chiffrement des données en transit - FSx pour ONTAP
Choix d'une méthode de chiffrement des données en transitChiffrement basé sur NitroChiffrer les données en transit avec KerberosChiffrement IPSec

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

chiffrement des données en transit

Cette rubrique décrit les différentes options disponibles pour chiffrer les données de vos fichiers lorsqu'elles sont en transit entre un système de fichiers FSx for ONTAP et les clients connectés. Il fournit également des conseils pour vous aider à choisir la méthode de chiffrement la mieux adaptée à votre flux de travail.

Toutes les données circulant Régions AWS sur le réseau AWS mondial sont automatiquement cryptées au niveau de la couche physique avant de quitter les installations AWS sécurisées. L'ensemble du trafic entre les zones de disponibilité est chiffré. Des couches de chiffrement supplémentaires, notamment celles répertoriées dans cette section, fournissent des protections supplémentaires. Pour plus d'informations sur la manière AWS dont les données circulent entre elles Régions AWS, les zones disponibles et les instances, consultez la section Chiffrement en transit dans le guide de l'utilisateur Amazon Elastic Compute Cloud pour les instances Linux.

Amazon FSx for NetApp ONTAP prend en charge les méthodes suivantes pour chiffrer les données en transit entre les systèmes de fichiers FSx for ONTAP et les clients connectés :

  • Chiffrement automatique basé sur Nitro sur tous les protocoles et clients pris en charge exécutés sur des types d'instances Amazon EC2 Linux et Windows compatibles.

  • Chiffrement basé sur Kerberos via les protocoles NFS et SMB.

  • Chiffrement basé sur IPsec sur les protocoles NFS, iSCSI et SMB

Toutes les méthodes prises en charge pour chiffrer les données en transit utilisent des algorithmes cryptographiques conformes à la norme industrielle AES-256 qui fournissent un chiffrement à la pointe de l'entreprise.

Rubriques

Choix d'une méthode de chiffrement des données en transit

Cette section fournit des informations qui peuvent vous aider à choisir le cryptage pris en charge dans les méthodes de transit qui convient le mieux à votre flux de travail. Reportez-vous à cette section pour découvrir les options prises en charge décrites en détail dans les sections suivantes.

Plusieurs facteurs doivent être pris en compte lorsque vous choisissez le mode de chiffrement des données en transit entre votre système de fichiers FSx for ONTAP et les clients connectés. Ces facteurs incluent :

  • Le système de fichiers dans Région AWS lequel s'exécute votre système de fichiers FSx for ONTAP.

  • Type d'instance sur lequel le client s'exécute.

  • Emplacement du client accédant à votre système de fichiers.

  • Exigences relatives aux performances du réseau.

  • Protocole de données que vous souhaitez chiffrer.

  • Si vous utilisez Microsoft Active Directory.

Région AWS

Le système de fichiers dans Région AWS lequel s'exécute votre système de fichiers détermine si vous pouvez ou non utiliser le chiffrement basé sur Amazon Nitro. Le chiffrement basé sur Nitro est disponible dans les versions suivantes : Régions AWS

  • USA Est (Virginie du Nord)

  • USA Est (Ohio)

  • USA Ouest (Oregon)

  • Europe (Irlande)

En outre, le chiffrement basé sur Nitro est disponible pour les systèmes de fichiers évolutifs en Asie-Pacifique (Sydney). Région AWS

Type d'instance client

Vous pouvez utiliser le chiffrement basé sur Amazon Nitro si le client accédant à votre système de fichiers s'exécute sur l'un des types d'instance Amazon EC2 Mac, Linux ou Windows pris en charge, et si votre flux de travail répond à toutes les autres exigences relatives à l'utilisation du chiffrement basé sur Nitro. Aucun type d'instance client n'est requis pour utiliser le chiffrement Kerberos ou IPSec.

Emplacement du client

L'emplacement du client accédant aux données par rapport à l'emplacement de votre système de fichiers a une incidence sur les méthodes de chiffrement en transit disponibles. Vous pouvez utiliser l'une des méthodes de chiffrement prises en charge si le client et le système de fichiers se trouvent dans le même VPC. Il en va de même si le client et le système de fichiers sont situés dans des VPC homologues, à condition que le trafic ne transite pas par un périphérique ou un service réseau virtuel, tel qu'une passerelle de transit. Le chiffrement basé sur Nitro n'est pas une option disponible si le client n'est pas dans le même VPC ou dans un VPC homologue, ou si le trafic passe par un périphérique ou un service réseau virtuel.

Performances réseau

L'utilisation du chiffrement basé sur Amazon Nitro n'a aucun impact sur les performances du réseau. Cela est dû au fait que les instances Amazon EC2 prises en charge utilisent les capacités de déchargement du matériel Nitro System sous-jacent pour chiffrer automatiquement le trafic en transit entre les instances.

L'utilisation du chiffrement Kerberos ou IPSec a un impact sur les performances du réseau. En effet, ces deux méthodes de chiffrement sont basées sur des logiciels, ce qui oblige le client et le serveur à utiliser des ressources informatiques pour chiffrer et déchiffrer le trafic en transit.

Protocole de données

Vous pouvez utiliser le chiffrement basé sur Amazon Nitro et le chiffrement IPsec avec tous les protocoles pris en charge : NFS, SMB et iSCSI. Vous pouvez utiliser le chiffrement Kerberos avec les protocoles NFS et SMB (avec un Active Directory).

Active Directory

Si vous utilisez Microsoft Active Directory, vous pouvez utiliser le chiffrement Kerberos sur les protocoles NFS et SMB.

Utilisez le schéma suivant pour vous aider à choisir la méthode de chiffrement en transit à utiliser.

Organigramme indiquant la méthode de chiffrement en transit à utiliser en fonction de cinq points de décision.

Le chiffrement IPsec est la seule option disponible lorsque toutes les conditions suivantes s'appliquent à votre flux de travail :

  • Vous utilisez le protocole NFS, SMB ou iSCSI.

  • Votre flux de travail ne prend pas en charge l'utilisation du chiffrement basé sur Amazon Nitro.

  • Vous n'utilisez pas de domaine Microsoft Active Directory.

Chiffrer les données en transit avec AWS Nitro System

Avec le chiffrement basé sur Nitro, les données en transit sont chiffrées automatiquement lorsque les clients accédant à vos systèmes de fichiers s'exécutent sur des types d'instances Amazon EC2 Linux ou Windows compatibles.

L'utilisation du chiffrement basé sur Amazon Nitro n'a aucun impact sur les performances du réseau. Cela est dû au fait que les instances Amazon EC2 prises en charge utilisent les capacités de déchargement du matériel Nitro System sous-jacent pour chiffrer automatiquement le trafic en transit entre les instances.

Le chiffrement basé sur Nitro est activé automatiquement lorsque les types d'instances clientes pris en charge se trouvent dans le même VPC ou dans un VPC apparenté au VPC du système de fichiers. Région AWS De plus, si le client se trouve dans un VPC apparenté, les données ne peuvent pas traverser un périphérique ou un service réseau virtuel (tel qu'une passerelle de transit) afin que le chiffrement basé sur Nitro soit automatiquement activé. Pour plus d'informations sur le chiffrement basé sur Nitro, consultez la section Chiffrement en transit du Guide de l'utilisateur Amazon EC2 pour les types d'instances Linux ou Windows.

Le chiffrement en transit basé sur Nitro est disponible pour les systèmes de fichiers créés après le 28 novembre 2022 dans les conditions suivantes : Régions AWS

  • USA Est (Virginie du Nord)

  • USA Est (Ohio)

  • USA Ouest (Oregon)

  • Europe (Irlande)

En outre, le chiffrement basé sur Nitro est disponible pour les systèmes de fichiers évolutifs en Asie-Pacifique (Sydney). Région AWS

Pour plus d'informations sur les lieux Régions AWS où FSx for ONTAP est disponible, consultez la section Tarification d'Amazon FSx for ONTAP. NetApp

Pour plus d'informations sur les spécifications de performances de FSx pour les systèmes de fichiers ONTAP, consultez. Impact de la capacité de débit sur les performances

Chiffrement des données en transit grâce au chiffrement basé sur Kerberos

Si vous utilisez Microsoft Active Directory, vous pouvez utiliser le chiffrement Kerberos sur les protocoles NFS et SMB pour chiffrer les données en transit pour les volumes enfants de SVM joints à un Microsoft Active Directory.

Chiffrement des données en transit via NFS à l'aide de Kerberos

Le chiffrement des données en transit à l'aide de Kerberos est pris en charge par les protocoles NFSv3 et NFSv4. Pour activer le chiffrement en transit à l'aide de Kerberos pour le protocole NFS, consultez la section Utilisation de Kerberos avec NFS pour une sécurité renforcée dans le Centre de documentation. NetApp ONTAP

Chiffrement des données en transit sur SMB à l'aide de Kerberos

Le chiffrement des données en transit via le protocole SMB est pris en charge sur les partages de fichiers mappés sur une instance de calcul compatible avec le protocole SMB 3.0 ou version ultérieure. Cela inclut toutes les Microsoft Windows versions de Microsoft Windows Server 2012 et versions ultérieures, ainsi que Microsoft Windows 8 et versions ultérieures. Lorsqu'il est activé, FSx for ONTAP chiffre automatiquement les données en transit à l'aide du chiffrement SMB lorsque vous accédez à votre système de fichiers sans avoir à modifier vos applications.

FSx for ONTAP SMB prend en charge le chiffrement 128 et 256 bits, qui est déterminé par la demande de session du client. Pour une description des différents niveaux de chiffrement, consultez la section Définir le niveau de sécurité d'authentification minimal du serveur SMB de la section Gérer les PME avec la CLI dans le Centre de NetApp ONTAP documentation.

Note

Le client détermine l'algorithme de chiffrement. Les authentifications NTLM et Kerberos fonctionnent avec un cryptage à 128 et 256 bits. Le serveur FSx for ONTAP SMB accepte toutes les demandes standard des clients Windows, et les contrôles granulaires sont gérés par la politique de groupe Microsoft ou les paramètres du registre.

La ONTAP CLI permet de gérer le chiffrement dans les paramètres de transit sur FSx pour les SVM et les volumes ONTAP. Pour accéder à la NetApp ONTAP CLI, établissez une session SSH sur la SVM sur laquelle vous effectuez le chiffrement dans les paramètres de transit, comme décrit dans. Gestion des SVM à l'aide de la CLI ONTAP

Pour savoir comment activer le chiffrement SMB sur une SVM ou un volume, reportez-vous à la section. Activer le chiffrement des données en transit par les PME

Chiffrement des données en transit avec le chiffrement IPSec

FSx for ONTAP prend en charge l'utilisation du protocole IPsec en mode transport afin de garantir la sécurité et le chiffrement continus des données pendant leur transit. IPsec permet de end-to-end chiffrer les données en transit entre les clients et les systèmes de fichiers FSx for ONTAP pour tout le trafic IP pris en charge (protocoles NFS, iSCSI et SMB). Avec le chiffrement IPsec, vous établissez un tunnel IPsec entre une SVM FSx for ONTAP configurée avec IPsec activé et un client IPsec exécuté sur le client connecté accédant aux données.

Nous vous recommandons d'utiliser IPsec pour chiffrer les données en transit via les protocoles NFS, SMB et iSCSI lorsque vous accédez à vos données depuis des clients qui ne prennent pas en charge le chiffrement basé sur Nitro, et si votre client et vos SVM ne sont pas associés à un Active Directory, ce qui est requis pour le chiffrement basé sur Kerberos. Le chiffrement IPsec est la seule option disponible pour chiffrer les données en transit pour le trafic iSCSI lorsque votre client iSCSI ne prend pas en charge le chiffrement basé sur Nitro.

Pour l'authentification IPsec, vous pouvez utiliser des clés pré-partagées (PSK) ou des certificats. Si vous utilisez un PSK, le client IPsec que vous utilisez doit prendre en charge Internet Key Exchange version 2 (IKEv2) avec un PSK. Les étapes de haut niveau pour configurer le chiffrement IPsec à la fois sur FSx for ONTAP et sur le client sont les suivantes :

  1. Activez et configurez IPSec sur votre système de fichiers.

  2. Installez et configurez IPSec sur votre client

  3. Configuration d'IPsec pour un accès client multiple

Pour plus d'informations sur la configuration d'IPsec à l'aide de PSK, consultez la section Configuration de la sécurité IP (IPsec) par chiffrement filaire dans le NetApp ONTAP centre de documentation.

Pour plus d'informations sur la configuration d'IPsec à l'aide de certificats, consultezConfiguration d'IPSec à l'aide de l'authentification par certificat.