Prüfen Sie die StorageGRID Verschlüsselungsmethoden
StorageGRID bietet verschiedene Optionen zur Datenverschlüsselung. Anhand der verfügbaren Methoden können Sie ermitteln, welche Methoden Ihre Datensicherungsanforderungen erfüllen.
Die Tabelle bietet eine allgemeine Zusammenfassung der in StorageGRID verfügbaren Verschlüsselungsmethoden.
Verschlüsselungsoption | So funktioniert es | Gilt für |
---|---|---|
Verschlüsselungsmanagement-Server (KMS) in Grid Manager |
Du "Konfigurieren eines Verschlüsselungsmanagement-Servers" Auf der StorageGRID-Website und "Aktivieren Sie die Node-Verschlüsselung für die Appliance". Anschließend stellt ein Appliance-Node eine Verbindung mit dem KMS her, um einen Schlüsselverschlüsselungsschlüssel (KEK) anzufordern. Dieser Schlüssel verschlüsselt und entschlüsselt den Datenverschlüsselungsschlüssel (DEK) auf jedem Volume. |
Appliance-Knoten, deren Node Encryption während der Installation aktiviert ist. Alle Daten auf der Appliance sind gegen physischen Verlust oder aus dem Datacenter geschützt. Hinweis: Die Verwaltung von Verschlüsselungsschlüsseln mit einem KMS wird nur für Storage Nodes und Service Appliances unterstützt. |
Seite „Laufwerkverschlüsselung“ im Installationsprogramm von StorageGRID Appliance |
Wenn die Appliance Laufwerke enthält, die Hardwareverschlüsselung unterstützen, können Sie während der Installation eine Passphrase für das Laufwerk festlegen. Wenn Sie eine Passphrase für ein Laufwerk festlegen, kann niemand gültige Daten von Laufwerken wiederherstellen, die aus dem System entfernt wurden, es sei denn, sie kennen die Passphrase. Bevor Sie mit der Installation beginnen, wechseln Sie zu Hardware konfigurieren > Festplattenverschlüsselung, um eine Passphrase für Laufwerke festzulegen, die für alle von StorageGRID gemanagten Self-Encrypting Drives in einem Node gilt. |
Appliances mit Self-Encrypting Drives Alle Daten auf den gesicherten Laufwerken sind vor physischem Verlust oder Entfernung aus dem Datacenter geschützt. Die Festplattenverschlüsselung ist nicht bei von SANtricity gemanagten Laufwerken möglich. Bei einer Storage Appliance mit Self-Encrypting Drives und SANtricity Controllern können Sie die Laufwerksicherheit in SANtricity aktivieren. |
Laufwerkssicherheit in SANtricity System Manager |
Wenn die Laufwerkssicherheitsfunktion für eine SG5700- oder SG6000-Speicheranwendung aktiviert ist, können Sie diese verwenden "SANtricity System Manager" So erstellen und verwalten Sie den Sicherheitsschlüssel. Der Schlüssel ist erforderlich, um auf die Daten auf den gesicherten Laufwerken zuzugreifen. |
Storage-Appliances mit Full Disk Encryption-Laufwerken (FDE) oder Self-Encrypting Drives Alle Daten auf den gesicherten Laufwerken sind vor physischem Verlust oder Entfernung aus dem Datacenter geschützt. Kann nicht mit einigen Storage Appliances oder Service-Appliances verwendet werden. |
Verschlüsselung gespeicherter Objekte |
Sie aktivieren die "Verschlüsselung gespeicherter Objekte" Im Grid-Manager. Wenn diese Option aktiviert ist, werden alle neuen Objekte, die nicht auf Bucket-Ebene oder Objektebene verschlüsselt sind, bei der Aufnahme verschlüsselt. |
Neu aufgenommene S3- und Swift-Objektdaten Vorhandene gespeicherte Objekte werden nicht verschlüsselt. Objektmetadaten und andere sensible Daten werden nicht verschlüsselt. |
S3-Bucket-Verschlüsselung |
Sie stellen eine PutBucketEncryption-Anforderung aus, um die Verschlüsselung für den Bucket zu aktivieren. Alle neuen Objekte, die nicht auf Objektebene verschlüsselt werden, werden bei der Aufnahme verschlüsselt. |
Nur neu aufgenommene S3-Objektdaten Für den Bucket muss eine Verschlüsselung angegeben werden. Vorhandene Bucket-Objekte werden nicht verschlüsselt. Objektmetadaten und andere sensible Daten werden nicht verschlüsselt. |
S3-Objektserverseitige Verschlüsselung (SSE) |
Sie geben eine S3-Anforderung zum Speichern eines Objekts aus und schließen das ein |
Nur neu aufgenommene S3-Objektdaten Für das Objekt muss eine Verschlüsselung angegeben werden. Objektmetadaten und andere sensible Daten werden nicht verschlüsselt. StorageGRID verwaltet die Schlüssel. |
S3 Objektserverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) |
Sie geben eine S3-Anforderung zum Speichern eines Objekts aus und enthalten drei Anfrageheader.
|
Nur neu aufgenommene S3-Objektdaten Für das Objekt muss eine Verschlüsselung angegeben werden. Objektmetadaten und andere sensible Daten werden nicht verschlüsselt. Schlüssel werden außerhalb von StorageGRID gemanagt. |
Externe Volume- oder Datastore-Verschlüsselung |
Sofern die Implementierungsplattform sie unterstützt, verwenden Sie eine Verschlüsselungsmethode außerhalb von StorageGRID, um ein gesamtes Volume oder Datastore zu verschlüsseln. |
Alle Objektdaten, Metadaten und Systemkonfigurationsdaten, wobei jedes Volume oder jeder Datastore verschlüsselt ist Eine externe Verschlüsselungsmethode bietet eine engere Kontrolle über Verschlüsselungsalgorithmen und -Schlüssel. Kann mit den anderen aufgeführten Methoden kombiniert werden. |
Objektverschlüsselung außerhalb von StorageGRID |
Dabei kommt eine Verschlüsselungsmethode außerhalb von StorageGRID zum Einsatz, um Objektdaten und Metadaten zu verschlüsseln, bevor sie in StorageGRID aufgenommen werden. |
Nur Objektdaten und Metadaten (Systemkonfigurationsdaten sind nicht verschlüsselt). Eine externe Verschlüsselungsmethode bietet eine engere Kontrolle über Verschlüsselungsalgorithmen und -Schlüssel. Kann mit den anderen aufgeführten Methoden kombiniert werden. |
Verwendung mehrerer Verschlüsselungsmethoden
Je nach Ihren Anforderungen können Sie mehrere Verschlüsselungsmethoden gleichzeitig verwenden. Beispiel:
-
Sie können einen KMS zum Schutz von Appliance-Nodes verwenden und die Laufwerkssicherheitsfunktion in SANtricity System Manager zum „Doppelverschlüsseln“ von Daten auf den Self-Encrypting Drives in denselben Appliances verwenden.
-
Sie können ein KMS verwenden, um Daten auf Appliance-Nodes zu sichern, und die Option gespeicherte Objektverschlüsselung verwenden, um alle Objekte bei der Aufnahme zu verschlüsseln.
Wenn nur ein kleiner Teil Ihrer Objekte eine Verschlüsselung erfordern, sollten Sie stattdessen die Verschlüsselung auf Bucket- oder Objektebene kontrollieren. Durch die Aktivierung diverser Verschlüsselungsstufen entstehen zusätzliche Performance-Kosten.