Datenverschlüsselung während der Übertragung
Während der Übertragung übertragene Daten können auf der NAS-Protokollebene verschlüsselt werden, und das Google Cloud-Netzwerk selbst ist verschlüsselt, wie in den folgenden Abschnitten beschrieben.
Google Cloud-Netzwerk
Google Cloud verschlüsselt den Datenverkehr auf Netzwerkebene wie in "Verschlüsselung während der Übertragung" in der Google-Dokumentation. Wie im Abschnitt „Architektur von Google Cloud NetApp Volumes “ erwähnt, wird Google Cloud NetApp Volumes aus einem von NetApp gesteuerten PSA-Produzentenprojekt bereitgestellt.
Im Fall von NetApp Volumes-SW führt der Producer-Tenant Google-VMs aus, um den Dienst bereitzustellen. Der Datenverkehr zwischen Benutzer-VMs und Google Cloud NetApp Volumes -VMs wird automatisch von Google verschlüsselt.
Obwohl der Datenpfad für NetApp Volumes-Performance auf der Netzwerkebene nicht vollständig verschlüsselt ist, verwenden NetApp und Google eine Kombination "der IEEE 802.1AE-Verschlüsselung (MACSec)" , "Verkapselung" (Datenverschlüsselung) und physisch eingeschränkte Netzwerke zum Schutz von Daten während der Übertragung zwischen dem Diensttyp „NetApp Google Cloud NetApp Volumes und Google Cloud.
NAS-Protokolle
NFS- und SMB-NAS-Protokolle bieten optionale Transportverschlüsselung auf Protokollebene.
SMB-Verschlüsselung
"SMB-Verschlüsselung"bietet eine End-to-End-Verschlüsselung von SMB-Daten und schützt Daten vor Abhörmaßnahmen in nicht vertrauenswürdigen Netzwerken. Sie können die Verschlüsselung sowohl für die Client/Server-Datenverbindung (nur für SMB3.x-fähige Clients verfügbar) als auch für die Server-/Domänencontroller-Authentifizierung aktivieren.
Wenn die SMB-Verschlüsselung aktiviert ist, können Clients, die keine Verschlüsselung unterstützen, nicht auf die Freigabe zugreifen.
Google Cloud NetApp Volumes unterstützt die Sicherheitschiffren RC4-HMAC, AES-128-CTS-HMAC-SHA1 und AES-256-CTS-HMAC-SHA1 für die SMB-Verschlüsselung. SMB handelt den höchsten vom Server unterstützten Verschlüsselungstyp aus.
NFSv4.1 Kerberos
Für NFSv4.1 bietet NetApp Volumes-Performance Kerberos-Authentifizierung wie in "RFC7530" Sie können Kerberos auf Volume-Basis aktivieren.
Der derzeit stärkste verfügbare Verschlüsselungstyp für Kerberos ist AES-256-CTS-HMAC-SHA1. Google Cloud NetApp Volumes unterstützt AES-256-CTS-HMAC-SHA1, AES-128-CTS-HMAC-SHA1, DES3 und DES für NFS. Es unterstützt auch ARCFOUR-HMAC (RC4) für CIFS/SMB-Verkehr, aber nicht für NFS.
Kerberos bietet drei verschiedene Sicherheitsstufen für NFS-Mounts, die Auswahlmöglichkeiten für die Stärke der Kerberos-Sicherheit bieten.
Laut RedHat "Gängige Montageoptionen" Dokumentation:
sec=krb5 uses Kerberos V5 instead of local UNIX UIDs and GIDs to authenticate users. sec=krb5i uses Kerberos V5 for user authentication and performs integrity checking of NFS operations using secure checksums to prevent data tampering. sec=krb5p uses Kerberos V5 for user authentication, integrity checking, and encrypts NFS traffic to prevent traffic sniffing. This is the most secure setting, but it also involves the most performance overhead.
Als allgemeine Regel gilt: Je mehr die Kerberos-Sicherheitsebene leisten muss, desto schlechter ist die Leistung, da Client und Server Zeit mit dem Ver- und Entschlüsseln von NFS-Operationen für jedes gesendete Paket verbringen. Viele Clients und NFS-Server unterstützen die Auslagerung von AES-NI auf die CPUs, um ein besseres Gesamterlebnis zu erzielen. Allerdings sind die Auswirkungen von Kerberos 5p (vollständige End-to-End-Verschlüsselung) auf die Leistung deutlich größer als die Auswirkungen von Kerberos 5 (Benutzerauthentifizierung).
Die folgende Tabelle zeigt die Unterschiede zwischen den einzelnen Ebenen in Bezug auf Sicherheit und Leistung.
Sicherheitsstufe | Sicherheit | Performance |
---|---|---|
NFSv3 – sys |
|
|
NFSv4.x – sys |
|
|
NFS – krb5 |
|
|
NFS – krb5i |
|
|
NFS – krb5p |
|
|
In Google Cloud NetApp Volumes wird ein konfigurierter Active Directory-Server als Kerberos-Server und LDAP-Server verwendet (um Benutzeridentitäten aus einem RFC2307-kompatiblen Schema nachzuschlagen). Es werden keine anderen Kerberos- oder LDAP-Server unterstützt. NetApp empfiehlt dringend, LDAP für die Identitätsverwaltung in Google Cloud NetApp Volumes zu verwenden. Informationen dazu, wie NFS Kerberos in Paketerfassungen angezeigt wird, finden Sie im Abschnitt link:gcp-gcnv-arch-detail.html#Packet sniffing/trace considerations["Packet sniffing/trace considerations."]