Sicherheit
Wenn Sie Ihr SolidFire All-Flash-Storage-System nutzen, werden Ihre Daten durch branchenübliche Sicherheitsprotokolle geschützt.
Verschlüsselung für Daten im Ruhezustand (Hardware)
Alle Laufwerke in Storage-Nodes können verschlüsselt werden. Dazu wird die AES 256-Bit-Verschlüsselung auf Laufwerksebene verwendet. Jedes Laufwerk verfügt über einen eigenen Verschlüsselungsschlüssel, der beim ersten Initialized des Laufwerks erstellt wird. Wenn Sie die Verschlüsselungsfunktion aktivieren, wird ein Cluster-weites Passwort erstellt und Datenblöcke des Passworts werden dann auf alle Nodes im Cluster verteilt. Kein Single Node speichert das gesamte Passwort. Das Passwort wird dann verwendet, um den gesamten Zugriff auf die Laufwerke kennwortgeschützt zu machen. Das Kennwort ist erforderlich, um das Laufwerk zu entsperren und wird dann nur benötigt, wenn die Stromversorgung vom Laufwerk entfernt oder das Laufwerk gesperrt ist.
"Aktivieren der Hardware-Verschlüsselung für Daten im Ruhezustand" Beeinträchtigt die Performance oder Effizienz des Clusters nicht. Wenn ein verschlüsselungsfähiges Laufwerk oder Node mit der Element API oder der Element UI aus der Cluster-Konfiguration entfernt wird, wird die Verschlüsselung im Ruhezustand auf den Laufwerken deaktiviert. Nachdem das Laufwerk entfernt wurde, kann das Laufwerk mit dem sicher gelöscht werden SecureEraseDrives
API-Methode. Wenn ein physisches Laufwerk oder ein Knoten gewaltsam entfernt wird, bleiben die Daten durch das Cluster-weite Passwort und die individuellen Verschlüsselungsschlüssel des Laufwerks geschützt.
Verschlüsselung für Daten im Ruhezustand (Software)
Bei einem anderen Verschlüsselungstyp, der Softwareverschlüsselung im Ruhezustand, können alle Daten, die in einem Storage-Cluster auf SSDs geschrieben wurden, verschlüsselt werden. "Wenn aktiviert", Es verschlüsselt alle Daten geschrieben und entschlüsselt alle Daten automatisch in der Software gelesen. Softwareverschlüsselung im Ruhezustand spiegelt die SED-Implementierung (Self-Encrypting Drive) in der Hardware, um Datensicherheit ohne SED zu gewährleisten.
Bei SolidFire All-Flash-Storage-Clustern muss die Softwareverschlüsselung im Ruhezustand während der Cluster-Erstellung aktiviert sein und nach dem Erstellen des Clusters nicht deaktiviert werden können. |
Sowohl die Software- als auch die Hardware-basierte Verschlüsselung im Ruhezustand können unabhängig voneinander oder kombiniert werden.
Externes Verschlüsselungskeymanagement
Sie können Element Software für das Management der Storage-Cluster-Verschlüsselungen konfigurieren, indem Sie einen KMIP-konformen (Key Management Service) eines Drittanbieters verwenden. Wenn Sie diese Funktion aktivieren, wird der Schlüssel für den Zugriff auf das Passwort für den gesamten Laufwerkszugriff des Storage-Clusters von einem von Ihnen angegebenen KMS gemanagt.
Element kann die folgenden wichtigen Managementservices nutzen:
-
Gemalto SafeNet KeySecure
-
SafeNet BEI KeySecure
-
HyTrust KeyControl
-
Vormetric Data Security Manager
-
IBM Security Key Lifecycle Manager
Weitere Informationen zur Konfiguration der externen Schlüsselverwaltung finden Sie unter "Erste Schritte mit externem Verschlüsselungsmanagement" Dokumentation.
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung (MFA) ermöglicht es Benutzern, bei der Anmeldung mehrere Arten von Beweisen zur Authentifizierung bei der NetApp Element Web-UI oder der Storage-Node-UI vorzulegen. Sie können Element so konfigurieren, dass nur Multi-Faktor-Authentifizierung für Anmeldungen akzeptiert wird, die sich in Ihr vorhandenes Benutzerverwaltungssystem und Ihren Identitäts-Provider integrieren lassen. Sie können das Element so konfigurieren, dass es sich in einen vorhandenen SAML 2.0-Identitätsanbieter integrieren lässt, der mehrere Authentisierungsschemata wie Passwort- und Textnachricht, Passwort- und E-Mail-Nachricht oder andere Methoden durchsetzen kann.
Sie können Multi-Faktor-Authentifizierung mit gängigen SAML 2.0-kompatiblen Identitäts-Providern (IDPs) wie Microsoft Active Directory Federation Services (ADFS) und Shibboleth kombinieren.
Informationen zur Konfiguration von MFA finden Sie unter "Die Multi-Faktor-Authentifizierung aktivieren" Dokumentation.
FIPS 140-2 für HTTPS und Verschlüsselung von Daten im Ruhezustand
NetApp SolidFire Storage-Cluster unterstützen eine Verschlüsselung, die die Anforderungen des Federal Information Processing Standard (FIPS) 140-2 an kryptografische Module erfüllt. Sie können die Compliance mit FIPS 140-2 auf Ihrem SolidFire Cluster sowohl für HTTPS-Kommunikation als auch für Laufwerksverschlüsselung aktivieren.
Wenn Sie den FIPS 140-2 Betriebsmodus auf dem Cluster aktivieren, aktiviert das Cluster das NetApp Cryptographic Security Module (NCSM) und nutzt die zertifizierte Verschlüsselung nach FIPS 140-2 Level 1 für die gesamte Kommunikation über HTTPS mit der NetApp Element UI und den API. Sie verwenden das EnableFeature
Element API mit dem fips
Parameter zur Aktivierung der Verschlüsselung nach FIPS 140-2 HTTPS. Auf Storage-Clustern mit FIPS-kompatibler Hardware lässt sich mithilfe des auch FIPS-Laufwerksverschlüsselung für Daten im Ruhezustand aktivieren EnableFeature
Element API mit dem FipsDrives
Parameter.
Weitere Informationen zur Vorbereitung eines neuen Storage-Clusters auf die Verschlüsselung nach FIPS 140-2 finden Sie unter "Erstellen eines Clusters, das FIPS-Laufwerke unterstützt".
Weitere Informationen über die Aktivierung von FIPS 140-2 auf einem vorhandenen, vorbereiteten Cluster finden Sie unter "Die API für das EnableFeature-Element".