. Esto se debe a que las instancias de Amazon EC2 compatibles utilizan las capacidades de descarga del hardware de Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias.
Nitro-based el cifrado se habilita automáticamente cuando los tipos de instancias de cliente compatibles se encuentran en la misma Región de AWS y en la misma VPC o en una VPC emparejada con la VPC del sistema de archivos. Además, si el cliente se encuentra en una VPC interconectada, los datos no pueden atravesar un dispositivo o servicio de red virtual (como una puerta de enlace de tránsito) Nitro-based para que el cifrado se habilite automáticamente. Para obtener más información sobre el Nitro-based cifrado, consulte la sección Cifrado en tránsito de la Guía del usuario de Amazon EC2 para tipos de instancias de Linux o Windows.
En la siguiente tabla se detalla en Regiones de AWS qué se encuentra disponible el Nitro-based cifrado.
| Generación | Tipos de implementación | Región de AWS |
|---|---|---|
| First-generation sistemas de archivos 1 | Single-AZ 1 Multi-AZ 1 | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
| Second-generation sistemas de archivos | Single-AZ 2 Multi-AZ 2 | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Norte de California), Oeste de EE. UU. (Oregón), Europa (Fráncfort), Europa (Irlanda), Asia-Pacífico (Sídney) |
1 Los sistemas de First-generation archivos creados a partir del 28 de noviembre de 2022 admiten el cifrado Nitro-based en tránsito de los que figuran en la lista Regiones de AWS.
Para obtener más información sobre Regiones de AWS dónde está disponible fSx para ONTAP, consulte los precios de Amazon FSx
Para obtener más información sobre las especificaciones de rendimiento de los sistemas de archivos de FSx para ONTAP, consulte Impacto de la capacidad de rendimiento en el rendimiento.
Cifrar los datos en tránsito mediante cifrado Kerberos-based
Si utiliza Microsoft Active Directory, puede utilizar el Kerberos-based cifrado a través de los protocolos NFS y SMB para cifrar los datos en tránsito de los volúmenes secundarios de SVM que estén unidos a un Microsoft Active Directory.
Cifrar los datos en tránsito a través de NFS mediante Kerberos
Los protocolos NFSv3 y NFSv4 admiten el cifrado de datos en tránsito mediante Kerberos. Para habilitar el cifrado en tránsito mediante Kerberos para el protocolo NFS, consulte Uso de Kerberos con NFS para una mayor seguridad
Cifrar los datos en tránsito a través de SMB mediante Kerberos
El cifrado de los datos en tránsito a través del protocolo SMB se admite en los archivos compartidos que están mapeados en una instancia de procesamiento que admite el protocolo SMB 3.0 o posterior. Esto incluye todas las versiones de Microsoft Windows desde Microsoft Windows Server 2012 y versiones posteriores, así como y Microsoft Windows 8 y versiones posteriores. Si está activado, FSx para ONTAP cifra automáticamente los datos en tránsito mediante cifrado SMB a medida que se accede al sistema de archivos, sin necesidad de modificar las aplicaciones.
FSx para ONTAP SMB admite el cifrado de 128 y 256 bits, que se determina mediante la solicitud de sesión del cliente. Para obtener descripciones de los diferentes niveles de cifrado, consulte la sección Establecer el nivel de seguridad de autenticación mínimo del servidor SMB de Gestionar SMB con la CLI
nota
El cliente determina el algoritmo de cifrado. Tanto la autenticación de NTLM como la de Kerberos funcionan con el cifrado de 128 y 256 bits. El servidor FSx para ONTAP SMB acepta todas las solicitudes estándar de los clientes de Windows y los controles detallados se gestionan mediante la política de grupo de Microsoft o la configuración del registro.
Utilice la CLI de ONTAP para gestionar la configuración de cifrado en tránsito en FSx para SVM y volúmenes ONTAP. Para acceder a la CLI de NetApp ONTAP, establezca una sesión SSH en la SVM en la que está realizando la configuración de cifrado en tránsito, como se describe en Administración de SVM con la CL de ONTAP.
Para obtener instrucciones acerca de cómo habilitar el cifrado de SMB en una SVM o un volumen, consulte Habilitar el cifrado SMB de datos en tránsito.
Cifrado de datos en tránsito con cifrado de IPsec
FSx para ONTAP admite el uso del protocolo de IPsec en el modo de transporte para garantizar que los datos estén protegidos y cifrados de forma continua mientras están en tránsito. IPsec ofrece un cifrado de extremo a extremo de los datos en tránsito entre los clientes y FSx para los sistemas de archivos ONTAP para todo el tráfico IP compatible: protocolos NFS, iSCSI y SMB. Con el cifrado de IPsec, se establece un túnel de IPsec entre un FSx para ONTAP SVM configurado con IPsec activado y un cliente de IPsec que se ejecuta en el cliente conectado que accede a los datos.
Le recomendamos que utilice IPsec para cifrar los datos en tránsito a través de los protocolos NFS, SMB e iSCSI al acceder a los datos desde clientes que no admiten el Nitro-based cifrado y si su cliente y las SVM no están unidos a un Active Directory, que es necesario para el cifrado. Kerberos-based El cifrado IPSec es la única opción disponible para cifrar los datos en tránsito para el tráfico iSCSI cuando el cliente iSCSI no admite el cifrado. Nitro-based
Para la autenticación de IPsec, puede usar claves previamente compartidas (PSK) o certificados. Si usa una clave previamente compartida (PSK), el cliente de IPsec que use debe ser compatible con la versión 2 del intercambio de claves de Internet (IKEv2) con una PSK. Los pasos de alto nivel para configurar el cifrado de IPsec tanto en FSx para ONTAP como para el cliente son los siguientes:
Habilite y configure IPsec en su sistema de archivos.
Instale y configure IPsec en su cliente
Configure IPsec para el acceso de varios clientes
Para obtener información sobre cómo configurar IPsec mediante PSK, consulte Configurar la seguridad IP (IPsec) mediante cifrado por cable
Para obtener más información acerca de cómo configurar IPsec mediante certificados, consulte Configuración de IPsec mediante la autenticación PSK.
