Überprüfen von StorageGRID Verschlüsselungsmethoden
StorageGRID bietet verschiedene Optionen zur Datenverschlüsselung. Anhand der verfügbaren Methoden können Sie ermitteln, welche Methoden Ihre Datensicherungsanforderungen erfüllen.
Die Tabelle bietet eine allgemeine Zusammenfassung der in StorageGRID verfügbaren Verschlüsselungsmethoden.
Verschlüsselungsoption | So funktioniert es | Gilt für |
---|---|---|
Verschlüsselungsmanagement-Server (KMS) in Grid Manager |
Sie konfigurieren einen Schlüsselverwaltungsserver für den StorageGRID-Standort (Konfiguration > Systemeinstellungen > Schlüsselverwaltungsserver) und aktivieren die Knotenverschlüsselung für die Appliance. Anschließend stellt ein Appliance-Node eine Verbindung mit dem KMS her, um einen Schlüsselverschlüsselungsschlüssel (KEK) anzufordern. Dieser Schlüssel verschlüsselt und entschlüsselt den Datenverschlüsselungsschlüssel (DEK) auf jedem Volume. |
Appliance-Knoten, deren Node Encryption während der Installation aktiviert ist. Alle Daten auf der Appliance sind gegen physischen Verlust oder aus dem Datacenter geschützt. Kann mit einigen StorageGRID Storage und Service Appliances verwendet werden. |
Laufwerkssicherheit in SANtricity System Manager |
Wenn die Laufwerkssicherheitsfunktion für eine Speicher-Appliance aktiviert ist, können Sie den Sicherheitsschlüssel mit SANtricity System Manager erstellen und verwalten. Der Schlüssel ist erforderlich, um auf die Daten auf den gesicherten Laufwerken zuzugreifen. |
Storage-Applikationen mit Full Disk Encryption-Laufwerken (FDE) oder FIPS-Laufwerken (Federal Information Processing Standard) Alle Daten auf den gesicherten Laufwerken sind vor physischem Verlust oder Entfernung aus dem Datacenter geschützt. Nicht bei einigen Storage-Appliances oder Service-Appliances verwendet werden können. |
Grid-Option „gespeicherte Objektverschlüsselung“ |
Die Option gespeicherte Objektverschlüsselung kann im Grid Manager aktiviert werden (Konfiguration > Systemeinstellungen > Grid-Optionen). Bei Aktivierung werden alle neuen Objekte, die nicht auf Bucket-Ebene oder auf Objektebene verschlüsselt sind, während der Aufnahme verschlüsselt. |
Neu aufgenommene S3- und Swift-Objektdaten vorhandene gespeicherte Objekte werden nicht verschlüsselt. Objekt-Metadaten und andere sensible Daten sind nicht verschlüsselt. |
S3-Bucket-Verschlüsselung |
Sie stellen eine PUT-Bucket-Verschlüsselungsanforderung bereit, um die Verschlüsselung für den Bucket zu aktivieren. Neue Objekte, die nicht auf Objektebene verschlüsselt sind, werden bei der Aufnahme verschlüsselt. |
Nur neu aufgenommene S3-Objektdaten.Verschlüsselung muss für den Bucket angegeben werden. Vorhandene Bucket-Objekte sind nicht verschlüsselt. Objekt-Metadaten und andere sensible Daten sind nicht verschlüsselt. |
S3-Objektserverseitige Verschlüsselung (SSE) |
Sie geben eine S3-Anforderung zum Speichern eines Objekts aus und schließen das ein |
Nur neu aufgenommene S3-Objektdaten.Verschlüsselung muss für das Objekt angegeben werden. Objekt-Metadaten und andere sensible Daten sind nicht verschlüsselt. StorageGRID verwaltet die Schlüssel. |
S3 Objektserverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) |
Sie geben eine S3-Anforderung zum Speichern eines Objekts aus und enthalten drei Anfrageheader.
|
Nur neu aufgenommene S3-Objektdaten.Verschlüsselung muss für das Objekt angegeben werden. Objekt-Metadaten und andere sensible Daten sind nicht verschlüsselt. Schlüssel werden außerhalb von StorageGRID gemanagt. |
Externe Volume- oder Datastore-Verschlüsselung |
Sofern die Implementierungsplattform sie unterstützt, verwenden Sie eine Verschlüsselungsmethode außerhalb von StorageGRID, um ein gesamtes Volume oder Datastore zu verschlüsseln. |
Alle Objektdaten, Metadaten und Systemkonfigurationsdaten, wobei jedes Volume oder jeder Datastore verschlüsselt ist Eine externe Verschlüsselungsmethode bietet eine engere Kontrolle über Verschlüsselungsalgorithmen und -Schlüssel. Kann mit den anderen aufgeführten Methoden kombiniert werden. |
Objektverschlüsselung außerhalb von StorageGRID |
Dabei kommt eine Verschlüsselungsmethode außerhalb von StorageGRID zum Einsatz, um Objektdaten und Metadaten zu verschlüsseln, bevor sie in StorageGRID aufgenommen werden. |
Nur Objektdaten und Metadaten (Systemkonfigurationsdaten sind nicht verschlüsselt). Eine externe Verschlüsselungsmethode bietet eine engere Kontrolle über Verschlüsselungsalgorithmen und -Schlüssel. Kann mit den anderen aufgeführten Methoden kombiniert werden. |
Verwendung mehrerer Verschlüsselungsmethoden
Je nach Ihren Anforderungen können Sie mehrere Verschlüsselungsmethoden gleichzeitig verwenden. Beispiel:
-
Mit einem KMS können Appliance-Nodes geschützt werden. Außerdem kann mithilfe der Laufwerksicherheitsfunktion in SANtricity System Manager die Daten „
double verschlüsselte
“ auf den Self-Encrypting Drives in denselben Appliances verschlüsselt werden. -
Mit einem KMS lassen sich Daten auf Appliance-Nodes sichern. Zudem kann die Grid-Option „Speichered Object Encryption“ verwendet werden, um alle Objekte bei der Aufnahme zu verschlüsseln.
Wenn nur ein kleiner Teil Ihrer Objekte eine Verschlüsselung erfordern, sollten Sie stattdessen die Verschlüsselung auf Bucket- oder Objektebene kontrollieren. Durch die Aktivierung diverser Verschlüsselungsstufen entstehen zusätzliche Performance-Kosten.