Konfigurieren Sie IP-Sicherheit (IPsec) über die Verschlüsselung über das Netzwerk
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Datensicherung mit der CLI
- Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mit der CLI
Sammlung separater PDF-Dokumente
Creating your file...
ONTAP verwendet im Transportmodus IPsec (Internet Protocol Security), um sicherzustellen, dass Daten auch während der Übertragung durchgehend sicher und verschlüsselt sind. IPsec bietet Datenverschlüsselung für den gesamten IP-Datenverkehr, einschließlich NFS-, iSCSI- und SMB-Protokollen.
Ab ONTAP 9.12.1 ist die IPsec-Unterstützung für das Front-End-Hostprotokoll in MetroCluster IP- und MetroCluster Fabric-Attached-Konfigurationen verfügbar.
Die IPsec-Unterstützung in MetroCluster-Clustern ist auf den Front-End-Host-Datenverkehr beschränkt und wird auf MetroCluster-Intercluster-LIFs nicht unterstützt.
Ab ONTAP 9.10.1 können Sie entweder vorfreigegebene Schlüssel (PSKs) oder Zertifikate für die Authentifizierung mit IPsec verwenden. Bisher wurden nur PSKs mit IPsec unterstützt.
Ab ONTAP 9.9 sind die von IPsec verwendeten Verschlüsselungsalgorithmen nach FIPS 140-2 zertifiziert. Die Algorithmen werden durch das NetApp Cryptographic Modul in ONTAP generiert, das die FIPS 140-2 Validierung durchführt.
Ab ONTAP 9.8 unterstützt ONTAP IPsec im Transportmodus.
Nach der Konfiguration von IPsec ist der Netzwerkverkehr zwischen dem Client und ONTAP durch vorbeugende Maßnahmen gegen Replay- und man-in-the-Middle (MITM)-Angriffe geschützt.
Für die Traffic-Verschlüsselung durch NetApp SnapMirror und Cluster-Peering (Cluster Peering Encryption, CPE) wird die Sicherheit der Transportschicht (TLS) für den sicheren Transport über das Netzwerk über IPsec empfohlen. Dies liegt daran, dass TLS eine bessere Leistung als IPsec hat.
Während die IPsec-Funktion auf dem Cluster aktiviert ist, erfordert das Netzwerk einen SPD-Eintrag (Security Policy Database), der dem zu schützenden Datenverkehr entspricht und Schutzdetails (wie Chiffre Suite und Authentifizierungsmethode) vor dem Datenfluss spezifiziert. Für jeden Client ist auch ein entsprechender SPD-Eintrag erforderlich.
Aktivieren Sie IPsec auf dem Cluster
Sie können IPsec auf dem Cluster aktivieren, um sicherzustellen, dass Daten auch während der Übertragung ununterbrochen sicher und verschlüsselt sind.
-
Ermitteln, ob IPsec bereits aktiviert ist:
security ipsec config show
Wenn das Ergebnis enthält `IPsec Enabled: false`Fahren Sie mit dem nächsten Schritt fort.
-
IPsec aktivieren:
security ipsec config modify -is-enabled true
-
Führen Sie den Ermittlungsbefehl erneut aus:
security ipsec config show
Das Ergebnis umfasst jetzt
IPsec Enabled: true
.
Bereiten Sie die IPsec-Richtlinienerstellung mit Zertifikatauthentifizierung vor
Sie können diesen Schritt überspringen, wenn Sie nur PSKs (Pre-Shared Keys) zur Authentifizierung verwenden und keine Zertifikatauthentifizierung verwenden.
Bevor Sie eine IPsec-Richtlinie erstellen, die Zertifikate für die Authentifizierung verwendet, müssen Sie überprüfen, ob die folgenden Voraussetzungen erfüllt sind:
-
Sowohl ONTAP als auch der Client müssen das CA-Zertifikat der anderen Partei installiert haben, damit die Zertifikate der Endeinheit (entweder ONTAP oder der Client) von beiden Seiten verifiziert werden können
-
Für die ONTAP LIF, die an der Richtlinie teilnimmt, wird ein Zertifikat installiert
ONTAP LIFs können Zertifikate gemeinsam nutzen. Es ist keine 1:1-Zuordnung zwischen Zertifikaten und LIFs erforderlich. |
-
Installieren Sie alle während der gegenseitigen Authentifizierung verwendeten CA-Zertifikate, einschließlich ONTAP- und Client-seitiger CAS, in das ONTAP-Zertifikatsmanagement, sofern sie nicht bereits installiert ist (wie bei einer selbstsignierten ONTAP-Root-CA).
Beispielbefehl
cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert
-
Um sicherzustellen, dass die installierte CA während der Authentifizierung innerhalb des IPsec-CA-Suchpfads ist, fügen Sie die ONTAP-Zertifizierungsstelle für die Zertifikatsverwaltung mithilfe des hinzu
security ipsec ca-certificate add
Befehl.Beispielbefehl
cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert
-
Erstellen und installieren Sie ein Zertifikat zur Verwendung durch die LIF von ONTAP. Die Emittent-CA dieses Zertifikats muss bereits in ONTAP installiert und zu IPsec hinzugefügt werden.
Beispielbefehl
cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert
Weitere Informationen zu Zertifikaten in ONTAP finden Sie in den Befehlen für Sicherheitszertifikate in der Dokumentation zu ONTAP 9 .
Security Policy Database (SPD) definieren
IPsec erfordert einen SPD-Eintrag, bevor der Datenverkehr im Netzwerk fließen kann. Dies gilt unabhängig davon, ob Sie ein PSK oder ein Zertifikat zur Authentifizierung verwenden.
-
Verwenden Sie die
security ipsec policy create
Befehl an:-
Wählen Sie die ONTAP-IP-Adresse oder das Subnetz der IP-Adressen aus, die am IPsec-Transport beteiligt werden sollen.
-
Wählen Sie die Client-IP-Adressen aus, die eine Verbindung zu den ONTAP-IP-Adressen herstellen.
Der Client muss Internet Key Exchange Version 2 (IKEv2) mit einem vorab freigegebenen Schlüssel (PSK) unterstützen. -
Optional Wählen Sie die feingranularen Datenverkehrsparameter aus, z. B. die Protokolle der oberen Ebene (UDP, TCP, ICMP usw.) ), die lokalen Port-Nummern und die Remote-Port-Nummern zum Schutz des Datenverkehrs. Die entsprechenden Parameter sind
protocols
,local-ports
Undremote-ports
Jeweils.Überspringen Sie diesen Schritt, um den gesamten Datenverkehr zwischen der ONTAP-IP-Adresse und der Client-IP-Adresse zu schützen. Der Schutz des gesamten Datenverkehrs ist die Standardeinstellung.
-
Geben Sie entweder PSK oder Public-Key-Infrastruktur (PKI) für den ein
auth-method
Parameter für die gewünschte Authentifizierungsmethode.-
Wenn Sie eine PSK eingeben, fügen Sie die Parameter ein, und drücken Sie dann <enter>, um die Aufforderung zur Eingabe und Überprüfung der zuvor freigegebenen Taste zu drücken.
local-identity
Undremote-identity
Parameter sind optional, wenn sowohl Host als auch Client strongSwan verwenden und keine Platzhalterrichtlinie für den Host oder Client ausgewählt ist. -
Wenn Sie eine PKI eingeben, müssen Sie auch die eingeben
cert-name
,local-identity
,remote-identity
Parameter. Wenn die Identität des externen Zertifikats unbekannt ist oder mehrere Clientidentitäten erwartet werden, geben Sie die spezielle Identität einANYTHING
.
-
-
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING
Der IP-Verkehr kann erst zwischen Client und Server übertragen werden, wenn sowohl ONTAP als auch der Client die entsprechenden IPsec-Richtlinien eingerichtet haben und die Authentifizierungsdaten (entweder PSK oder Zertifikat) auf beiden Seiten vorhanden sind. Weitere Informationen finden Sie in der clientseitigen IPsec-Konfiguration.
Verwenden Sie IPsec-Identitäten
Bei der Authentifizierungsmethode für vorinstallierte Schlüssel sind lokale und Remote-Identitäten optional, wenn sowohl Host als auch Client strongSwan verwenden und keine Platzhalterrichtlinie für den Host oder Client ausgewählt ist.
Für die PKI/Zertifikat-Authentifizierungsmethode sind sowohl lokale als auch Remote-Identitäten zwingend erforderlich. Die Identitäten geben an, welche Identität innerhalb des Zertifikats jeder Seite zertifiziert ist und für den Überprüfungsprozess verwendet wird. Wenn die Remote-Identität unbekannt ist oder viele verschiedene Identitäten vorliegen, verwenden Sie die spezielle Identität ANYTHING
.
Innerhalb von ONTAP werden Identitäten durch Ändern des SPD-Eintrags oder während der Erstellung der SPD-Richtlinie festgelegt. Beim SPD kann es sich um einen Identitätsnamen im IP-Adressenformat oder String-Format handelt.
Verwenden Sie den folgenden Befehl, um eine vorhandene SPD-Identitätseinstellung zu ändern:
security ipsec policy modify
security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com
IPsec Konfiguration für mehrere Clients
Wenn eine kleine Anzahl von Clients IPsec nutzen muss, reicht die Verwendung eines einzelnen SPD-Eintrags für jeden Client aus. Wenn jedoch Hunderte oder gar Tausende von Clients IPsec nutzen müssen, empfiehlt NetApp die Verwendung einer IPsec Konfiguration für mehrere Clients.
ONTAP unterstützt die Verbindung mehrerer Clients über mehrere Netzwerke mit einer einzelnen SVM-IP-Adresse, wobei IPsec aktiviert ist. Dies lässt sich mit einer der folgenden Methoden erreichen:
-
Subnetz-Konfiguration
Um allen Clients in einem bestimmten Subnetz (z. B. 192.168.134.0/24) zu erlauben, über einen einzigen SPD-Richtlinieneintrag eine Verbindung mit einer einzelnen SVM-IP-Adresse herzustellen, müssen Sie die angeben
remote-ip-subnets
Im Subnetz-Formular. Darüber hinaus müssen Sie die angebenremote-identity
Feld mit der korrekten clientseitigen Identität.
Bei der Verwendung eines einzelnen Richtlinieneintrags in einer Subnetzkonfiguration teilen IPsec-Clients in diesem Subnetz die IPsec-Identität und den vorab gemeinsam genutzten Schlüssel (PSK). Dies gilt jedoch nicht für die Zertifikatauthentifizierung. Bei der Verwendung von Zertifikaten kann jeder Client sein eigenes eindeutiges Zertifikat oder ein freigegebenes Zertifikat zur Authentifizierung verwenden. ONTAP IPsec überprüft die Gültigkeit des Zertifikats auf der Grundlage des CAS, das auf seinem lokalen Vertrauensspeicher installiert ist. ONTAP unterstützt auch die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL). |
-
Alle Clients konfigurieren zulassen
Damit jeder Client unabhängig von seiner Quell-IP-Adresse eine Verbindung zur SVM IPsec-fähigen IP-Adresse herstellen kann, verwenden Sie den
0.0.0.0/0
Platzhalterzeichen bei der Angabe desremote-ip-subnets
Feld.Darüber hinaus müssen Sie die angeben
remote-identity
Feld mit der korrekten clientseitigen Identität. Zur Zertifikatauthentifizierung können Sie eingebenANYTHING
.Auch, wenn der
0.0.0.0/0
Platzhalterzeichen wird verwendet. Sie müssen eine bestimmte lokale oder Remote-Portnummer konfigurieren, die verwendet werden soll. Beispiel:NFS port 2049
.Schritte-
Verwenden Sie einen der folgenden Befehle, um IPsec für mehrere Clients zu konfigurieren.
-
Wenn Sie Subnetz-Konfiguration zur Unterstützung mehrerer IPsec-Clients verwenden:
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id
Beispielbefehlsecurity ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity
-
Wenn Sie allow all Clients Configuration verwenden, um mehrere IPsec-Clients zu unterstützen:
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id
-
Beispielbefehlsecurity ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity
-
IPsec-Statistiken
Während der Verhandlung kann ein Sicherheitskanal, der als IKE-Sicherheitszuordnung (SA) bezeichnet wird, zwischen der ONTAP SVM-IP-Adresse und der Client-IP-Adresse eingerichtet werden. IPsec SAS werden auf beiden Endpunkten installiert, um die eigentliche Datenverschlüsselung und -Entschlüsselung zu ermöglichen.
Sie können Statistikbefehle verwenden, um den Status von IPsec SAS und IKE SAS zu überprüfen.
IKE SA-Beispielbefehl:
security ipsec show-ikesa -node hosting_node_name_for_svm_ip
IPsec SA-Beispielbefehl und -Ausgabe:
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip
cluster1::> security ipsec show-ikesa -node cluster1-node1 Policy Local Remote Vserver Name Address Address Initator-SPI State ----------- ------ --------------- --------------- ---------------- ----------- vs1 test34 192.168.134.34 192.168.134.44 c764f9ee020cec69 ESTABLISHED
IPsec SA-Beispielbefehl und -Ausgabe:
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip cluster1::> security ipsec show-ipsecsa -node cluster1-node1 Policy Local Remote Inbound Outbound Vserver Name Address Address SPI SPI State ----------- ------- --------------- --------------- -------- -------- --------- vs1 test34 192.168.134.34 192.168.134.44 c4c5b3d6 c2515559 INSTALLED