Sicherheit
Cloud Volumes ONTAP unterstützt die Datenverschlüsselung und bietet Schutz vor Viren und Ransomware.
Verschlüsselung von Daten im Ruhezustand
Cloud Volumes ONTAP unterstützt die folgenden Verschlüsselungstechnologien:
-
NetApp Verschlüsselungslösungen (NVE und NAE)
-
AWS Key Management Service
-
Azure Storage Service Encryption
-
Google Cloud Platform-Standardverschlüsselung
Sie können NetApp Verschlüsselungslösungen mit nativer Verschlüsselung vom Cloud-Provider verwenden, die Daten auf Hypervisor-Ebene verschlüsseln. Auf diese Weise wäre eine doppelte Verschlüsselung möglich, die für sehr sensible Daten wünschenswert wäre. Wenn auf die verschlüsselten Daten zugegriffen wird, sind sie zweimal unverschlüsselt – einmal auf Hypervisor-Ebene (bei Verwendung von Schlüsseln des Cloud-Providers) und dann erneut mit NetApp Verschlüsselungslösungen (mit Schlüsseln von einem externen Schlüsselmanager).
NetApp Verschlüsselungslösungen (NVE und NAE)
Cloud Volumes ONTAP unterstützt "NetApp Volume Encryption (NVE) und NetApp Aggregate Encryption (NAE)". NVE und NAE sind softwarebasierte Lösungen, mit denen die Verschlüsselung von Volumes im Ruhezustand (FIPS) 140-2-konform unterstützt wird. Sowohl NVE als auch NAE nutzen 256-Bit-Verschlüsselung nach AES.
-
NVE verschlüsselt Daten im Ruhezustand nach einem Volume pro Zeit. Jedes Daten-Volume verfügt über einen eigenen eindeutigen Verschlüsselungsschlüssel.
-
NAE ist eine Erweiterung von NVE, denn es verschlüsselt Daten für jedes Volume, und die Volumes teilen sich einen Schlüssel im gesamten Aggregat. NAE ermöglicht außerdem die Deduplizierung allgemeiner Blöcke aller Volumes im Aggregat.
Sowohl NVE als auch NAE werden von einem externen Schlüsselmanager unterstützt.
Ifdef::Azure[] endif::Azure[] ifdef::gcp[] endif::gcp[]
Neue Aggregate haben NetApp Aggregate Encryption (NAE) standardmäßig aktiviert, nachdem Sie einen externen Schlüsselmanager eingerichtet haben. Für neue Volumes, die nicht Teil eines NAE-Aggregats sind, ist standardmäßig NetApp Volume Encryption (NVE) aktiviert (bei vorhandenen Aggregaten, die vor dem Einrichten eines externen Schlüsselmanagers erstellt wurden).
Die Einrichtung eines unterstützten Schlüsselmanagers ist der einzige erforderliche Schritt. Anweisungen zur Einrichtung finden Sie unter "Verschlüsseln von Volumes mit NetApp Verschlüsselungslösungen".
AWS Key Management Service
Wenn Sie ein Cloud Volumes ONTAP System in AWS starten, können Sie die Datenverschlüsselung über das aktivieren "AWS KMS (Key Management Service)". BlueXP fordert Datenschlüssel mit einem Kundenstammschlüssel (CMK) an.
Sie können die AWS Datenverschlüsselungsmethode nicht ändern, nachdem Sie ein Cloud Volumes ONTAP System erstellt haben. |
Wenn Sie diese Verschlüsselungsoption verwenden möchten, müssen Sie sicherstellen, dass AWS KMS ordnungsgemäß eingerichtet ist. Weitere Informationen finden Sie unter "Einrichten des AWS KMS".
Azure Storage Service Encryption
Die Daten werden auf Cloud Volumes ONTAP in Azure mithilfe eines von Microsoft gemanagten Schlüssels automatisch verschlüsselt "Azure Storage Service Encryption".
Sie können Ihre eigenen Schlüssel verwenden. "Erfahren Sie, wie Sie Cloud Volumes ONTAP einrichten und einen vom Kunden gemanagten Schlüssel in Azure verwenden".
Google Cloud Platform-Standardverschlüsselung
"Google Cloud-Plattform Verschlüsselung von Daten im Ruhezustand" Ist standardmäßig für Cloud Volumes ONTAP aktiviert. Es ist keine Einrichtung erforderlich.
Während Google Cloud Storage Ihre Daten immer verschlüsselt, bevor sie auf die Festplatte geschrieben werden, können Sie mit BlueXP APIs ein Cloud Volumes ONTAP-System erstellen, das vom Kunden verwaltete Verschlüsselungsschlüssel verwendet. Diese Schlüssel werden in GCP mithilfe des Cloud Key Management Service generiert und gemanagt. "Weitere Informationen .".
ONTAP Virenscannen
Sie können integrierte Virenschutzfunktionen auf ONTAP Systemen verwenden, um Daten vor Viren oder anderem schädlichen Code zu schützen.
ONTAP Virus Scanning, genannt Vscan, kombiniert erstklassige Antivirensoftware von Drittanbietern mit ONTAP-Funktionen, die Ihnen die Flexibilität geben, die Sie benötigen, um zu kontrollieren, welche Dateien gescannt werden und wann.
Informationen über die von Vscan unterstützten Hersteller, Software und Versionen finden Sie im "NetApp Interoperabilitätsmatrix".
Informationen zum Konfigurieren und Verwalten der Antivirenfunktionen auf ONTAP-Systemen finden Sie im "ONTAP 9 Antivirus Configuration Guide".
Schutz durch Ransomware
Ransomware-Angriffe können das Unternehmen Zeit, Ressourcen und Image-Schäden kosten. BlueXP ermöglicht Ihnen die Implementierung der NetApp Lösung für Ransomware, die mit effektiven Tools für Transparenz, Erkennung und Problembehebung ausgestattet ist.
-
BlueXP identifiziert Volumes, die nicht durch eine Snapshot-Richtlinie geschützt sind, und ermöglicht Ihnen die Aktivierung der standardmäßigen Snapshot-Richtlinie für diese Volumes.
Snapshot Kopien sind schreibgeschützt, der Ransomware-Beschädigungen verhindert. Sie können außerdem die Granularität nutzen, um Images einer einzelnen Dateikopie oder einer kompletten Disaster-Recovery-Lösung zu erstellen.
-
BlueXP ermöglicht Ihnen auch, gängige Ransomware-Dateiendungen durch die Aktivierung der FPolicy-Lösung von ONTAP zu blockieren.