本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
加密傳輸中的資料
本主題說明在 ONTAP 檔案系統的 FSx 與連線用戶端之間傳輸時,可用來加密檔案資料的不同選項。它也提供指引,協助您選擇最適合您工作流程的加密方法。
在離開 AWS 安全 AWS 區域 設施之前,所有流經 AWS 全球網路的資料都會在實體層自動加密。可用區域之間的所有流量都會加密。其他加密層 (包括本節所列的加密層) 可提供額外的保護。有關如何為流動 AWS 區域、可用區域和執行個體的資料 AWS 提供保護的詳細資訊,請參閱 Amazon 彈性運算雲端 Linux 執行個體使用者指南中的傳輸中加密。
適用於 NetApp ONTAP 的 Amazon FSx 支援下列方法,針對 ONTAP 檔案系統和連線用戶端的 FSx 之間傳輸中的資料進行加密:
所有支援的傳輸中資料加密方法都使用業界標準 AES-256 加密演算法,提供企業強度加密。
主題
選擇加密傳輸中資料的方法
本節提供的資訊可協助您決定哪種支援的傳輸中加密方法最適合您的工作流程。當您探索以下各節中詳細描述的支援選項時,請回到本節。
在選擇如何加密 FSx for ONTAP 檔案系統與連線用戶端之間傳輸中的資料時,有幾個因素需要考量。這些因素包括:
您 AWS 區域 的 ONTAP 文件系統的 FSx 正在運行。
用戶端執行所在的執行個體類型。
用戶端存取檔案系統的位置。
網路效能需求。
您要加密的資料通訊協定。
如果您使用的是 Microsoft 活動目錄。
- AWS 區域
執 AWS 區域 行檔案系統會決定您是否可以使用 Amazon Nitro-based 加密。以下提供以硝基為基礎的加密: AWS 區域
美國東部 (維吉尼亞北部)
美國東部 (俄亥俄)
美國西部 (奧勒岡)
歐洲 (愛爾蘭)
此外,亞太區域 (雪梨) 的向外擴充檔案系統也提供以硝基為基礎的加密功能。 AWS 區域
- 客戶端實例類型
如果存取檔案系統的用戶端在任何受支援的 Amazon EC2 Mac、Linux 或 Windows 執行個體類型上執行,且您的工作流程符合使用硝基型加密的所有其他要求,則可以使用 Amazon Nit ro 加密。使用 Kerberos 或 IPsec 加密並沒有任何用戶端執行個體類型需求。
- 用戶端位置
-
用戶端存取資料相對於檔案系統位置的位置,會影響可使用的傳輸中加密方法。如果用戶端和檔案系統位於相同的 VPC 中,您可以使用任何支援的加密方法。如果用戶端和檔案系統位於對等 VPC 中,只要流量未經過虛擬網路裝置或服務 (例如傳輸閘道),情況也是如此。如果用戶端不在相同或對等的 VPC 中,或者流量通過虛擬網路裝置或服務,則無法使用以硝基於硝基礎的加密選項。
- 網路效能
-
使用 Amazon 硝基加密技術不會影響網路效能。這是因為受支援的 Amazon EC2 執行個體利用基礎 Nitro 系統硬體的卸載功能,自動加密執行個體之間的傳輸中流量。
使用 Kerberos 或 IPsec 加密會影響網路效能。這是因為這兩種加密方法都是以軟體為基礎,因此用戶端和伺服器必須使用計算資源來加密和解密傳輸中的流量。
- 数据协议
-
您可以在所有支援的通訊協定 (NFS、SMB 和 iSCSI) 上使用 Amazon 硝基加密和 IPsec 加密。您可以將 Kerberos 加密與 NFS 和 SMB 通訊協定 (搭配使用中目錄) 搭配使用。
- Active Directory
如果您使用的是Microsoft作用中目錄,您可以透過 NFS 和 SMB 通訊協定使用 Kerberos 加密。
使用下圖可協助您決定要使用的傳輸中加密方法。
當下列所有條件都適用於您的工作流程時,IPsec 加密是唯一可用的選項:
您正在使用 NFS、中小型企業或 iSCSI 通訊協定。
您的工作流程不支援使用 Amazon 硝基加密。
您沒有使用Microsoft活動目錄域。
使用 AWS Nitro 系統對傳輸中的數據進行加密
透過以 Nitro 為基礎的加密,當存取檔案系統的用戶端在支援的 Amazon EC2 Linux 或 Windows 執行個體類型上執行時,傳輸中的資料會自動加密。
使用 Amazon Nitro-based 加密不會影響網路效能。這是因為受支援的 Amazon EC2 執行個體利用基礎 Nitro 系統硬體的卸載功能,自動加密執行個體之間的傳輸中流量。
當支援的用戶端執行個體類型位於相同的 VPC 中或與檔案系統的 VPC 對 AWS 區域 等的 VPC 中時,系統會自動啟用以 Nitro 為基礎的加密。此外,如果用戶端位於對等 VPC 中,則資料無法周遊虛擬網路裝置或服務 (例如傳輸閘道),以便自動啟用以 Nitro 為基礎的加密。如需有關硝基加密的詳細資訊,請參閱 Amazon EC2 Linux 或 Windows 執行個體類型使用者指南中的傳輸中加密一節。
以硝基為基礎的傳輸中加密可用於 2022 年 11 月 28 日之後建立的檔案系統,如下所示: AWS 區域
美國東部 (維吉尼亞北部)
美國東部 (俄亥俄)
美國西部 (奧勒岡)
歐洲 (愛爾蘭)
此外,亞太區域 (雪梨) 的向外擴充檔案系統也提供以硝基為基礎的加密功能。 AWS 區域
如需有關可用於 ONTAP AWS 區域 的 FSx 的詳細資訊,請參閱 Amazon FSx
如需 ONTAP 檔案系統 FSx 的效能規格的相關資訊,請參閱。輸送量容量對效能的影響
使用 Kerberos 型加密技術加密傳輸中的資料
如果您使用的是Microsoft作用中目錄,您可以透過 NFS 和 SMB 通訊協定使用 Kerberos 型加密,針對已加入 Microsoft Active Directory 的 SVM 子磁碟區,加密傳輸中的資料。
使用 Kerberos 加密透過 NFS 傳輸的資料
NFSv3 和 NFSv4 通訊協定支援使用 Kerberos 進行傳輸中的資料加密。若要針對 NFS 通訊協定使用 Kerberos 在傳輸過程中啟用加密,請參閱「文件中心」中的使用 Kerberos 搭配 NFS 以獲得強大的安全性
使用 Kerberos 加密透過中小企業傳輸中的資料
對應至支援 SMB 通訊協定 3.0 或更新版本的運算執行個體上的檔案共用,支援透過 SMB 通訊協定傳輸中的資料加密。這包括所有Microsoft Windows版本從 Microsoft 視窗服務器 2012 及更高版本,以及 Microsoft 視窗 8 及更高版本。啟用時,FSx for ONTAP 會在您存取檔案系統時使用 SMB 加密自動加密傳輸中的資料,而不需要您修改應用程式。
適用於 ONTAP SMB 的 FSx 支援 128 位元和 256 位元加密,這是由用戶端工作階段要求決定的。如需不同加密層級的說明,請參閱NetApp ONTAP文件中心使用 CLI 管理 SMB 的 < 設定 SMB
注意
用戶端決定加密演算法。NTLM 和 Kerberos 驗證都可以使用 128 位元和 256 位元加密。該 FSx 的 ONTAP SMB 服務器接受所有標準的 Windows 客戶端請求,和細微的控制由 Microsoft 組策略或註冊表設置處理。
您可以使用 ONTAP CLI 來管理 FSx 上的 ONTAP SVM 和磁碟區的傳輸中加密設定。若要存取 NetApp ONTAP CLI,請在要在傳輸設定中進行加密的 SVM 上建立 SSH 工作階段,如中使用 CLI 管理 SVM ONTAP所述。
如需如何在 SVM 或磁碟區上啟用 SMB 加密的指示,請參閱對傳輸中的資料啟用 SMB 加密。
使用 IPsec 加密加密傳輸中的資料
FSx for ONTAP 支援在傳輸模式下使用 IPsec 通訊協定,以確保資料在傳輸過程中持續安全且加密。IPsec 針對所有支援的 IP 流量 (NFS、iSCSI 和 SMB 通訊協定),提供用戶端與 ONTAP 檔案系統之間傳輸中的資料 end-to-end 加密功能。使用 IPsec 加密,您可以在設定啟用 IPsec 的 ONTAP SVM 的 FSx 和存取資料的連線用戶端上執行的 IPsec 用戶端之間建立 IPsec 通道。
當從不支援 Nitro 加密的用戶端存取您的資料時,建議您使用 IPsec 來加密透過 NFS、SMB 和 iSCSI 通訊協定傳輸中的資料,以及如果您的用戶端和 SVM 未加入作用中目錄 (Kerberos 型加密所需)。當 iSCSI 用戶端不支援以硝基為基礎的加密時,IPsec 加密是唯一可用來加密 iSCSI 流量傳輸中資料的選項。
對於 IPsec 驗證,您可以使用預先共用金鑰 (PSK) 或憑證。如果您使用的是 PSK,您使用的 IPSec 用戶端必須支援具有 PSK 的網際網路金鑰交換第 2 版 (IKEv2)。針對 ONTAP 和用戶端的 FSx 設定 IPsec 加密的高階步驟如下:
在您的檔案系統上啟用和設定 IPsec。
在您的用戶端上安裝和設定 IPsec
為多個用戶端存取設定 IPsec
如需如何使用 PSK 設定 IPsec 的相關資訊,請參閱文件中心的透過線路加密設定 IP 安全性 (IPsec)
如需如何使用憑證設定 IPsec 的相關資訊,請參閱使用憑證驗證來設定 IPsec。
