Schlüsselmanagement bei einem Cloud-Provider
Änderungen vorschlagen
PDFs
Ab ONTAP 9.10.1 können Sie "Azure Key Vault (AKV)""Der Verschlüsselungsmanagement-Service (Cloud KMS) der Google Cloud-Plattform"Ihre ONTAP-Verschlüsselungen in einer Cloud-gehosteten Applikation verwenden und schützen. Ab ONTAP 9.12.0 können Sie NVE Schlüssel auch mit schützen"KMS VON AWS".
AWS KMS, AKV und Cloud KMS können "NetApp Volume Encryption (NVE)-Schlüssel"nur für Daten-SVMs eingesetzt werden.
Das Verschlüsselungsmanagement mit einem Cloud-Provider kann über die CLI oder die ONTAP REST-API aktiviert werden.
Wenn Sie zum Schutz Ihrer Schlüssel einen Cloud-Provider verwenden, beachten Sie, dass standardmäßig eine Daten-SVM-LIF zur Kommunikation mit dem Cloud-Schlüsselmanagement-Endpunkt verwendet wird. Über ein Node-Managementnetzwerk kommunizieren Sie mit den Authentifizierungsservices des Cloud-Providers (login.microsoftonline.com für Azure, oauth2.googleapis.com für Cloud KMS). Wenn das Cluster-Netzwerk nicht korrekt konfiguriert ist, nutzt das Cluster den Verschlüsselungsmanagementservice nicht ordnungsgemäß.
Wenn Sie einen Cloud-Provider-Managementservice nutzen, sollten Sie sich die folgenden Einschränkungen bewusst sein:
-
Das Verschlüsselungsmanagement von Cloud-Providern ist für die NetApp Storage-Verschlüsselung (NSE) und die NetApp Aggregate Encryption (NAE) nicht verfügbar. "Externe KMIPs" Kann stattdessen verwendet werden.
-
Das Verschlüsselungsmanagement bei MetroCluster-Konfigurationen ist nicht für Cloud-Provider verfügbar.
-
Das Verschlüsselungsmanagement von Cloud-Providern kann nur auf einer Daten-SVM konfiguriert werden.
-
Sie müssen den KMS auf dem entsprechenden Cloud-Provider konfiguriert haben.
-
Die Nodes des ONTAP Clusters müssen NVE unterstützen.
-
"Sie müssen die Lizenzen für Volume Encryption (VE) und Multi-Tenant Encryption Key Management (MTEKM) installiert haben". Diese Lizenzen sind in enthalten"ONTAP One".
-
Sie müssen ein Cluster- oder SVM-Administrator sein.
-
Die Daten-SVM darf keine verschlüsselten Volumes enthalten oder einen Schlüsselmanager beschäftigen. Wenn die Daten-SVM verschlüsselte Volumes enthält, müssen Sie sie vor der Konfiguration des KMS migrieren.
Externes Verschlüsselungsmanagement
Die Aktivierung des externen Schlüsselmanagements hängt von dem jeweiligen Schlüsselmanager ab, den Sie verwenden. Wählen Sie die Registerkarte des entsprechenden Schlüsselmanagers und der entsprechenden Umgebung aus.
-
Sie müssen einen Zuschuss für den AWS-KMS-Schlüssel erstellen, der von der IAM-Rolle zum Managen der Verschlüsselung verwendet wird. Die IAM-Rolle muss eine Richtlinie enthalten, die die folgenden Operationen zulässt:
-
DescribeKey -
Encrypt -
Decrypt+ Weitere Informationen finden Sie in der AWS-Dokumentation für "Zuschüsse".
-
-
Bevor Sie beginnen, erhalten Sie sowohl die Zugriffsschlüssel-ID als auch den geheimen Schlüssel von Ihrem AWS KMS.
-
Legen Sie die Berechtigungsebene auf erweitert fest:
set -priv advanced -
AWS KMS aktivieren:
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
Geben Sie den geheimen Schlüssel ein, wenn Sie dazu aufgefordert werden.
-
Überprüfen Sie, ob der AWS-KMS ordnungsgemäß konfiguriert wurde:
security key-manager external aws show -vserver svm_name
-
Bevor Sie beginnen, müssen Sie die entsprechenden Authentifizierungsdaten von Ihrem Azure-Konto beziehen, entweder ein Clientgeheimnis oder ein Zertifikat. Sie müssen außerdem sicherstellen, dass alle Nodes im Cluster sich in einem ordnungsgemäßen Zustand befinden. Sie können dies mit dem Befehl überprüfen
cluster show. -
Setzen Sie die privilegierte Ebene auf erweitert
set -priv advanced -
Aktivieren Sie AKV auf der SVM
security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}Wenn Sie dazu aufgefordert werden, geben Sie entweder das Client-Zertifikat oder den Client-Schlüssel aus Ihrem Azure-Konto ein. -
Vergewissern Sie sich, dass AKV korrekt aktiviert
security key-manager external azure show vserver svm_nameist: Wenn die Service-Erreichbarkeit nicht in Ordnung ist, stellen Sie die Verbindung zum AKV-Schlüsselverwaltungsservice über die Daten-SVM-LIF her.
-
Bevor Sie beginnen, erhalten Sie den privaten Schlüssel für die Google Cloud KMS-Kontoschlüsseldatei in einem JSON-Format. Dieser Punkt ist in Ihrem GCP-Konto enthalten. Sie müssen außerdem sicherstellen, dass alle Nodes im Cluster sich in einem ordnungsgemäßen Zustand befinden. Sie können dies mit dem Befehl überprüfen
cluster show. -
Privilegierte Ebene auf erweitert setzen:
set -priv advanced -
Cloud-KMS auf der SVM aktivieren
security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_nameWenn Sie dazu aufgefordert werden, geben Sie den Inhalt der JSON-Datei mit dem privaten Schlüssel des Servicekontos ein -
Vergewissern Sie sich, dass Cloud KMS mit den richtigen Parametern konfiguriert ist:
security key-manager external gcp show vserver svm_nameDer Status vonkms_wrapped_key_statuslautet“UNKNOWN”, wenn keine verschlüsselten Volumes erstellt wurden. Wenn die Erreichbarkeit des Dienstes nicht in Ordnung ist, stellen Sie die Verbindung zum GCP-Schlüsselverwaltungsservice über die Daten-SVM-LIF her.
Wenn bereits ein oder mehrere verschlüsselte Volumes für eine Daten-SVM konfiguriert sind und die entsprechenden NVE Schlüssel vom Onboard-Schlüsselmanager des Admin-SVM gemanagt werden, sollten diese Schlüssel zu dem externen Verschlüsselungsmanagement-Service migriert werden. Dazu führen Sie über die CLI den Befehl aus:
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM Neue verschlüsselte Volumes können erst für die Daten-SVM des Mandanten erstellt werden, wenn alle NVE-Schlüssel der Daten-SVM erfolgreich migriert wurden.