Skip to main content
ONTAP Technical Reports
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Datenreplizierung Verschlüsselung

Beitragende netapp-dbagwell netapp-chrisgeb
Änderungen vorschlagen
PDFs

Zur Ergänzung der Daten im Ruhezustand-Verschlüsselung können Sie den ONTAP-Datenreplizierungsverkehr zwischen Clustern mithilfe von TLS mit einem vorab vereinbarten Schlüssel für SnapMirror, SnapVault oder FlexCache verschlüsseln.

Bei der Replizierung von Daten für Disaster Recovery, Caching oder Backup müssen die Daten während der Übertragung über das Netzwerk von einem ONTAP Cluster zum anderen gesichert werden. Auf diese Weise werden böswillige man-in-the-Middle-Angriffe auf sensible Daten während der Übertragung verhindert.

Ab ONTAP 9.6 bietet die Cluster-Peering-Verschlüsselung TLS 1.2 AES-256 GCM-Verschlüsselungsunterstützung für ONTAP Datenreplizierungsfunktionen wie SnapMirror, SnapVault und FlexCache. Die Verschlüsselung wird mittels eines vorab vereinbarten Schlüssels (PSK) zwischen zwei Cluster-Peers eingerichtet.

Ab ONTAP 9.15.1 bietet die Cluster-Peering-Verschlüsselung Unterstützung für TLS 1.3 AES-256 GCM-Verschlüsselung für ONTAP Datenreplizierungsfunktionen wie SnapMirror, SnapVault und FlexCache. Die Verschlüsselung wird mittels eines vorab vereinbarten Schlüssels (PSK) zwischen zwei Cluster-Peers eingerichtet.

Kunden, die Technologien wie NSE, NVE und NAE zum Schutz von Daten im Ruhezustand verwenden, können auch eine Ende-zu-Ende-Datenverschlüsselung nutzen, indem sie auf ONTAP 9.6 oder höher upgraden, um Cluster-Peering-Verschlüsselung zu verwenden.

Cluster-Peering verschlüsselt alle Daten zwischen den Cluster-Peers. Beispielsweise werden bei Verwendung von SnapMirror sowohl alle Peering-Informationen als auch alle SnapMirror-Beziehungen zwischen dem Quell- und Ziel-Cluster-Peer verschlüsselt. Sie können keine Klartextdaten zwischen Cluster-Peers übertragen, wenn die Cluster-Peering-Verschlüsselung aktiviert ist.

Ab ONTAP 9.6 ist die Verschlüsselung neuer Cluster-Peer-Beziehungen standardmäßig aktiviert. Um die Verschlüsselung für Cluster-Peer-Beziehungen zu aktivieren, die vor ONTAP 9.6 erstellt wurden, müssen Sie sowohl den Quell- als auch den Ziel-Cluster auf 9.6 aktualisieren. Außerdem müssen Sie den cluster peer modify Befehl verwenden, um sowohl die Quell- als auch die Ziel-Cluster-Peers so zu ändern, dass sie die Cluster-Peering-Verschlüsselung verwenden.

Sie können eine bestehende Peer-Beziehung so umwandeln, dass sie Cluster-Peering-Verschlüsselung in ONTAP 9.6 verwendet, wie im folgenden Beispiel gezeigt:

On the destination cluster peer:

cluster2::> cluster peer modify cluster1 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter a passphrase.

On the source cluster peer:

cluster1::> cluster peer modify cluster2 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter the same passphrase you created in the previous step.