Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
chiffrement des données en transit
Cette rubrique décrit les différentes options disponibles pour chiffrer les données de vos fichiers lorsqu'elles sont en transit entre un système de fichiers FSx for ONTAP et les clients connectés. Il fournit également des conseils pour vous aider à choisir la méthode de chiffrement la mieux adaptée à votre flux de travail.
Toutes les données circulant Régions AWS sur le réseau AWS mondial sont automatiquement cryptées au niveau de la couche physique avant de quitter les installations AWS sécurisées. L'ensemble du trafic entre les zones de disponibilité est chiffré. Des couches de chiffrement supplémentaires, notamment celles répertoriées dans cette section, fournissent des protections supplémentaires. Pour plus d'informations sur la manière AWS dont les données circulent entre elles Régions AWS, les zones disponibles et les instances, consultez la section Chiffrement en transit dans le guide de l'utilisateur Amazon Elastic Compute Cloud pour les instances Linux.
Amazon FSx for NetApp ONTAP prend en charge les méthodes suivantes pour chiffrer les données en transit entre les systèmes de fichiers FSx for ONTAP et les clients connectés :
Toutes les méthodes prises en charge pour chiffrer les données en transit utilisent des algorithmes AES-256 cryptographiques conformes aux normes de l'industrie qui fournissent un chiffrement à la pointe de l'entreprise.
Rubriques
Choix d'une méthode de chiffrement des données en transit
Cette section fournit des informations qui peuvent vous aider à choisir le cryptage pris en charge dans les méthodes de transit qui convient le mieux à votre flux de travail. Reportez-vous à cette section pour découvrir les options prises en charge décrites en détail dans les sections suivantes.
Plusieurs facteurs doivent être pris en compte lorsque vous choisissez le mode de chiffrement des données en transit entre votre système de fichiers FSx for ONTAP et les clients connectés. Ces facteurs incluent :
Le système de fichiers dans Région AWS lequel s'exécute votre système de fichiers FSx for ONTAP.
Type d'instance sur lequel le client s'exécute.
Emplacement du client accédant à votre système de fichiers.
Exigences relatives aux performances du réseau.
Protocole de données que vous souhaitez chiffrer.
Si vous utilisez Microsoft Active Directory.
- Région AWS
Le Région AWS système de fichiers dans lequel s'exécute votre système de fichiers détermine si vous pouvez ou non utiliser Nitro-based le chiffrement Amazon. Pour de plus amples informations, veuillez consulter Chiffrer les données en transit avec AWS Nitro System.
- Type d'instance client
Vous pouvez utiliser le Nitro-based chiffrement Amazon si le client accédant à votre système de fichiers fonctionne sur l'un des types d'instance Amazon EC2 Mac, Linux ou Windows pris en charge, et si votre flux de travail répond à toutes les autres exigences relatives à l'utilisation Nitro-based du chiffrement. Aucun type d'instance client n'est requis pour utiliser le chiffrement Kerberos ou IPSec.
- Emplacement du client
-
L'emplacement du client accédant aux données par rapport à l'emplacement de votre système de fichiers a une incidence sur les méthodes de chiffrement en transit disponibles. Vous pouvez utiliser l'une des méthodes de chiffrement prises en charge si le client et le système de fichiers se trouvent dans le même VPC. Il en va de même si le client et le système de fichiers sont situés dans des VPC homologues, à condition que le trafic ne transite pas par un périphérique ou un service réseau virtuel, tel qu'une passerelle de transit. Nitro-based le chiffrement n'est pas une option disponible si le client n'est pas dans le même VPC ou dans un VPC homologue, ou si le trafic passe par un périphérique ou un service réseau virtuel.
- Performances réseau
-
L'utilisation d'Amazon Nitro-based Encrypted n'a aucun impact sur les performances du réseau. Cela est dû au fait que les instances Amazon EC2 prises en charge utilisent les capacités de déchargement du matériel Nitro System sous-jacent pour chiffrer automatiquement le trafic en transit entre les instances.
L'utilisation du chiffrement Kerberos ou IPSec a un impact sur les performances du réseau. En effet, ces deux méthodes de chiffrement sont basées sur des logiciels, ce qui oblige le client et le serveur à utiliser des ressources informatiques pour chiffrer et déchiffrer le trafic en transit.
- Protocole de données
-
Vous pouvez utiliser le Nitro-based chiffrement Amazon et le chiffrement IPsec avec tous les protocoles pris en charge : NFS, SMB et iSCSI. Vous pouvez utiliser le chiffrement Kerberos avec les protocoles NFS et SMB (avec un Active Directory).
- Active Directory
Si vous utilisez Microsoft Active Directory, vous pouvez utiliser le chiffrement Kerberos sur les protocoles NFS et SMB.
Utilisez le schéma suivant pour vous aider à choisir la méthode de chiffrement en transit à utiliser.
Le chiffrement IPsec est la seule option disponible lorsque toutes les conditions suivantes s'appliquent à votre flux de travail :
Vous utilisez le protocole NFS, SMB ou iSCSI.
Votre flux de travail ne prend pas en charge l'utilisation du Nitro-based chiffrement Amazon.
Vous n'utilisez pas de domaine Microsoft Active Directory.
Chiffrer les données en transit avec AWS Nitro System
Grâce au Nitro-based chiffrement, les données en transit sont chiffrées automatiquement lorsque les clients accédant à vos systèmes de fichiers s'exécutent sur des types Régions AWS d'instances Amazon EC2 Linux ou Windows compatibles, là où elles sont disponibles sur FSx for ONTAP.
L'utilisation du Nitro-based chiffrement Amazon n'a aucun impact sur les performances du réseau. Cela est dû au fait que les instances Amazon EC2 prises en charge utilisent les capacités de déchargement du matériel Nitro System sous-jacent pour chiffrer automatiquement le trafic en transit entre les instances.
Nitro-based le chiffrement est activé automatiquement lorsque les types d'instances clientes pris en charge se trouvent dans le même VPC ou dans un VPC apparenté au VPC du système de fichiers. Région AWS En outre, si le client se trouve dans un VPC apparenté, les données ne peuvent pas traverser un périphérique ou un service réseau virtuel (tel qu'une passerelle de transit) afin Nitro-based que le chiffrement soit automatiquement activé. Pour plus d'informations sur le Nitro-based chiffrement, consultez la section Chiffrement en transit du Guide de l'utilisateur Amazon EC2 pour les types d'instances Linux ou Windows.
Le tableau suivant Régions AWS indique dans quel format le Nitro-based chiffrement est disponible.
| Génération | Types de déploiement | Région AWS |
|---|---|---|
| First-generation systèmes de fichiers 1 | Single-AZ 1 Multi-AZ 1 | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), Europe (Irlande) |
| Second-generation systèmes de fichiers | Single-AZ 2 Multi-AZ 2 | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Californie du Nord), USA Ouest (Oregon), Europe (Francfort), Europe (Irlande), Asie-Pacifique (Sydney) |
1 système de First-generation fichiers créé le 28 novembre 2022 ou après cette date prend Nitro-based en charge le chiffrement en transit dans la liste Régions AWS.
Pour plus d'informations sur les lieux Régions AWS où FSx for ONTAP est disponible, consultez la section Tarification d'Amazon FSx
Pour plus d'informations sur les spécifications de performances de FSx pour les systèmes de fichiers ONTAP, consultez. Impact de la capacité de débit sur les performances
Chiffrement des données en transit grâce au chiffrement Kerberos-based
Si vous utilisez Microsoft Active Directory, vous pouvez utiliser le Kerberos-based chiffrement via les protocoles NFS et SMB pour chiffrer les données en transit pour les volumes enfants de SVM joints à un Microsoft Active Directory.
Chiffrement des données en transit via NFS à l'aide de Kerberos
Le chiffrement des données en transit à l'aide de Kerberos est pris en charge par les protocoles NFSv3 et NFSv4. Pour activer le chiffrement en transit à l'aide de Kerberos pour le protocole NFS, consultez la section Utilisation de Kerberos avec NFS pour une sécurité renforcée
Chiffrement des données en transit sur SMB à l'aide de Kerberos
Le chiffrement des données en transit via le protocole SMB est pris en charge sur les partages de fichiers mappés sur une instance de calcul compatible avec le protocole SMB 3.0 ou une version ultérieure. Cela inclut toutes les Microsoft Windows versions de Microsoft Windows Server 2012 et versions ultérieures, ainsi que Microsoft Windows 8 et versions ultérieures. Lorsqu'il est activé, FSx for ONTAP chiffre automatiquement les données en transit à l'aide du chiffrement SMB lorsque vous accédez à votre système de fichiers sans avoir à modifier vos applications.
FSx for ONTAP SMB prend en charge le chiffrement 128 et 256 bits, qui est déterminé par la demande de session du client. Pour une description des différents niveaux de chiffrement, consultez la section Définir le niveau de sécurité d'authentification minimal du serveur SMB de la section Gérer les PME avec la CLI
Note
Le client détermine l'algorithme de chiffrement. Les authentifications NTLM et Kerberos fonctionnent avec un cryptage à 128 et 256 bits. Le serveur FSx for ONTAP SMB accepte toutes les demandes standard des clients Windows, et les contrôles granulaires sont gérés par la politique de groupe Microsoft ou les paramètres du registre.
La ONTAP CLI permet de gérer le chiffrement dans les paramètres de transit sur FSx pour les SVM et les volumes ONTAP. Pour accéder à la NetApp ONTAP CLI, établissez une session SSH sur la SVM sur laquelle vous effectuez le chiffrement dans les paramètres de transit, comme décrit dans. Gestion à SVMs l'aide de la ONTAP CLI
Pour savoir comment activer le chiffrement SMB sur une SVM ou un volume, consultez. Activation du chiffrement des données en transit par les PME
Chiffrement des données en transit avec le chiffrement IPSec
FSx for ONTAP prend en charge l'utilisation du protocole IPsec en mode transport afin de garantir la sécurité et le chiffrement continus des données pendant leur transit. IPsec permet le chiffrement de bout en bout des données en transit entre les clients et les systèmes de fichiers FSx for ONTAP pour tout le trafic IP pris en charge (protocoles NFS, iSCSI et SMB). Avec le chiffrement IPsec, vous établissez un tunnel IPsec entre une SVM FSx for ONTAP configurée avec IPsec activé et un client IPsec exécuté sur le client connecté accédant aux données.
Nous vous recommandons d'utiliser IPsec pour chiffrer les données en transit via les protocoles NFS, SMB et iSCSI lorsque vous accédez à vos données depuis des clients qui ne prennent pas en charge le Nitro-based chiffrement, et si votre client et vos SVM ne sont pas connectés à un Active Directory, ce qui est nécessaire pour le chiffrement. Kerberos-based Le chiffrement IPsec est la seule option disponible pour chiffrer les données en transit pour le trafic iSCSI lorsque votre client iSCSI ne prend pas en charge le chiffrement. Nitro-based
Pour l'authentification IPsec, vous pouvez utiliser des clés pré-partagées (PSK) ou des certificats. Si vous utilisez un PSK, le client IPsec que vous utilisez doit prendre en charge Internet Key Exchange version 2 (IKEv2) avec un PSK. Les étapes de haut niveau pour configurer le chiffrement IPsec à la fois sur FSx for ONTAP et sur le client sont les suivantes :
Activez et configurez IPSec sur votre système de fichiers.
Installez et configurez IPSec sur votre client
Configuration d'IPSec pour un accès client multiple
Pour plus d'informations sur la configuration d'IPsec à l'aide de PSK, consultez la section Configuration de la sécurité IP (IPsec) par chiffrement filaire
Pour plus d'informations sur la configuration d'IPsec à l'aide de certificats, consultezConfiguration d'IPSec à l'aide de l'authentification par certificat.
