Skip to main content
ONTAP Technical Reports
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cifrado de la replicación de datos

Colaboradores netapp-dbagwell netapp-chrisgeb
PDF

Para complementar el cifrado de datos en reposo, puedes cifrar el tráfico de replicación de datos de ONTAP entre clústeres usando TLS con una clave precompartida para SnapMirror, SnapVault o FlexCache.

Al replicar datos para recuperación ante desastres, almacenamiento en caché o backup, debe proteger esos datos durante el transporte por el cable de un clúster de ONTAP a otro. De este modo, se evitan ataques maliciosos de tipo man-in-the-middle contra datos confidenciales mientras están en movimiento.

A partir de ONTAP 9.6, el cifrado de cluster peering proporciona soporte de cifrado TLS 1.2 AES-256 GCM para las funciones de replicación de datos de ONTAP como SnapMirror, SnapVault y FlexCache. El cifrado se configura mediante una clave precompartida (PSK) entre dos cluster peers.

A partir de ONTAP 9.15.1, el cifrado de cluster peering proporciona compatibilidad con el cifrado TLS 1.3 AES-256 GCM para las funciones de replicación de datos de ONTAP, como SnapMirror, SnapVault y FlexCache. El cifrado se configura mediante una clave precompartida (PSK) entre dos cluster peers.

Los clientes que usan tecnologías como NSE, NVE y NAE para proteger los datos en reposo también pueden usar el cifrado de datos de extremo a extremo actualizando a ONTAP 9.6 o posterior para usar el cifrado de clúster peering.

El cluster peering cifra todos los datos entre los cluster peers. Por ejemplo, cuando usas SnapMirror, toda la información de peering y todas las relaciones SnapMirror entre el clúster de origen y el clúster de destino están cifradas. No puedes enviar datos en texto claro entre cluster peers si tienes activado el cifrado de cluster peering.

A partir de ONTAP 9.6, las nuevas relaciones entre iguales de clúster tienen el cifrado activado por defecto. Para activar el cifrado en las relaciones entre iguales de clúster que se crearon antes de ONTAP 9.6, debes actualizar el clúster de origen y el clúster de destino a 9.6. Además, debes usar el comando cluster peer modify para cambiar tanto los clústeres de origen como los de destino para que utilicen el cifrado de relaciones entre iguales de clúster.

Puedes convertir una relación entre iguales existente para usar el cifrado de clústeres en ONTAP 9.6 como se muestra en el siguiente ejemplo:

On the destination cluster peer:

cluster2::> cluster peer modify cluster1 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter a passphrase.

On the source cluster peer:

cluster1::> cluster peer modify cluster2 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter the same passphrase you created in the previous step.