加密傳輸中的資料 - FSx for OnTAP

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密傳輸中的資料

本主題說明在 FSx for ONTAP 檔案系統和連線用戶端之間傳輸檔案資料時,可用於加密檔案資料的不同選項。它也提供指引,協助您選擇最適合工作流程的加密方法。

所有流 AWS 區域 經 AWS 全球網路的資料都會在實體層自動加密,然後再離開 AWS 安全的設施。可用區域之間的所有流量都會加密。額外的加密層,包括本節中列出的加密層,提供額外的保護。如需如何為跨 AWS 區域、可用區域和執行個體傳輸的資料 AWS 提供保護的詳細資訊,請參閱《Amazon Elastic Compute Cloud Linux 執行個體使用者指南》中的傳輸中加密

Amazon FSx for NetApp ONTAP 支援以下方法,用於加密 FSx for ONTAP 檔案系統和連線用戶端之間的傳輸中資料:

  • 在支援 Amazon EC2 LinuxWindows 執行個體類型上執行的所有支援通訊協定和用戶端上自動 Nitro 型加密。

  • 透過 NFS 和 SMB 通訊協定進行 Kerberos 型加密。

  • NFS、iSCSI 和 SMB 通訊協定的 IPsec 型加密

所有支援用來加密傳輸中資料的方法,都使用業界標準的 AES-256 密碼編譯演算法,以提供企業強度加密。

選擇加密傳輸中資料的方法

本節提供的資訊可協助您判斷哪些支援的傳輸中加密最適合您的工作流程。當您探索以下各節中詳細描述的支援選項時,請參閱本節。

在選擇如何加密 FSx for ONTAP 檔案系統和連線用戶端之間傳輸中的資料時,需要考慮幾個因素。這些因素包括:

  • 您的 FSx for ONTAP 檔案系統正在其中執行 AWS 區域 的 。

  • 用戶端執行所在的執行個體類型。

  • 用戶端存取您檔案系統的位置。

  • 網路效能需求。

  • 您要加密的資料通訊協定。

  • 如果您使用的是 Microsoft Active Directory。

AWS 區域

檔案系統在 中執行 AWS 區域 的 會決定您是否可以使用 Amazon Nitro 型加密。如需詳細資訊,請參閱使用 AWS Nitro System 加密傳輸中的資料

用戶端執行個體類型

如果存取檔案系統的用戶端正在任何支援的 Amazon EC2 Mac、LinuxWindows 執行個體類型上執行,且您的工作流程符合使用 Nitro 型加密的所有其他需求,則可以使用 Amazon Nitro 型加密。使用 Kerberos 或 IPsec 加密沒有任何用戶端執行個體類型需求。

用戶端位置

用戶端存取檔案系統位置相關資料的位置會影響哪些傳輸中加密方法可供使用。如果用戶端和檔案系統位於相同的 VPC,您可以使用任何支援的加密方法。如果用戶端和檔案系統位於對等 VPCs 中,只要流量不會通過虛擬網路裝置或服務,例如傳輸閘道,也是如此。如果用戶端不在相同或對等 VPC 中,或者流量透過虛擬網路裝置或服務傳遞,則 Nitro 型加密不是可用的選項。

網路效能

使用 Amazon Nitro 型加密不會影響網路效能。這是因為支援的 Amazon EC2 執行個體會利用基礎 Nitro System 硬體的卸載功能,自動加密執行個體之間的傳輸中流量。

使用 Kerberos 或 IPsec 加密會影響網路效能。這是因為這兩種加密方法都是以軟體為基礎的,這需要用戶端和伺服器使用運算資源來加密和解密傳輸中流量。

資料通訊協定

您可以使用 Amazon Nitro 型加密和 IPsec 加密搭配所有支援的通訊協定 – NFS、SMB 和 iSCSI。您可以搭配 NFS 和 SMB 通訊協定 (搭配 Active Directory) 使用 Kerberos 加密。

Active Directory

如果您使用的是 Microsoft Active Directory,您可以透過 NFS 和 SMB 通訊協定使用 Kerberos 加密

使用下圖協助您決定要使用的傳輸中加密方法。

顯示根據五個決策點使用之傳輸中加密方法的流程圖。

當下列所有條件都適用於您的工作流程時,IPsec 加密是唯一可用的選項:

  • 您正在使用 NFS、SMB 或 iSCSI 通訊協定。

  • 您的工作流程不支援使用 Amazon Nitro 型加密。

  • 您未使用 Microsoft Active Directory 網域。

使用 AWS Nitro System 加密傳輸中的資料

使用 Nitro 型加密,當存取檔案系統的用戶端在支援的 Amazon EC2 LinuxWindows 執行個體類型上執行時,傳輸中的資料會自動加密。

使用 Amazon Nitro 型加密不會影響網路效能。這是因為支援的 Amazon EC2 執行個體會利用基礎 Nitro System 硬體的卸載功能,自動加密執行個體之間的傳輸中流量。

當支援的用戶端執行個體類型位於相同 AWS 區域 和相同 VPC 中,或位於與檔案系統的 VPC 對等的 VPC 中時,會自動啟用 Nitro 型加密。此外,如果用戶端位於對等 VPC 中,則資料無法周遊虛擬網路裝置或服務 (例如傳輸閘道),以便自動啟用 Nitro 型加密。如需 Nitro 型加密的詳細資訊,請參閱適用於 LinuxWindows 執行個體類型的 Amazon EC2 使用者指南中的傳輸中加密一節。

下表詳細說明 Nitro 型加密可用於 AWS 區域 其中的 。

支援 Nitro 型加密
產生 部署類型 AWS 區域
第一代檔案系統1 單一可用區 1 多可用區 1 美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、歐洲 (愛爾蘭)
第二代檔案系統 單一可用區 2 多可用區 2 美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (加利佛尼亞北部)、美國西部 (奧勒岡)、歐洲 (法蘭克福)、歐洲 (愛爾蘭)、亞太區域 (雪梨)

1 在 2022 年 11 月 28 日當天或之後建立的第一代檔案系統,在列出的 中支援 Nitro 型傳輸中加密 AWS 區域。

如需 FSx for ONTAP 可用 AWS 區域 的詳細資訊,請參閱 Amazon FSx for NetApp ONTAP 定價

如需 FSx for ONTAP 檔案系統效能規格的詳細資訊,請參閱輸送量容量對效能的影響

使用 Kerberos 型加密來加密傳輸中的資料

如果您使用的是 Microsoft Active Directory,您可以透過 NFS 和 SMB 通訊協定使用 Kerberos 型加密,來加密加入 Microsoft Active Directory 的 SVMs 子磁碟區傳輸中的資料。

使用 Kerberos 透過 NFS 加密傳輸中的資料

NFSv3 和 NFSv4 通訊協定支援使用 Kerberos 加密傳輸中的資料。若要針對 NFS 通訊協定使用 Kerberos 啟用傳輸中的加密,請參閱 NetApp ONTAP 文件中心中的使用 Kerberos 與 NFS 以提高安全性

使用 Kerberos 加密透過 SMB 傳輸的資料

在支援 SMB 通訊協定 3.0 或更新版本的運算執行個體上映射的檔案共用支援透過 SMB 通訊協定傳輸的資料加密。這包括 Microsoft Windows Server 2012 及更新版本的所有Microsoft Windows版本,以及 Microsoft Windows 8 及更新版本。啟用時,FSx for ONTAP 會在您存取檔案系統時,使用 SMB 加密自動加密傳輸中的資料,而不需要您修改應用程式。

FSx for ONTAP SMB 支援 128 和 256 位元加密,由用戶端工作階段請求決定。如需不同加密層級的說明,請參閱 NetApp ONTAP 文件中心的使用 CLI 設定管理 SMB 的 SMB 伺服器最低身分驗證安全層級一節。

注意

用戶端會決定加密演算法。NTLM 和 Kerberos 身分驗證都使用 128 和 256 位元加密。FSx for ONTAP SMB Server 接受所有標準 Windows 用戶端請求,而精細的控制項是由 Microsoft 群組政策或登錄檔設定處理。

您可以使用 ONTAP CLI 來管理 FSx for ONTAP SVMs 和磁碟區的傳輸中加密設定。若要存取 NetApp ONTAP CLI,請在要在傳輸設定中進行加密的 SVM 上建立 SSH 工作階段,如中所述使用 CLI ONTAP 管理 SVMs

如需如何在 SVM 或磁碟區上啟用 SMB 加密的說明,請參閱 啟用傳輸中資料的 SMB 加密

使用 IPsec 加密加密傳輸中的資料

FSx for ONTAP 支援在傳輸模式下使用 IPsec 通訊協定,以確保資料在傳輸期間持續安全和加密。IPsec 為所有支援的 IP end-to-end 流量 – NFS、iSCSI 和 SMB 通訊協定,提供用戶端與 FSx for ONTAP 檔案系統之間的端對端傳輸中資料加密。使用 IPsec 加密時,您可以在 FSx for ONTAP SVM 之間建立 IPsec IPsec 通道,而 IPsec 用戶端會在存取資料的連線用戶端上執行。

我們建議您在從不支援 Nitro 型加密的用戶端存取您的資料時,以及如果您的用戶端和 SVMs 未加入以 Kerberos 型加密所需的 Active Directory 時,使用 IPsec 透過 NFS、SMB 和 iSCSI 通訊協定加密傳輸中的資料。當您的 iSCSI 用戶端不支援 Nitro 型加密時,IPsec 加密是唯一可用於加密 iSCSI 流量傳輸中資料的選項。

對於 IPsec 身分驗證,您可以使用預先共用金鑰 (PSKs或憑證。如果您使用 PSK,您使用的 IPsec 用戶端必須支援具有 PSK 的網際網路金鑰交換第 2 版 (IKEv2)。在 FSx for ONTAP 和用戶端上設定 IPsec 加密的高階步驟如下:

  1. 在檔案系統上啟用和設定 IPsec。

  2. 在用戶端上安裝和設定 IPsec

  3. 為多個用戶端存取設定 IPsec

如需如何使用 PSK 設定 IPsec 的詳細資訊,請參閱 NetApp ONTAP 文件中心的透過線路加密設定 IP 安全性 (IPsec)

如需如何使用憑證設定 IPsec 的詳細資訊,請參閱使用憑證身分驗證設定 IPsec