加密傳輸中的資料 - 適用於 ONTAP 的 FSx

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密傳輸中的資料

本主題說明 FSx適用於檔案系統和連線用戶端之間的傳輸中,可用於加密ONTAP檔案資料的不同選項。它還提供指引,協助您選擇最適合工作流程的加密方法。

所有流 AWS 區域 經 AWS 全球網路的資料都會在離開 AWS 安全設施之前,在實體層自動加密。可用區域之間的所有流量都會加密。額外的加密層,包括本節中列出的加密層,提供額外的保護。如需如何為跨 AWS 區域、可用區域和執行個體流動的資料 AWS 提供保護的詳細資訊,請參閱 Amazon Elastic Compute Cloud Linux 執行個體使用者指南中的傳輸中加密

Amazon FSx for NetApp ONTAP 支援下列方法加密FSxONTAP檔案系統和連線用戶端之間傳輸的資料:

  • 在支援 Amazon EC2 LinuxWindows 執行個體類型上執行的所有支援通訊協定和用戶端上自動 Nitro 型加密。

  • NFS 和 SMB通訊協定的 Kerberos 型加密。

  • IPsec透過 NFS、i SCSI和 SMB 通訊協定進行以 為基礎的加密

所有支援用於加密傳輸中資料的方法都使用業界標準 AES-256 密碼編譯演算法,提供企業強度加密。

選擇加密傳輸中資料的方法

本節提供的資訊可協助您判斷哪種支援的傳輸中加密方式最適合您的工作流程。當您探索以下各節中詳細描述的支援選項時,請參閱本節。

在選擇如何加密FSxONTAP檔案系統和已連線用戶端之間傳輸中的資料時,需要考慮幾個因素。這些因素包括:

  • FSx 您的 for ONTAP 檔案系統正在 AWS 區域 其中執行的 。

  • 用戶端正在執行的執行個體類型。

  • 用戶端存取檔案系統的位置。

  • 網路效能需求。

  • 您要加密的資料通訊協定。

  • 如果您使用的是 Microsoft Active Directory。

AWS 區域

檔案系統正在執行 AWS 區域 的 會決定您是否可以使用 Amazon Nitro 型加密。如需詳細資訊,請參閱使用 AWS Nitro System 加密傳輸中的資料

用戶端執行個體類型

如果存取檔案系統的用戶端正在任何支援的 Amazon EC2 Mac、LinuxWindows 執行個體類型上執行,且您的工作流程符合使用 Nitro 型加密的所有其他需求,則可以使用 Amazon Nitro 型加密。使用 Kerberos 或IPsec加密沒有任何用戶端執行個體類型需求。

用戶端位置

用戶端存取檔案系統位置相關資料的位置會影響可以使用的傳輸中加密方法。如果用戶端和檔案系統位於相同的 中,您可以使用任何支援的加密方法VPC。如果用戶端和檔案系統位於對等 中VPCs,只要流量不會通過虛擬網路裝置或服務,例如傳輸閘道,也是如此。如果用戶端不在相同或對等的 中VPC,或者流量透過虛擬網路裝置或服務傳遞,則 Nitro 型加密不是可用的選項。

網路效能

使用 Amazon Nitro 型加密不會影響網路效能。這是因為支援的 Amazon EC2執行個體使用基礎 Nitro System 硬體的卸載功能,自動加密執行個體之間的傳輸中流量。

使用 Kerberos 或IPsec加密會影響網路效能。這是因為這兩種加密方法都是以軟體為基礎的,這需要用戶端和伺服器使用運算資源來加密和解密傳輸中流量。

資料通訊協定

您可以使用 Amazon Nitro 型加密和IPsec加密搭配所有支援的通訊協定 – NFS、 SMB和 i SCSI。您可以搭配 NFS和 SMB通訊協定 (搭配 Active Directory) 使用 Kerberos 加密。

Active Directory

如果您使用的是 Microsoft Active Directory,您可以透過 NFS和 SMB通訊協定使用 Kerberos 加密

使用下圖協助您決定要使用的傳輸中加密方法。

顯示根據五個決策點使用之傳輸中加密方法的流程圖。

IPsec 當下列所有條件都適用於您的工作流程時,加密是唯一可用的選項:

  • 您正在使用 NFS、 SMB或 iSCSI 通訊協定。

  • 您的工作流程不支援使用 Amazon Nitro 型加密。

  • 您未使用 Microsoft Active Directory 網域。

使用 AWS Nitro System 加密傳輸中的資料

使用 Nitro 型加密,當存取檔案系統的用戶端在支援的 Amazon EC2 LinuxWindows 執行個體類型上執行時,傳輸中的資料會自動加密。

使用 Amazon Nitro 型加密不會影響網路效能。這是因為支援的 Amazon EC2執行個體使用基礎 Nitro System 硬體的卸載功能,自動加密執行個體之間的傳輸中流量。

當支援的用戶端執行個體類型位於相同 AWS 區域 和相同 ,VPC或與檔案系統的 對VPC等 時,系統會自動啟用 Nitro 型加密VPC。此外,如果用戶端位於對等 中VPC,則資料無法周遊虛擬網路裝置或服務 (例如傳輸閘道),以便自動啟用 Nitro 型加密。如需 Nitro 型加密的詳細資訊,請參閱 Amazon EC2 Linux 使用者指南或 Windows 執行個體類型的傳輸中加密一節。

下表詳細說明 Nitro 型加密可用於 AWS 區域 其中的 。

支援 Nitro 型加密
產生 部署類型 AWS 區域
第一代檔案系統1 單一可用區域 1 多可用區域 1 美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、歐洲 (愛爾蘭)
第二代檔案系統 單一可用區 2 多可用區 2 美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (加利福尼亞北部)、美國西部 (奧勒岡)、歐洲 (法蘭克福)、歐洲 (愛爾蘭)、亞太區域 (雪梨)

1 在 2022 年 11 月 28 日當天或之後建立的第一代檔案系統支援所列 中的 Nitro 型傳輸中加密 AWS 區域。

如需 ONTAP 可用 FSx AWS 區域 之 的詳細資訊,請參閱 Amazon FSx for NetApp ONTAP Pricing

如需FSxONTAP檔案系統效能規格的詳細資訊,請參閱 輸送量容量對效能的影響

使用 Kerberos 型加密對傳輸中的資料進行加密

如果您使用的是 Microsoft Active Directory,您可以在 NFS和 SMB通訊協定上使用 Kerberos 型加密,針對SVMs加入 Microsoft Active Directory 的子磁碟區加密傳輸中的資料。

NFS 使用 Kerberos 加密傳輸中的資料

NFSv3 和 NFSv4通訊協定支援使用 Kerberos 加密傳輸中的資料。若要使用 Kerberos 為NFS通訊協定啟用傳輸中的加密,請參閱 中的將 Kerberos 與 搭配使用NFS以取得強大的安全性 NetApp ONTAP 文件中心。

SMB 使用 Kerberos 加密傳輸中的資料

在支援SMB通訊協定 3.0 或更新版本的運算執行個體上映射的檔案共用支援透過SMB通訊協定傳輸的資料加密。這包括所有 Microsoft Windows Microsoft Windows Server 2012 及更新版本,以及 Microsoft Windows 8 及更新版本。啟用時, FSx 會在您存取檔案系統時,使用SMB加密ONTAP自動加密傳輸中的資料,而不需要您修改應用程式。

FSx 的 ONTAPSMB支援 128 和 256 位元加密,由用戶端工作階段請求決定。如需不同加密層級的說明,請參閱 中的使用 管理 設定SMB伺服器最低身分驗證安全層級一節。 SMB CLINetApp ONTAP 文件中心。

注意

用戶端會決定加密演算法。NTLM 和 Kerberos 身分驗證皆可使用 128 和 256 位元加密。FSx for ONTAP SMB Server 接受所有標準 Windows 用戶端請求,而精細控制項是由 Microsoft 群組政策或登錄檔設定處理。

您可以使用 ONTAP CLI 管理 FSxONTAPSVMs和 磁碟區傳輸設定中的加密。若要存取 NetApp ONTAP CLI,在您要在傳輸設定中進行加密SVM的 上建立SSH工作階段,如 中所述使用 CLI 管理 SVM ONTAP

如需如何在 SVM或 磁碟區上啟用SMB加密的指示,請參閱 啟用傳輸中資料的SMB加密

使用加密對傳輸中的資料IPsec進行加密

FSx 的 ONTAP 支援在傳輸模式下使用IPsec通訊協定,以確保資料在傳輸期間持續安全和加密。IPsec 為所有支援的 IP 流量 – NFS、i SCSI和 SMB通訊協定FSx,提供 end-to-end用戶端與 ONTAP 檔案系統之間的傳輸中資料加密。透過IPsec加密,您可以在 之間建立IPsec通道,FSx以ONTAPSVM設定IPsec已啟用 的 ,以及在存取資料的連線IPsec用戶端上執行的用戶端。

我們建議您IPsec在從不支援 Nitro 型加密的用戶端存取資料時NFSSMB,SCSI以及如果您的用戶端和 SVMs 未加入以 Kerberos 型加密所需的 Active Directory 時,使用 來加密傳輸中的資料。IPsec 當您的 iSCSI 用戶端不支援 Nitro 型加密時,加密是唯一可用於加密傳輸中 iSCSI 流量資料的選項。

對於IPsec身分驗證,您可以使用預先共用的金鑰 (PSKs) 或憑證。如果您使用的是 PSK,您使用的IPsec用戶端必須支援具有 的網際網路金鑰交換第 2 版 (IKEv2)PSK。在 FSxONTAP和 用戶端上設定IPsec加密的高層級步驟如下:

  1. IPsec 在檔案系統上啟用和設定 。

  2. 在用戶端IPsec上安裝和設定

  3. IPsec 為多個用戶端存取設定

如需如何使用 IPsec 設定的詳細資訊PSK,請參閱中的透過線加密設定 IP 安全 (IPsec) NetApp ONTAP 文件中心。

如需如何使用IPsec憑證設定 的詳細資訊,請參閱 IPsec 使用憑證身分驗證設定