Sicherheit
Wenn Sie Ihr SolidFire All-Flash-Storage-System nutzen, werden Ihre Daten durch branchenübliche Sicherheitsprotokolle geschützt.
Verschlüsselung für Daten im Ruhezustand (Hardware)
Alle Laufwerke in Storage-Nodes können verschlüsselt werden. Dazu wird die AES 256-Bit-Verschlüsselung auf Laufwerksebene verwendet. Jedes Laufwerk verfügt über einen eigenen Verschlüsselungsschlüssel, der beim ersten Initialized des Laufwerks erstellt wird. Wenn Sie die Verschlüsselungsfunktion aktivieren, wird ein Cluster-weites Passwort erstellt und Datenblöcke des Passworts werden dann auf alle Nodes im Cluster verteilt. Kein Single Node speichert das gesamte Passwort. Das Passwort wird dann verwendet, um den gesamten Zugriff auf die Laufwerke kennwortgeschützt zu machen. Das Kennwort ist erforderlich, um das Laufwerk zu entsperren und wird dann nur benötigt, wenn die Stromversorgung vom Laufwerk entfernt oder das Laufwerk gesperrt ist.
"Aktivieren der Hardware-Verschlüsselung für Daten im Ruhezustand" Keine Auswirkungen auf die Performance oder die Effizienz im Cluster Wenn ein verschlüsselungsfähiges Laufwerk oder Node mit der Element API oder der Element UI aus der Cluster-Konfiguration entfernt wird, wird die Verschlüsselung im Ruhezustand auf den Laufwerken deaktiviert. Nachdem das Laufwerk entfernt wurde, kann das Laufwerk mit der API-Methode sicher gelöscht werden SecureEraseDrives
. Wenn ein physisches Laufwerk oder ein Knoten gewaltsam entfernt wird, bleiben die Daten durch das Cluster-weite Passwort und die individuellen Verschlüsselungsschlüssel des Laufwerks geschützt.
Verschlüsselung für Daten im Ruhezustand (Software)
Bei einem anderen Verschlüsselungstyp, der Softwareverschlüsselung im Ruhezustand, können alle Daten, die in einem Storage-Cluster auf SSDs geschrieben wurden, verschlüsselt werden. "Wenn aktiviert", Es verschlüsselt alle Daten geschrieben und entschlüsselt alle Daten automatisch in Software gelesen. Softwareverschlüsselung im Ruhezustand spiegelt die SED-Implementierung (Self-Encrypting Drive) in der Hardware, um Datensicherheit ohne SED zu gewährleisten.
Bei SolidFire All-Flash-Storage-Clustern muss die Softwareverschlüsselung im Ruhezustand während der Cluster-Erstellung aktiviert sein und nach dem Erstellen des Clusters nicht deaktiviert werden können. |
Sowohl die Software- als auch die Hardware-basierte Verschlüsselung im Ruhezustand können unabhängig voneinander oder kombiniert werden.
Externes Verschlüsselungskeymanagement
Sie können Element Software für das Management der Storage-Cluster-Verschlüsselungen konfigurieren, indem Sie einen KMIP-konformen (Key Management Service) eines Drittanbieters verwenden. Wenn Sie diese Funktion aktivieren, wird der Schlüssel für den Zugriff auf das Passwort für den gesamten Laufwerkszugriff des Storage-Clusters von einem von Ihnen angegebenen KMS gemanagt.
Element kann die folgenden wichtigen Managementservices nutzen:
-
Gemalto SafeNet KeySecure
-
SafeNet BEI KeySecure
-
HyTrust KeyControl
-
Vormetric Data Security Manager
-
IBM Security Key Lifecycle Manager
Weitere Informationen zum Konfigurieren der externen Schlüsselverwaltung finden Sie in "Erste Schritte mit externem Verschlüsselungsmanagement"der Dokumentation.
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung (MFA) ermöglicht es Benutzern, bei der Anmeldung mehrere Arten von Beweisen zur Authentifizierung bei der NetApp Element Web-UI oder der Storage-Node-UI vorzulegen. Sie können Element so konfigurieren, dass nur Multi-Faktor-Authentifizierung für Anmeldungen akzeptiert wird, die sich in Ihr vorhandenes Benutzerverwaltungssystem und Ihren Identitäts-Provider integrieren lassen. Sie können das Element so konfigurieren, dass es sich in einen vorhandenen SAML 2.0-Identitätsanbieter integrieren lässt, der mehrere Authentisierungsschemata wie Passwort- und Textnachricht, Passwort- und E-Mail-Nachricht oder andere Methoden durchsetzen kann.
Sie können Multi-Faktor-Authentifizierung mit gängigen SAML 2.0-kompatiblen Identitäts-Providern (IDPs) wie Microsoft Active Directory Federation Services (ADFS) und Shibboleth kombinieren.
Informationen zur Konfiguration von MFA finden Sie in "Die Multi-Faktor-Authentifizierung aktivieren"der Dokumentation.
FIPS 140-2 für HTTPS und Verschlüsselung von Daten im Ruhezustand
NetApp SolidFire Storage-Cluster unterstützen eine Verschlüsselung, die die Anforderungen des Federal Information Processing Standard (FIPS) 140-2 an kryptografische Module erfüllt. Sie können die Compliance mit FIPS 140-2 auf Ihrem SolidFire Cluster sowohl für HTTPS-Kommunikation als auch für Laufwerksverschlüsselung aktivieren.
Wenn Sie den FIPS 140-2 Betriebsmodus auf dem Cluster aktivieren, aktiviert das Cluster das NetApp Cryptographic Security Module (NCSM) und nutzt die zertifizierte Verschlüsselung nach FIPS 140-2 Level 1 für die gesamte Kommunikation über HTTPS mit der NetApp Element UI und den API. Sie verwenden die EnableFeature
Element API mit dem fips
Parameter zur Aktivierung der FIPS 140-2-HTTPS-Verschlüsselung. Auf Storage-Clustern mit FIPS-kompatibler Hardware können Sie mithilfe der Element API mit dem FipsDrives
Parameter auch die FIPS-Laufwerksverschlüsselung für Daten im Ruhezustand aktivieren EnableFeature
.
Weitere Informationen zur Vorbereitung eines neuen Storage-Clusters für die Verschlüsselung nach FIPS 140-2 finden Sie unter "Erstellen eines Clusters, das FIPS-Laufwerke unterstützt".
Weitere Informationen zur Aktivierung von FIPS 140-2 auf einem vorhandenen, vorbereiteten Cluster finden Sie unter "Die API für das EnableFeature-Element".