Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure la información general de cifrado de volúmenes de NetApp

Colaboradores

El cifrado de volúmenes de NetApp (NVE) es una tecnología basada en software para cifrar datos en reposo un volumen por vez. Una clave de cifrado a la que solo se puede acceder el sistema de almacenamiento garantiza que los datos de volumen no se puedan leer si el dispositivo subyacente se reasigna, se devuelve, se pierde o es robado.

Comprender NVE

Con NVE, tanto los metadatos como los datos (incluidas las copias Snapshot) están cifrados. El acceso a los datos se proporciona mediante una clave XTS-AES-256 exclusiva, una por volumen. Un servidor de gestión de claves externo o un gestor de claves incorporado (OKM) proporciona claves a los nodos:

  • El servidor de gestión de claves externo es un sistema de terceros en el entorno de almacenamiento que proporciona claves a los nodos mediante el protocolo de interoperabilidad de gestión de claves (KMIP). Se recomienda configurar servidores de gestión de claves externos a partir de sus datos en un sistema de almacenamiento diferente.

  • El gestor de claves incorporado es una herramienta integrada que proporciona claves para nodos desde el mismo sistema de almacenamiento que los datos.

A partir de ONTAP 9.7, el cifrado de volúmenes y agregados se habilita de forma predeterminada si se dispone de una licencia de cifrado de volúmenes (ve) y se usa un gestor de claves incorporado o externo. La licencia VE se incluye con "ONTAP One". Siempre que se configure un gestor de claves externo o incorporado, habrá un cambio en el modo en que la configuración del cifrado de datos en reposo está establecida para los agregados y volúmenes totalmente nuevos. Los nuevos agregados tendrán activado de forma predeterminada el cifrado de agregados de NetApp (NAE). Los volúmenes nuevos que no forman parte de un agregado de NAE tendrán habilitado el cifrado de volúmenes de NetApp (NVE), de forma predeterminada. Si una máquina virtual de almacenamiento de datos (SVM) está configurada con su propio gestor de claves mediante la gestión de claves multi-tenant, el volumen creado para esa SVM se configura automáticamente con NVE.

Puede habilitar el cifrado en un volumen nuevo o existente. NVE es compatible con toda la gama de funciones de eficiencia del almacenamiento, incluidas la deduplicación y la compresión. A partir de ONTAP 9.14.1, puede hacerlo Habilite NVE en los volúmenes raíz de la SVM existentes.

Nota Si utiliza SnapLock, puede habilitar el cifrado solo en volúmenes de SnapLock nuevos y vacíos. No puede habilitar el cifrado en un volumen de SnapLock existente.

Es posible utilizar el NVE en cualquier tipo de agregado (HDD, SSD, híbrido, LUN de cabina), con cualquier tipo de RAID y en cualquier implementación de ONTAP compatible, incluido ONTAP Select. También puede utilizar NVE con cifrado basado en hardware para «doble cifrado» de datos en unidades con autocifrado.

Cuando NVE está habilitado, el volcado de memoria también se cifra.

Cifrado a nivel de agregado

Normalmente, a cada volumen cifrado se le asigna una clave única. Cuando se elimina el volumen, la clave se elimina con él.

A partir de ONTAP 9.6, puede usar NetApp Aggregate Encryption (NAE) para asignar claves al agregado que contiene los volúmenes que se van a cifrar. Cuando se elimina un volumen cifrado, se conservan las claves del agregado. Las claves se eliminan si se elimina todo el agregado.

Debe utilizar el cifrado a nivel de agregado si tiene pensado realizar deduplicación en línea o en segundo plano a nivel de agregado. De lo contrario, NVE no admite la deduplicación a nivel de agregado.

A partir de ONTAP 9.7, el cifrado de volúmenes y agregados se habilita de forma predeterminada si se dispone de una licencia de cifrado de volúmenes (ve) y se usa un gestor de claves incorporado o externo.

Los volúmenes NVE y NAE pueden coexistir en el mismo agregado. Los volúmenes cifrados con el cifrado a nivel de agregado son, de forma predeterminada, los volúmenes NAE. Puede anular el valor predeterminado al cifrar el volumen.

Puede utilizar el volume move Comando para convertir un volumen NVE en un volumen NAE y viceversa. Es posible replicar un volumen NAE en un volumen NVE.

No puede utilizar secure purge Comandos en un volumen NAE.

Cuándo usar servidores de gestión de claves externos

Aunque es menos caro y, en general, más práctico para usar el gestor de claves incorporado, debe configurar los servidores KMIP si se da alguna de las siguientes situaciones:

  • Su solución de gestión de claves de cifrado debe cumplir con el estándar de procesamiento de información federal (FIPS) 140-2 o el estándar KMIP DE OASIS.

  • Necesita una solución de varios clústeres con gestión centralizada de las claves de cifrado.

  • Su empresa requiere una seguridad añadida para almacenar claves de autenticación en un sistema o en una ubicación distinta de los datos.

Ámbito de la gestión de claves externas

El alcance de la gestión de claves externas determina si los servidores de gestión de claves protegen todas las SVM del clúster o solo las SVM seleccionadas:

  • Puede usar un cluster scope a fin de configurar la gestión de claves externas para todas las SVM del clúster. El administrador de clúster tiene acceso a todas las claves almacenadas en los servidores.

  • A partir de ONTAP 9.6, se puede usar un SVM Scope para configurar la gestión de claves externas para una SVM con nombre en el clúster. Esto es mejor para entornos multi-tenant en los que cada inquilino usa una SVM (o un conjunto de SVM) diferente para servir datos. Solo el administrador de SVM para un inquilino determinado tiene acceso a las claves de ese inquilino.

  • A partir de ONTAP 9.10.1, se puede utilizar Azure Key Vault y Google Cloud KMS Para proteger las claves NVE solo para SVM de datos. Está disponible para el KMS de AWS a partir de 9.12.0.

Puede utilizar ambos ámbitos en el mismo clúster. Si se configuraron servidores de gestión de claves para una SVM, ONTAP solo usa esos servidores para proteger las claves. De lo contrario, ONTAP protege las claves con los servidores de gestión de claves configurados para el clúster.

Hay disponible una lista de los gestores de claves externos validados en la "Herramienta de matriz de interoperabilidad de NetApp (IMT)". Puede encontrar esta lista introduciendo el término «gestores clave» en la función de búsqueda de IMT.

Detalles de soporte

En la siguiente tabla se muestran los detalles de soporte de NVE:

Recurso o característica

Detalles de soporte

Plataformas

Se requiere capacidad de descarga de AES-ni. Consulte Hardware Universe (HWU) para verificar que NVE y NAE son compatibles con su plataforma.

Cifrado

A partir de ONTAP 9.7, los agregados y volúmenes recién creados se cifran de forma predeterminada cuando se añade una licencia de cifrado de volúmenes (ve) y se configura un gestor de claves externo o integrado. Si necesita crear un agregado no cifrado, utilice el siguiente comando:

storage aggregate create -encrypt-with-aggr-key false

Si necesita crear un volumen de texto sin formato, utilice el siguiente comando:

volume create -encrypt false

El cifrado no está activado de forma predeterminada si:

  • LA licencia VE no está instalada.

  • El gestor de claves no está configurado.

  • La plataforma o el software no admiten el cifrado.

  • El cifrado de hardware está activado.

ONTAP

Todas las implementaciones de ONTAP. La compatibilidad con ONTAP Cloud está disponible en ONTAP 9.5 y versiones posteriores.

Dispositivos

HDD, SSD, híbrido, LUN de cabina.

RAID

RAID0, RAID4, RAID-DP, RAID-TEC.

Volúmenes

Volúmenes de datos y volúmenes raíz de SVM existentes. No se pueden cifrar datos en volúmenes de metadatos de MetroCluster. En versiones de ONTAP anteriores a 9.14.1, no se pueden cifrar datos en el volumen raíz de la SVM con NVE. A partir de ONTAP 9.14.1, ONTAP admite NVE en volúmenes raíz de SVM.

Cifrado a nivel de agregado

A partir de ONTAP 9.6, NVE admite el cifrado a nivel de agregado (NAE):

  • Debe utilizar el cifrado a nivel de agregado si tiene pensado realizar deduplicación en línea o en segundo plano a nivel de agregado.

  • No se puede volver a introducir la clave de un volumen de cifrado en el nivel de un agregado.

  • La opción de purga segura no es compatible con los volúmenes de cifrado a nivel de agregado.

  • Además de los volúmenes de datos, NAE admite el cifrado de volúmenes raíz de SVM y el volumen de metadatos de MetroCluster. NAE no admite el cifrado del volumen raíz.

Alcance de SVM

A partir de ONTAP 9.6, NVE admite el ámbito de SVM solo para la gestión de claves externas, no para el gestor de claves incorporado. MetroCluster es compatible a partir de ONTAP 9.8.

Eficiencia del almacenamiento

Deduplicación, compresión, compactación, FlexClone.

Los clones utilizan la misma clave que el elemento principal, incluso después de dividir el clon del elemento principal. Debe realizar un volume move en un clon dividido, después del cual el clon dividido tendrá una clave diferente.

Replicación

  • Para la replicación de volúmenes, los volúmenes de origen y destino pueden tener diferentes configuraciones de cifrado. El cifrado se puede configurar para el origen y sin configurar para el destino, y viceversa. El cifrado configurado en el origen no se replicará en el destino. El cifrado debe configurarse manualmente en el origen y el destino. Consulte Configure NVEy.Cifre datos de volúmenes con NVE

  • Para la replicación de SVM, el volumen de destino se cifra automáticamente, a menos que el destino no contenga un nodo compatible con el cifrado de volúmenes, en cuyo caso la replicación se realice correctamente, pero el volumen de destino no está cifrado.

  • Para las configuraciones de MetroCluster, cada clúster extrae claves de gestión de claves externas de sus servidores de claves configurados. El servicio de replicación de configuración replica las claves de OKM al sitio del partner.

Cumplimiento de normativas

A partir de ONTAP 9.2, SnapLock es compatible en los modos Compliance y Enterprise, sólo para nuevos volúmenes. No puede habilitar el cifrado en un volumen de SnapLock existente.

FlexGroups

A partir de ONTAP 9.2, los FlexGroup son compatibles. Los agregados de destino deben tener el mismo tipo que los agregados de origen, ya sea a nivel de volumen o de agregado. A partir de ONTAP 9.5, se admite la reclave sin movimiento de volúmenes FlexGroup.

Transición de 7-Mode

A partir de 7-Mode Transition Tool 3.3, puede utilizar la CLI de 7-Mode Transition Tool para realizar una transición basada en copias a los volúmenes de destino habilitados para NVE en el sistema en clúster.