IPsec-Verschlüsselung von aktiven Daten
Unternehmen, die Verschlüsselungstechnologien für ruhende Daten wie NetApp Storage Encryption (NSE) oder NetApp Volume Encryption (NVE) und Cluster Peering Encryption (CPE) für den Datenreplizierungsverkehr verwenden, können jetzt durch ein Upgrade auf ONTAP 9.8 oder höher die End-to-End-Verschlüsselung zwischen Client und Storage in ihrer hybriden Multi-Cloud-Data Fabric nutzen IPsec: IPsec bietet eine Alternative zur NFS- oder SMB/CIFS-Verschlüsselung und ist die einzige Option für die Verschlüsselung bei iSCSI-Datenverkehr.
In manchen Situationen müssen möglicherweise alle Client-Daten geschützt werden, die über das Netzwerk (oder bei der Übertragung) zu der ONTAP SVM übertragen werden. Dadurch werden Replay- und böswillige man-in-the-Middle-Angriffe auf sensible Daten während der Übertragung verhindert.
Ab ONTAP 9.8 bietet die Internetprotokollsicherheit (IPsec) End-to-End-Verschlüsselungsunterstützung für den gesamten IP-Datenverkehr zwischen einem Client und einer ONTAP SVM. Die IPsec-Datenverschlüsselung für den gesamten IP-Datenverkehr umfasst NFS-, iSCSI- und SMB/CIFS-Protokolle. IPsec bietet die einzige Verschlüsselung im Flug für iSCSI-Datenverkehr.
Die Bereitstellung von NFS-Verschlüsselung über das Netzwerk ist einer der wichtigsten Anwendungsfälle für IPsec. Vor ONTAP 9.8 war für die NFS-Verschlüsselung über das Netzwerk die Einrichtung und Konfiguration von Kerberos erforderlich, damit die aktiven NFS-Daten über krb5p verschlüsselt werden. Dies ist nicht immer einfach oder leicht in jeder Kundenumgebung zu erreichen.
Unternehmen, die Verschlüsselungstechnologien für ruhende Daten wie NetApp Storage Encryption (NSE) oder NetApp Volume Encryption (NVE) und Cluster Peering Encryption (CPE) für den Datenreplizierungsverkehr verwenden, können jetzt durch ein Upgrade auf ONTAP 9.8 oder höher die End-to-End-Verschlüsselung zwischen Client und Storage in ihrer hybriden Multi-Cloud-Data Fabric nutzen IPsec:
IPsec ist ein IETF-Standard. ONTAP verwendet IPsec im Transportmodus. Es nutzt auch das IKE-Protokoll (Internet Key Exchange) Version 2, das einen Pre-Shared Key (PSK) verwendet, um Schlüsselmaterial zwischen dem Client und ONTAP entweder mit IPv4 oder IPv6 auszuhandeln. Standardmäßig verwendet IPsec Suite-B AES-GCM 256-Bit-Verschlüsselung. Suite-B AES-GMAC256 und AES-CBC256 mit 256-Bit-Verschlüsselung werden ebenfalls unterstützt.
Obwohl die IPsec-Funktion auf dem Cluster aktiviert werden muss, wird sie durch Verwendung eines SPD-Eintrags (Security Policy Database) auf einzelne SVM-IP-Adressen angewendet. Der Richtlinieneintrag (SPD) enthält die Client-IP-Adresse (Remote-IP-Subnetz), die SVM-IP-Adresse (lokales IP-Subnetz), die zu verwendende Verschlüsselungssuite und den Pre-Shared-Schlüssel (PSK), der für die Authentifizierung über IKEv2 und den Aufbau der IPsec-Verbindung benötigt wird. Zusätzlich zum IPsec-Richtlinieneintrag muss der Client mit denselben Informationen (lokale und Remote-IP, PSK und Chiffre-Suite) konfiguriert werden, bevor der Datenverkehr über die IPsec-Verbindung fließen kann. Ab ONTAP 9.10.1 wird die IPsec-Zertifikatauthentifizierung unterstützt. Dadurch werden IPsec-Richtlinienbeschränkungen entfernt und Windows-Betriebssystemunterstützung für IPsec aktiviert.
Wenn zwischen dem Client und der SVM-IP-Adresse eine Firewall vorhanden ist, muss die ESP- und UDP-Protokolle (Port 500 und 4500) sowohl Inbound (Ingress) als auch Outbound (Egress) zugelassen werden, damit die IKEv2-Verhandlung erfolgreich ist und damit IPsec-Datenverkehr ermöglicht wird.
Für die Verkehrsverschlüsselung mit NetApp SnapMirror und Cluster-Peering wird die Cluster-Peering-Verschlüsselung (CPE) für die sichere Übertragung über das Netzwerk weiterhin über IPsec empfohlen. CPE bietet für diese Workloads eine bessere Performance als IPsec. Sie benötigen keine Lizenz für IPsec und es gibt keine Import- oder Exportbeschränkungen.
Sie können IPsec auf dem Cluster aktivieren und einen SPD-Eintrag für einen einzelnen Client und eine einzelne SVM-IP-Adresse erstellen, wie im folgenden Beispiel gezeigt:
On the Destination Cluster Peer cluster1::> security ipsec config modify -is-enabled true cluster1::> security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 When prompted enter and confirm the pre shared secret (PSK).