Überprüfen Sie die Verschlüsselungsmethoden von StorageGRID
Änderungen vorschlagen
PDFs
StorageGRID bietet mehrere Optionen zum Verschlüsseln von Daten. Sie sollten die verfügbaren Methoden überprüfen, um festzustellen, welche Methoden Ihren Datenschutzanforderungen entsprechen.
Die Tabelle bietet eine allgemeine Zusammenfassung der in StorageGRID verfügbaren Verschlüsselungsmethoden.
| Verschlüsselungsoption | So funktioniert es | Gilt für: |
|---|---|---|
Schlüsselverwaltungsserver (KMS) im Grid Manager |
Du"Konfigurieren eines Schlüsselverwaltungsservers" für die StorageGRID -Site und "Aktivieren Sie die Knotenverschlüsselung für die Appliance" . Anschließend stellt ein Appliance-Knoten eine Verbindung zum KMS her, um einen Schlüsselverschlüsselungsschlüssel (KEK) anzufordern. Dieser Schlüssel verschlüsselt und entschlüsselt den Datenverschlüsselungsschlüssel (DEK) auf jedem Volume. |
Appliance-Knoten, bei denen während der Installation die Knotenverschlüsselung aktiviert wurde. Alle Daten auf dem Gerät sind vor physischem Verlust oder Entfernung aus dem Rechenzentrum geschützt. Hinweis: Die Verwaltung von Verschlüsselungsschlüsseln mit einem KMS wird nur für Speicherknoten und Service-Appliances unterstützt. |
Seite „Laufwerkverschlüsselung“ im StorageGRID Appliance Installer |
Wenn die Appliance Laufwerke enthält, die Hardwareverschlüsselung unterstützen, können Sie während der Installation eine Laufwerkspassphrase festlegen. Wenn Sie eine Laufwerkspassphrase festlegen, ist es für niemanden möglich, gültige Daten von Laufwerken wiederherzustellen, die aus dem System entfernt wurden, es sei denn, er kennt die Passphrase. Gehen Sie vor Beginn der Installation zu Hardware konfigurieren > Laufwerkverschlüsselung, um eine Laufwerkspassphrase festzulegen, die für alle von StorageGRID verwalteten, selbstverschlüsselnden Laufwerke in einem Knoten gilt. |
Geräte, die selbstverschlüsselnde Laufwerke enthalten. Alle Daten auf den gesicherten Laufwerken sind vor physischem Verlust oder Entfernung aus dem Rechenzentrum geschützt. Die Laufwerkverschlüsselung gilt nicht für von SANtricity verwaltete Laufwerke. Wenn Sie über ein Speichergerät mit selbstverschlüsselnden Laufwerken und SANtricity Controllern verfügen, können Sie die Laufwerkssicherheit in SANtricity aktivieren. |
Laufwerkssicherheit im SANtricity System Manager |
Wenn die Funktion „Laufwerksicherheit“ für Ihr StorageGRID Gerät aktiviert ist, können Sie "SANtricity Systemmanager" um den Sicherheitsschlüssel zu erstellen und zu verwalten. Der Schlüssel wird benötigt, um auf die Daten auf den gesicherten Laufwerken zuzugreifen. |
Speichergeräte mit Laufwerken mit vollständiger Festplattenverschlüsselung (FDE) oder selbstverschlüsselnden Laufwerken. Alle Daten auf den gesicherten Laufwerken sind vor physischem Verlust oder Entfernung aus dem Rechenzentrum geschützt. Kann nicht mit einigen Speichergeräten oder Servicegeräten verwendet werden. |
Gespeicherte Objektverschlüsselung |
Sie aktivieren die"Gespeicherte Objektverschlüsselung" Option im Grid Manager. Wenn diese Option aktiviert ist, werden alle neuen Objekte, die nicht auf Bucket- oder Objektebene verschlüsselt sind, während der Aufnahme verschlüsselt. |
Neu aufgenommene S3-Objektdaten. Vorhandene gespeicherte Objekte werden nicht verschlüsselt. Objektmetadaten und andere sensible Daten werden nicht verschlüsselt. |
S3-Bucket-Verschlüsselung |
Sie stellen eine PutBucketEncryption-Anforderung, um die Verschlüsselung für den Bucket zu aktivieren. Alle neuen Objekte, die nicht auf Objektebene verschlüsselt sind, werden während der Aufnahme verschlüsselt. |
Nur neu aufgenommene S3-Objektdaten. Für den Bucket muss eine Verschlüsselung angegeben werden. Vorhandene Bucket-Objekte werden nicht verschlüsselt. Objektmetadaten und andere sensible Daten werden nicht verschlüsselt. |
Serverseitige Verschlüsselung (SSE) für S3-Objekte |
Sie stellen eine S3-Anforderung zum Speichern eines Objekts und schließen die |
Nur neu aufgenommene S3-Objektdaten. Für das Objekt muss eine Verschlüsselung angegeben werden. Objektmetadaten und andere sensible Daten werden nicht verschlüsselt. StorageGRID verwaltet die Schlüssel. |
Serverseitige Verschlüsselung von S3-Objekten mit vom Kunden bereitgestellten Schlüsseln (SSE-C) |
Sie stellen eine S3-Anforderung zum Speichern eines Objekts und fügen drei Anforderungsheader ein.
|
Nur neu aufgenommene S3-Objektdaten. Für das Objekt muss eine Verschlüsselung angegeben werden. Objektmetadaten und andere sensible Daten werden nicht verschlüsselt. Schlüssel werden außerhalb von StorageGRID verwaltet. |
Externe Volume- oder Datenspeicherverschlüsselung |
Sie verwenden eine Verschlüsselungsmethode außerhalb von StorageGRID , um ein ganzes Volume oder einen ganzen Datenspeicher zu verschlüsseln, sofern Ihre Bereitstellungsplattform dies unterstützt. |
Alle Objektdaten, Metadaten und Systemkonfigurationsdaten, vorausgesetzt, jedes Volume oder jeder Datenspeicher ist verschlüsselt. Eine externe Verschlüsselungsmethode bietet eine strengere Kontrolle über Verschlüsselungsalgorithmen und Schlüssel. Kann mit den anderen aufgeführten Methoden kombiniert werden. |
Objektverschlüsselung außerhalb von StorageGRID |
Sie verwenden eine Verschlüsselungsmethode außerhalb von StorageGRID , um Objektdaten und Metadaten zu verschlüsseln, bevor sie in StorageGRID aufgenommen werden. |
Nur Objektdaten und Metadaten (Systemkonfigurationsdaten werden nicht verschlüsselt). Eine externe Verschlüsselungsmethode bietet eine strengere Kontrolle über Verschlüsselungsalgorithmen und Schlüssel. Kann mit den anderen aufgeführten Methoden kombiniert werden. |
Verwenden Sie mehrere Verschlüsselungsmethoden
Je nach Bedarf können Sie mehrere Verschlüsselungsmethoden gleichzeitig verwenden. Beispiel:
-
Sie können ein KMS zum Schutz von Appliance-Knoten verwenden und außerdem die Laufwerkssicherheitsfunktion im SANtricity System Manager nutzen, um Daten auf den selbstverschlüsselnden Laufwerken in denselben Appliances „doppelt zu verschlüsseln“.
-
Sie können ein KMS verwenden, um Daten auf Appliance-Knoten zu sichern, und außerdem die Option „Gespeicherte Objektverschlüsselung“ verwenden, um alle Objekte bei der Aufnahme zu verschlüsseln.
Wenn nur ein kleiner Teil Ihrer Objekte verschlüsselt werden muss, sollten Sie stattdessen die Steuerung der Verschlüsselung auf Bucket- oder Einzelobjektebene in Betracht ziehen. Das Aktivieren mehrerer Verschlüsselungsebenen geht mit zusätzlichen Leistungseinbußen einher.