As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia de dados em trânsito
Este tópico explica as diferentes opções disponíveis para criptografar seus dados de arquivo enquanto eles estão em trânsito entre um sistema de arquivos FSx for ONTAP e clientes conectados. Ele também fornece orientação para ajudá-lo a escolher qual método de criptografia é mais adequado para seu fluxo de trabalho.
Todos os dados que fluem Regiões da AWS pela rede AWS global são criptografados automaticamente na camada física antes de saírem das instalações AWS protegidas. Todo o tráfego entre as zonas de disponibilidade é criptografado. Camadas adicionais de criptografia, inclusive as listadas nesta seção, fornecem mais proteções. Para obter mais informações sobre como AWS fornece proteção para o fluxo de dados Regiões da AWS, zonas disponíveis e instâncias, consulte Criptografia em trânsito no Guia do usuário do Amazon Elastic Compute Cloud para instâncias Linux.
O Amazon FSx for NetApp ONTAP oferece suporte aos seguintes métodos para criptografar dados em trânsito entre sistemas de arquivos FSx for ONTAP e clientes conectados:
Todos os métodos suportados para criptografar dados em trânsito usam algoritmos criptográficos AES-256 padrão do setor que fornecem criptografia de força corporativa.
Tópicos
- Como escolher um método para criptografar dados em trânsito
- Criptografando dados em trânsito com o AWS Nitro System
- Criptografia de dados em trânsito com criptografia baseada em Kerberos
- Criptografia de dados em trânsito com criptografia IPsec
- Ativação da criptografia SMB de dados em trânsito
- Como configurar o IPsec usando a autenticação PSK
- Como configurar o IPsec usando autenticação de certificado
Como escolher um método para criptografar dados em trânsito
Esta seção fornece informações que podem ajudar você a decidir qual dos métodos de criptografia em trânsito com suporte é melhor para seu fluxo de trabalho. Consulte esta seção novamente ao explorar as opções com suporte descritas detalhadamente nas seções a seguir.
Há vários fatores a serem considerados ao escolher como você vai criptografar os dados em trânsito entre o sistema de arquivos do FSx para ONTAP e os clientes conectados. Esses fatores incluem:
O em Região da AWS que seu sistema de arquivos FSx for ONTAP está sendo executado.
O tipo de instância no qual o cliente está sendo executado.
A localização do cliente que está acessando o sistema de arquivos.
Requisitos de performance da rede.
O protocolo de dados que você deseja criptografar.
Se você estiver usando o Microsoft Active Directory.
- Região da AWS
A configuração em Região da AWS que seu sistema de arquivos está sendo executado determina se você pode ou não usar a criptografia baseada no Amazon Nitro. A criptografia baseada em Nitro está disponível nas seguintes Regiões da AWS:
Leste dos EUA (Norte da Virgínia)
Leste dos EUA (Ohio)
Oeste dos EUA (Oregon)
Europa (Irlanda)
Além disso, a criptografia baseada em Nitro está disponível para sistemas de arquivos escaláveis na Ásia-Pacífico (Sydney). Região da AWS
- Tipo de instância do cliente
Você poderá usar a criptografia baseada no Amazon Nitro se o cliente que está acessando o sistema de arquivos estiver sendo executado em qualquer um dos tipos de instância Mac, Linux ou Windows com suporte do Amazon EC2 e o fluxo de trabalho atender a todos os outros requisitos de uso da criptografia baseada em Nitro. Não há requisitos de tipo de instância de cliente para uso da criptografia Kerberos ou IPsec.
- Client location (Localização do cliente)
-
A localização do cliente que acessa dados em relação à localização do sistema de arquivos afeta quais métodos de criptografia em trânsito estão disponíveis para uso. Você poderá usar qualquer um dos métodos de criptografia com suporte se o cliente e o sistema de arquivos estiverem localizados na mesma VPC. Isso também valerá se o cliente e o sistema de arquivos estiverem localizados em VPCs emparelhadas, desde que o tráfego não passe por um dispositivo ou serviço de rede virtual, como um gateway de trânsito. A criptografia baseada em Nitro não será uma opção disponível se o cliente não estiver na mesma VPC ou na VPC emparelhada, ou se o tráfego passar por um dispositivo ou serviço de rede virtual.
- Performance de rede
-
O uso da criptografia baseada no Amazon Nitro não tem impacto na performance da rede. Isso ocorre porque as instâncias com suporte do Amazon EC2 utilizam os recursos de descarregamento do hardware Nitro System subjacente para criptografar automaticamente o tráfego em trânsito entre instâncias.
O uso da criptografia Kerberos ou IPsec tem impacto na performance da rede. Isso ocorre porque esses dois métodos de criptografia são baseados em software, o que exige que o cliente e o servidor usem recursos de computação para criptografar e decriptografar o tráfego em trânsito.
- Protocolo de dados
-
Você pode usar a criptografia baseada no Amazon Nitro e a criptografia IPsec com todos os protocolos com suporte, como NFS, SMB e iSCSI. Você pode usar a criptografia Kerberos com os protocolos NFS e SMB (com um Active Directory).
- Active Directory
Se você estiver usando o Microsoft Active Directory, poderá usar a criptografia Kerberos nos protocolos NFS e SMB.
Use o diagrama a seguir como ajuda para decidir qual método de criptografia em trânsito usar.
A criptografia IPsec é a única opção disponível quando todas as condições a seguir se aplicam ao fluxo de trabalho:
Você está usando o protocolo NFS, SMB ou iSCSI.
Seu fluxo de trabalho não dá suporte ao uso da criptografia baseada no Amazon Nitro.
Você não está usando um domínio do Microsoft Active Directory.
Criptografando dados em trânsito com o AWS Nitro System
Com a criptografia baseada em Nitro, os dados em trânsito são criptografados automaticamente quando os clientes que acessam seus sistemas de arquivos estão sendo executados em tipos de instância do Linux ou Windows do Amazon EC2 com suporte.
O uso da criptografia baseada no Amazon Nitro não tem impacto na performance da rede. Isso ocorre porque as instâncias com suporte do Amazon EC2 utilizam os recursos de descarregamento do hardware Nitro System subjacente para criptografar automaticamente o tráfego em trânsito entre instâncias.
A criptografia baseada em Nitro é habilitada automaticamente quando os tipos de instância de cliente com suporte estão localizados na mesma Região da AWS e na mesma VPC ou em uma VPC emparelhada com a VPC do sistema de arquivos. Além disso, se o cliente estiver em uma VPC emparelhada, os dados não poderão passar por um dispositivo ou serviço de rede virtual (como um gateway de trânsito) para que a criptografia baseada em Nitro seja habilitada automaticamente. Para obter mais informações sobre criptografia baseada em Nitro, consulte a seção Criptografia em trânsito do Guia do usuário do Amazon EC2 para os tipos de instância do Linux ou Windows.
A criptografia em trânsito baseada em Nitro está disponível para sistemas de arquivos criados após 28 de novembro de 2022 da seguinte forma: Regiões da AWS
Leste dos EUA (Norte da Virgínia)
Leste dos EUA (Ohio)
Oeste dos EUA (Oregon)
Europa (Irlanda)
Além disso, a criptografia baseada em Nitro está disponível para sistemas de arquivos escaláveis na Ásia-Pacífico (Sydney). Região da AWS
Para obter mais informações sobre Regiões da AWS onde o FSx for ONTAP está disponível, consulte os preços do Amazon FSx
Para obter mais informações sobre as especificações de performance dos sistemas de arquivos do FSx para ONTAP, consulte Impacto da capacidade de throughput na performance.
Criptografia de dados em trânsito com criptografia baseada em Kerberos
Se você estiver usando o Microsoft Active Directory, poderá usar a criptografia baseada em Kerberos nos protocolos NFS e SMB para criptografar dados em trânsito para volumes secundários de SVMs que estão associados a um Microsoft Active Directory.
Criptografia de dados em trânsito pelo NFS usando Kerberos
Há suporte para a criptografia de dados em trânsito usando Kerberos com os protocolos NFSv3 e NFSv4. Para habilitar a criptografia em trânsito usando o Kerberos com o protocolo NFS, consulte Uso do Kerberos com NFS para segurança forte
Criptografia de dados em trânsito pelo SMB usando Kerberos
Há suporte para criptografia de dados em trânsito pelo protocolo SMB nos compartilhamentos de arquivos mapeados em uma instância de computação compatível com o protocolo SMB 3.0 ou mais recente. Isso inclui todas as Microsoft Windows versões do Microsoft Windows Server 2012 e posterior e do Microsoft Windows 8 e posterior. Quando habilitado, o FSx para ONTAP criptografa automaticamente os dados em trânsito usando a criptografia SMB à medida que você acessa seu sistema de arquivos sem a necessidade de modificar suas aplicações.
O FSx para ONTAP SMB oferece suporte à criptografia de 128 e 256 bits, que é determinada pela solicitação de sessão do cliente. Para obter descrições dos diferentes níveis de criptografia, consulte a seção Definir o nível mínimo de segurança de autenticação do servidor SMB em Gerenciar SMB com a CLI
nota
O cliente determina o algoritmo de criptografia. As autenticações NTLM e Kerberos funcionam com criptografia de 128 e 256 bits. O servidor SMB do FSx para ONTAP aceita todas as solicitações padrão do cliente Windows, e os controles granulares são gerenciados pelas configurações de política de grupo ou registro da Microsoft.
Você usa a CLI do ONTAP para gerenciar as configurações de criptografia em trânsito em SVMs e volumes do FSx para ONTAP. Para acessar a CLI do NetApp ONTAP, estabeleça uma sessão SSH na SVM na qual você está definindo as configurações de criptografia em trânsito, conforme descrito em Gerenciando SVMs com a CLI ONTAP.
Para obter instruções sobre como habilitar a criptografia SMB em um SVM ou volume, consulte. Ativação da criptografia SMB de dados em trânsito
Criptografia de dados em trânsito com criptografia IPsec
O FSx para ONTAP oferece suporte ao uso do protocolo IPsec no modo de transporte para garantir que os dados estejam continuamente seguros e criptografados enquanto estão em trânsito. O IPsec oferece end-to-end criptografia de dados em trânsito entre clientes e FSx para sistemas de arquivos ONTAP para todo o tráfego IP suportado — protocolos NFS, iSCSI e SMB. Com a criptografia IPsec, você estabelece um túnel IPsec entre uma SVM do FSx para ONTAP configurada com IPsec habilitado e um cliente IPsec em execução no cliente conectado que acessa os dados.
Recomendamos que você use IPsec para criptografar dados em trânsito pelos protocolos NFS, SMB e iSCSI ao acessar seus dados de clientes que não oferecem suporte à criptografia baseada em Nitro e se o cliente e as SVMs não estiverem associados a um Active Directory, o que é obrigatório para a criptografia baseada em Kerberos. A criptografia IPsec é a única opção disponível para criptografar dados em trânsito no tráfego iSCSI quando o cliente iSCSI não oferece suporte à criptografia baseada em Nitro.
Para autenticação IPsec, você pode usar chaves pré-compartilhadas (PSKs) ou certificados. Se você estiver usando uma PSK, o cliente IPsec que você usa deve oferecer suporte ao Internet Key Exchange versão 2 (IKEv2) com uma PSK. As etapas de alto nível para configurar a criptografia IPsec no FSx for ONTAP e no cliente são as seguintes:
Habilitar e configurar o IPsec no sistema de arquivos.
Instalar e configurar o IPsec no cliente
Configurar o IPsec para acesso a vários clientes
Para obter mais informações sobre como configurar o IPsec usando PSK, consulte Configurar a segurança IP (IPsec) por criptografia com fio no NetApp ONTAP centro
Para obter mais informações sobre como configurar o IPsec usando certificados, consulteComo configurar o IPsec usando autenticação de certificado.
