Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Mengenkripsi data dalam perjalanan Topik ini menjelaskan berbagai opsi yang tersedia untuk mengenkripsi data file Anda saat sedang dalam perjalanan antara sistem file FSx untuk ONTAP dan klien yang terhubung. Ini juga memberikan panduan untuk membantu Anda memilih metode enkripsi mana yang paling cocok untuk alur kerja Anda. Semua data yang mengalir di Wilayah AWS seluruh jaringan AWS global secara otomatis dienkripsi pada lapisan fisik sebelum meninggalkan fasilitas yang AWS aman. Semua lalu lintas antara Availability Zones dienkripsi. Lapisan enkripsi tambahan, termasuk yang tercantum di bagian ini, memberikan perlindungan tambahan. Untuk informasi selengkapnya tentang cara AWS menyediakan perlindungan untuk data yang mengalir di seluruh Zona Tersedia Wilayah AWS, dan instans, lihat [Enkripsi saat transit di](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Panduan Pengguna Amazon Elastic Compute Cloud untuk Instans Linux. Amazon FSx untuk NetApp ONTAP mendukung metode berikut untuk mengenkripsi data dalam perjalanan antara fsX untuk sistem file ONTAP dan klien yang terhubung: + Nitro-based Enkripsi otomatis atas semua protokol dan klien yang didukung yang berjalan pada jenis instans Amazon [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Linux [dan](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows yang didukung. + Kerberos-based enkripsi melalui protokol NFS dan SMB. + IPsec-based enkripsi melalui protokol NFS, iSCSI, dan SMB Semua metode yang didukung untuk mengenkripsi data dalam perjalanan menggunakan algoritma AES-256 kriptografi standar industri yang menyediakan enkripsi kekuatan perusahaan. **Topics** + [Memilih metode untuk mengenkripsi data dalam perjalanan](#choosing-encryption-in-transit) + [Mengenkripsi data dalam perjalanan dengan AWS Sistem Nitro](#nitro-encryption) + [Mengenkripsi data dalam perjalanan dengan enkripsi Kerberos-based](#kerberos-encryption) + [Mengenkripsi data dalam perjalanan dengan enkripsi IPsec](#ipsec-encryption) + [Mengaktifkan enkripsi data SMB dalam perjalanan](enable-smb-encryption.md) + [Mengkonfigurasi IPsec menggunakan otentikasi PSK](config-ipsec-psk-auth.md) + [Mengkonfigurasi IPsec menggunakan otentikasi sertifikat](config-ipsec-ca-auth.md) ## Memilih metode untuk mengenkripsi data dalam perjalanan Bagian ini memberikan informasi yang dapat membantu Anda memutuskan enkripsi mana yang didukung dalam metode transit yang terbaik untuk alur kerja Anda. Lihat kembali bagian ini saat Anda menjelajahi opsi yang didukung yang dijelaskan secara rinci di bagian berikut. Ada beberapa faktor yang perlu dipertimbangkan ketika memilih bagaimana Anda akan mengenkripsi data dalam perjalanan antara FSx Anda untuk sistem file ONTAP dan klien yang terhubung. Faktor-faktor ini meliputi: + Sistem file FSx untuk ONTAP Anda berjalan. Wilayah AWS + Jenis instance yang dijalankan klien. + Lokasi klien yang mengakses sistem file Anda. + Persyaratan kinerja jaringan. + Protokol data yang ingin Anda enkripsi. + Jika Anda menggunakan Microsoft Active Directory. **Wilayah AWS** Sistem file Anda berjalan menentukan apakah Anda dapat menggunakan Nitro-based enkripsi Amazon atau tidak. Wilayah AWS Untuk informasi selengkapnya, lihat [Mengenkripsi data dalam perjalanan dengan AWS Sistem Nitro](#nitro-encryption). **Jenis contoh klien** [Anda dapat menggunakan Nitro-based enkripsi Amazon jika klien yang mengakses sistem file Anda berjalan di salah satu jenis instans Amazon EC2 Mac[, Linux,](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)[atau](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows yang didukung, dan alur kerja Anda memenuhi semua persyaratan lain untuk menggunakan enkripsi. Nitro-based ](#nitro-encryption) Tidak ada persyaratan tipe instance klien untuk menggunakan enkripsi Kerberos atau IPsec. **Lokasi klien** Lokasi klien yang mengakses data sehubungan dengan lokasi sistem file Anda memengaruhi metode enkripsi in-transit yang tersedia untuk digunakan. Anda dapat menggunakan salah satu metode enkripsi yang didukung jika klien dan sistem file berada di VPC yang sama. Hal yang sama berlaku jika klien dan sistem file berada di VPC peered, selama lalu lintas tidak melewati perangkat atau layanan jaringan virtual, seperti gateway transit. Nitro-based enkripsi bukanlah pilihan yang tersedia jika klien tidak berada dalam VPC yang sama atau peered, atau jika lalu lintas melewati perangkat atau layanan jaringan virtual. **Performa jaringan** Menggunakan Amazon Nitro-based terenkripsi tidak berdampak pada kinerja jaringan. Ini karena instans Amazon EC2 yang didukung menggunakan kemampuan pembongkaran perangkat keras Sistem Nitro yang mendasarinya untuk secara otomatis mengenkripsi lalu lintas dalam transit antar instans. Menggunakan enkripsi Kerberos atau IPsec berdampak pada kinerja jaringan. Ini karena kedua metode enkripsi ini berbasis perangkat lunak, yang mengharuskan klien dan server untuk menggunakan sumber daya komputasi untuk mengenkripsi dan mendekripsi lalu lintas dalam transit. **Protokol data** Anda dapat menggunakan Nitro-based enkripsi Amazon dan enkripsi IPsec dengan semua protokol yang didukung — NFS, SMB, dan iSCSI. Anda dapat menggunakan enkripsi Kerberos dengan protokol NFS dan SMB (dengan Active Directory). **Active Directory** Jika Anda menggunakan Microsoft Active Directory, Anda dapat menggunakan [enkripsi Kerberos melalui protokol](#kerberos-encryption) NFS dan SMB. Gunakan diagram berikut untuk membantu Anda memutuskan metode enkripsi dalam transit mana yang akan digunakan. ![Diagram alur yang menunjukkan enkripsi mana dalam metode transit yang akan digunakan berdasarkan lima titik keputusan.](http://docs.aws.amazon.com/id_id/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png) Enkripsi IPsec adalah satu-satunya pilihan yang tersedia ketika semua kondisi berikut berlaku untuk alur kerja Anda: + Anda menggunakan protokol NFS, SMB, atau iSCSI. + Alur kerja Anda tidak mendukung penggunaan Nitro-based enkripsi Amazon. + Anda tidak menggunakan domain Microsoft Active Directory. ## Mengenkripsi data dalam perjalanan dengan AWS Sistem Nitro Dengan Nitro-based enkripsi, data dalam transit dienkripsi secara otomatis ketika klien yang mengakses sistem file Anda berjalan pada jenis instans Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) atau [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) yang didukung di mana data tersebut tersedia di FSx Wilayah AWS untuk ONTAP. Menggunakan Nitro-based enkripsi Amazon tidak berdampak pada kinerja jaringan. Ini karena instans Amazon EC2 yang didukung menggunakan kemampuan pembongkaran perangkat keras Sistem Nitro yang mendasarinya untuk secara otomatis mengenkripsi lalu lintas dalam transit antar instans. Nitro-based enkripsi diaktifkan secara otomatis ketika jenis instance klien yang didukung berada di VPC yang sama Wilayah AWS dan di VPC yang sama atau di VPC yang diintip dengan VPC sistem file. Selain itu, jika klien berada dalam VPC peered, maka data tidak dapat melintasi perangkat atau layanan jaringan virtual (seperti gateway transit) agar enkripsi diaktifkan secara Nitro-based otomatis. Untuk informasi selengkapnya tentang Nitro-based enkripsi, lihat bagian Enkripsi dalam perjalanan dari Panduan Pengguna Amazon EC2 untuk jenis instans [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) atau [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit). Tabel berikut merinci Nitro-based enkripsi Wilayah AWS yang tersedia di. **Support untuk Nitro-based enkripsi** | Generasi | Jenis deployment | Wilayah AWS | | --- | --- | --- | | First-generation sistem berkas 1 | Single-AZ 1 Multi-AZ 1 | AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Eropa (Irlandia) | | Second-generation sistem berkas | Single-AZ 2 Multi-AZ 2 | AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (California N.), AS Barat (Oregon), Eropa (Frankfurt), Eropa (Irlandia), Asia Pasifik (Sydney) | 1 sistem First-generation file yang dibuat pada atau setelah 28 November 2022 mendukung enkripsi Nitro-based dalam transit dalam daftar Wilayah AWS. Untuk informasi selengkapnya tentang Wilayah AWS tempat FSx untuk ONTAP tersedia, lihat Amazon [FSx](https://aws.amazon.com/fsx/netapp-ontap/pricing/) untuk Harga ONTAP. NetApp Untuk informasi selengkapnya tentang spesifikasi kinerja FSx untuk sistem file ONTAP, lihat. [Dampak kapasitas throughput terhadap performa](performance.md#impact-throughput-cap-performance) ## Mengenkripsi data dalam perjalanan dengan enkripsi Kerberos-based Jika Anda menggunakan Microsoft Active Directory, Anda dapat menggunakan Kerberos-based enkripsi melalui protokol NFS dan SMB untuk mengenkripsi data dalam transit untuk volume turunan [SVM yang digabungkan](ad-integration-ontap.md) ke Microsoft Active Directory. ### Mengenkripsi data dalam perjalanan melalui NFS menggunakan Kerberos Enkripsi data dalam perjalanan menggunakan Kerberos didukung untuk protokol NFSv3 dan NFSv4. Untuk mengaktifkan enkripsi dalam perjalanan menggunakan Kerberos untuk protokol NFS, lihat [Menggunakan Kerberos dengan NFS untuk keamanan yang kuat](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf) di Pusat Dokumentasi. NetApp ONTAP ### Mengenkripsi data dalam perjalanan melalui SMB menggunakan Kerberos Mengenkripsi data dalam perjalanan melalui protokol SMB didukung pada berbagi file yang dipetakan pada instance komputasi yang mendukung protokol SMB 3.0 atau yang lebih baru. Ini termasuk semua Microsoft Windows versi dari Microsoft Windows Server 2012 dan yang lebih baru, dan Microsoft Windows 8 dan yang lebih baru. Saat diaktifkan, FSx untuk ONTAP secara otomatis mengenkripsi data dalam perjalanan menggunakan enkripsi SMB saat Anda mengakses sistem file Anda tanpa perlu memodifikasi aplikasi Anda. FSx untuk ONTAP SMB mendukung enkripsi 128 dan 256 bit, yang ditentukan oleh permintaan sesi klien. Untuk deskripsi tingkat enkripsi yang berbeda, lihat bagian *Mengatur tingkat keamanan otentikasi minimum server SMB* dari [Kelola SMB dengan CLI di Pusat Dokumentasi](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf). NetApp ONTAP **catatan** Klien menentukan algoritma enkripsi. Otentikasi NTLM dan Kerberos bekerja dengan enkripsi 128 dan 256 bit. FSx untuk ONTAP SMB Server menerima semua permintaan klien Windows standar, dan kontrol granular ditangani oleh Kebijakan Grup Microsoft atau pengaturan Registri. Anda menggunakan ONTAP CLI untuk mengelola enkripsi dalam pengaturan transit di FSx untuk ONTAP SVM dan volume. Untuk mengakses NetApp ONTAP CLI, buat sesi SSH pada SVM tempat Anda membuat enkripsi dalam pengaturan transit, seperti yang dijelaskan dalam. [Mengelola SVMs dengan ONTAP CLI](managing-resources-ontap-apps.md#vsadmin-ontap-cli) Untuk petunjuk tentang cara mengaktifkan enkripsi SMB pada SVM atau volume, lihat. [Mengaktifkan enkripsi data SMB dalam perjalanan](enable-smb-encryption.md) ## Mengenkripsi data dalam perjalanan dengan enkripsi IPsec FSx untuk ONTAP mendukung penggunaan protokol IPsec dalam mode transportasi untuk memastikan data terus aman dan terenkripsi, saat dalam perjalanan. IPSec menawarkan enkripsi end-to-end data dalam transit antara klien dan FSx untuk sistem file ONTAP untuk semua lalu lintas IP yang didukung - protokol NFS, iSCSI, dan SMB. Dengan enkripsi IPsec, Anda membuat terowongan IPsec antara FSx untuk ONTAP SVM yang dikonfigurasi dengan IPSec diaktifkan, dan klien IPsec yang berjalan pada klien yang terhubung mengakses data. Kami menyarankan Anda menggunakan IPSec untuk mengenkripsi data dalam perjalanan melalui protokol NFS, SMB, dan iSCSI saat mengakses data Anda dari klien yang tidak mendukung [Nitro-based enkripsi, dan jika klien dan SVM Anda tidak bergabung ke Active Directory, yang diperlukan untuk enkripsi](#nitro-encryption). Kerberos-based Enkripsi IPsec adalah satu-satunya pilihan yang tersedia untuk mengenkripsi data dalam perjalanan untuk lalu lintas iSCSI ketika klien iSCSI Anda tidak mendukung enkripsi. Nitro-based Untuk autentikasi IPsec, Anda dapat menggunakan kunci pra-bersama (PSK) atau sertifikat. Jika Anda menggunakan PSK, klien IPsec yang Anda gunakan harus mendukung Internet Key Exchange versi 2 (IKEv2) dengan PSK. Langkah-langkah tingkat tinggi untuk mengkonfigurasi enkripsi IPsec pada FSx untuk ONTAP dan klien adalah sebagai berikut: 1. Aktifkan dan konfigurasikan IPsec pada sistem file Anda. 1. Instal dan konfigurasikan IPsec pada klien Anda 1. Konfigurasikan IPSec untuk beberapa akses klien Untuk informasi selengkapnya tentang cara mengonfigurasi IPsec menggunakan PSK, lihat [Mengkonfigurasi keamanan IP (IPsec) melalui enkripsi kawat di pusat](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) dokumentasi. NetApp ONTAP Untuk informasi selengkapnya tentang cara mengonfigurasi IPsec menggunakan sertifikat, lihat[Mengkonfigurasi IPsec menggunakan otentikasi sertifikat](config-ipsec-ca-auth.md).