Seguridad
Cloud Volumes ONTAP admite el cifrado de datos y proporciona protección contra virus y ransomware.
Cifrado de datos en reposo
Cloud Volumes ONTAP admite las siguientes tecnologías de cifrado:
-
Soluciones de cifrado de NetApp (NVE y NAE)
-
Servicio de gestión de claves de AWS
-
Cifrado del servicio de almacenamiento de Azure
-
Cifrado predeterminado de la plataforma Google Cloud
Puede usar las soluciones de cifrado de NetApp con el cifrado nativo del proveedor de cloud, que cifra los datos a nivel de hipervisor. De esta manera, se proporcionaría un cifrado doble, que puede resultar deseable para datos muy confidenciales. Cuando se accede a los datos cifrados, se descifra dos veces: Una a nivel de hipervisor (mediante claves del proveedor de cloud) y, a continuación, se utilizan de nuevo soluciones de cifrado de NetApp (mediante claves de un gestor de claves externo).
Soluciones de cifrado de NetApp (NVE y NAE)
Cloud Volumes ONTAP admite "Cifrado de volúmenes de NetApp (NVE) y cifrado de agregados de NetApp (NAE)". NVE y NAE son soluciones basadas en software que permiten (FIPS) cifrado de volúmenes para datos en reposo conforme a la normativa 140-2. Tanto NVE como NAE utilizan el cifrado AES de 256 bits.
-
NVE cifra los datos en reposo un volumen por vez. Cada volumen de datos tiene su propia clave de cifrado única.
-
NAE es una extensión de NVE: Cifra los datos para cada volumen y los volúmenes comparten una clave en todo el agregado. NAE también permite deduplicar bloques comunes en todos los volúmenes del agregado.
Tanto NVE como NAE son compatibles con un gestor de claves externo.
] endif::azure[] ifdef::gcp[] endif::gcp[
Los nuevos agregados tienen habilitado el cifrado de agregados de NetApp (NAE) de forma predeterminada tras la configuración de un gestor de claves externo. Los volúmenes nuevos que no forman parte de un agregado de NAE tendrán habilitado el cifrado de volúmenes de NetApp (NVE) de forma predeterminada (por ejemplo, si tiene agregados existentes que se crearon antes de configurar un gestor de claves externo).
La configuración de un gestor de claves compatible es el único paso necesario. Para obtener instrucciones de configuración, consulte "Cifrar volúmenes con soluciones de cifrado de NetApp".
Servicio de gestión de claves de AWS
Cuando inicia un sistema Cloud Volumes ONTAP en AWS, puede habilitar el cifrado de datos mediante el "Servicio de gestión de claves AWS (KMS)". BlueXP solicita claves de datos utilizando una clave maestra de cliente (CMK).
No puede cambiar el método de cifrado de datos de AWS después de crear un sistema Cloud Volumes ONTAP. |
Si desea usar esta opción de cifrado, debe asegurarse de que el KMS de AWS esté configurado adecuadamente. Para obtener más información, consulte "Configuración de AWS KMS".
Cifrado del servicio de almacenamiento de Azure
Los datos se cifran automáticamente en Cloud Volumes ONTAP en Azure mediante "Cifrado del servicio de almacenamiento de Azure" una clave gestionada por Microsoft.
Puede utilizar sus propias claves de cifrado si lo prefiere. "Aprenda a configurar Cloud Volumes ONTAP para que use una clave gestionada por el cliente en Azure".
Cifrado predeterminado de la plataforma Google Cloud
"Cifrado de datos en reposo de la plataforma Google Cloud" Está habilitado de forma predeterminada para Cloud Volumes ONTAP. No se requiere configuración.
Mientras Google Cloud Storage siempre cifra sus datos antes de que se escriban en un disco, puede utilizar las API de BlueXP para crear un sistema Cloud Volumes ONTAP que utilice claves de cifrado gestionadas por el cliente. Estas son claves que genera y gestiona en GCP mediante el servicio Cloud Key Management Service. "Leer más".
Detección de virus de ONTAP
Puede utilizar la funcionalidad antivirus integrada en los sistemas ONTAP para proteger los datos frente a amenazas de virus u otro código malintencionado.
El análisis de virus de ONTAP, denominado Vscan, combina el mejor software antivirus de terceros con funciones de ONTAP que le proporcionan la flexibilidad que necesita para controlar qué archivos se analizan y cuándo.
Para obtener información sobre los proveedores, el software y las versiones compatibles con Vscan, consulte la "Matriz de interoperabilidad de NetApp".
Para obtener información acerca de cómo configurar y administrar la funcionalidad antivirus en los sistemas ONTAP, consulte la "Guía de configuración de antivirus de ONTAP 9".
Protección contra ransomware
Los ataques de ransomware pueden suponer un coste comercial, recursos y reputación. BlueXP le permite implementar la solución de NetApp para el ransomware, que proporciona herramientas eficaces para la visibilidad, la detección y la corrección.
-
BlueXP identifica los volúmenes que no están protegidos por una política de Snapshot y le permite activar la política de Snapshot predeterminada en dichos volúmenes.
Las copias Snapshot son de solo lectura, lo que evita que se dañen el ransomware. También pueden proporcionar granularidad para crear imágenes de una sola copia de archivos o una solución completa de recuperación tras desastres.
-
BlueXP también le permite bloquear extensiones de archivos ransomware comunes mediante la solución FPolicy de ONTAP.