Prepárese para usar la seguridad IP en la red ONTAP
Sugerir cambios
PDF
A partir de ONTAP 9.8, tiene la opción de usar la seguridad IP (IPsec) para proteger el tráfico de red. IPSec es una de las diversas opciones de cifrado de datos en movimiento o en tránsito disponibles con ONTAP. Debe prepararse para configurar IPsec antes de utilizarlo en un entorno de producción.
Implementación de seguridad IP en ONTAP
IPSec es un estándar de Internet mantenido por el IETF. Proporciona cifrado e integridad de datos, así como autenticación para el tráfico que fluye entre los extremos de red a nivel de IP.
Con ONTAP, IPsec protege todo el tráfico IP entre ONTAP y los distintos clientes, incluidos los protocolos NFS, SMB e iSCSI. Además de la privacidad y la integridad de los datos, el tráfico de red está protegido contra varios ataques, como los ataques de repetición y de intermediario. ONTAP utiliza la implantación del modo de transporte IPsec. Aprovecha la versión 2 del protocolo de intercambio de claves de Internet (IKE) para negociar el material clave entre ONTAP y los clientes utilizando IPv4 o IPv6.
Cuando la funcionalidad IPsec está habilitada en un cluster, la red necesita una o más entradas en la base de datos de políticas de seguridad de ONTAP (SPD) que coincidan con las distintas características del tráfico. Estas entradas se asignan a los detalles de protección específicos necesarios para procesar y enviar los datos (por ejemplo, conjunto de cifrado y método de autenticación). También es necesario introducir el SPD correspondiente en cada cliente.
Para ciertos tipos de tráfico, es preferible otra opción de cifrado de datos en movimiento. Por ejemplo, para el cifrado del tráfico de interconexión de clústeres y NetApp SnapMirror, por lo general se recomienda el protocolo de seguridad de la capa de transporte (TLS) en lugar de IPsec. Esto se debe a que TLS ofrece un mejor rendimiento en la mayoría de las situaciones.
Evolución de la implementación de ONTAP IPsec
IPsec se introdujo por primera vez en ONTAP 9.8. Su implementación ha seguido evolucionando en versiones posteriores de ONTAP , como se describe a continuación.
El soporte para la descarga de hardware IPsec se extiende a "grupos de agregación de enlaces" . "Claves precompartidas poscuánticas (PPK)" Son compatibles con la autenticación de claves precompartidas (PSK) de IPsec.
Varias de las operaciones criptográficas, como el cifrado y las comprobaciones de integridad, se pueden descargar en una tarjeta NIC admitida. Consulte Función de descarga de hardware IPSec para obtener más información.
La compatibilidad con el protocolo de host de interfaz IPSec está disponible en configuraciones FAS MetroCluster y MetroCluster IP. La compatibilidad de IPsec que se proporciona con los clústeres de MetroCluster se limita al tráfico del host de interfaz de usuario y no es compatible con las LIF de interconexión de clústeres de MetroCluster.
Se pueden usar certificados para la autenticación IPsec, además de las claves de acceso predefinido (PSK). Antes de ONTAP 9.10.1, solo se admitían las PSK para la autenticación.
Los algoritmos de cifrado utilizados por IPsec son validados por FIPS 140-2. Estos algoritmos son procesados por el módulo criptográfico de NetApp en ONTAP, que lleva la validación FIPS 140-2.
La compatibilidad con IPsec está disponible inicialmente en función de la implementación del modo de transporte.
Función de descarga de hardware IPSec
Si utiliza ONTAP 9.16,1 o posterior, tiene la opción de descargar ciertas operaciones de uso intensivo computacional, como el cifrado y las comprobaciones de integridad, a una tarjeta de controladora de interfaz de red (NIC) instalada en el nodo de almacenamiento. El rendimiento de las operaciones descargadas en la tarjeta NIC es aproximadamente del 5% o menos. Esto puede mejorar significativamente el rendimiento y el rendimiento del tráfico de red protegido por IPsec.
Requisitos y recomendaciones
Hay varios requisitos que debe tener en cuenta antes de utilizar la función de descarga de hardware IPsec.
Debe instalar y usar únicamente tarjetas Ethernet compatibles. Las siguientes tarjetas Ethernet son compatibles a partir de ONTAP 9.16.1:
-
X50131A (controladora Ethernet 2P, 40G/100g/200g/400G)
-
X60132A (controlador Ethernet 4p, 10G/25G)
ONTAP 9.17.1 agrega soporte para las siguientes tarjetas Ethernet:
-
X50135A (controlador Ethernet 2p, 40G/100G)
-
X60135A (controlador Ethernet 2p, 40G/100G)
Las tarjetas X50131A y X50135A son compatibles con las siguientes plataformas:
-
ASA A1K
-
ASA A90
-
ASA A70
-
AFF A1K
-
AFF A90
-
AFF A70
Las tarjetas X60132A y X60135A son compatibles con las siguientes plataformas:
-
ASA A50
-
ASA A30
-
ASA A20
-
AFF A50
-
AFF A30
-
AFF A20
Ver el "NetApp Hardware Universe" para obtener más información sobre las plataformas y tarjetas compatibles.
La función de descarga de hardware IPsec se configura globalmente para el cluster. Así que, por ejemplo, el comando security ipsec config se aplica a todos los nodos del clúster.
Las tarjetas NIC admitidas deben instalarse en todos los nodos del clúster. Si solo hay disponible una tarjeta NIC compatible en algunos de los nodos, puede ver una degradación del rendimiento significativa tras una conmutación al nodo de respaldo si algunas de las LIF no están alojadas en una NIC compatible con la descarga.
Debe desactivar la protección antireproducción IPsec en ONTAP (configuración predeterminada) y los clientes IPsec. Si no está desactivada, la fragmentación y la multiruta (ruta redundante) no serán compatibles.
Si la configuración de IPsec de ONTAP se ha cambiado de la predeterminada para activar la protección contra la reproducción, utilice este comando para desactivarla:
security ipsec config modify -replay-window 0Debe asegurarse de que la protección contra la reproducción IPsec está desactivada en el cliente. Consulte la documentación IPsec de su cliente para desactivar la protección contra la reproducción.
Limitaciones
Hay varias limitaciones que debe considerar antes de usar la función de descarga de hardware IPsec.
IPv6 no es compatible con la función de descarga de hardware de IPsec. Solo es compatible con la implementación de software de IPsec.
Los números de secuencia extendida IPsec no son compatibles con la función de descarga de hardware. Solo se utilizan los números de secuencia normales de 32 bits.
A partir de ONTAP 9.17.1, puede utilizar la función de descarga de hardware de IPsec con un "grupo de agregación de enlaces" .
Antes de la versión 9.17.1, la función de descarga de hardware de IPsec no admitía la agregación de enlaces. No se puede utilizar con una interfaz o un grupo de agregación de enlaces administrados a través de network port ifgrp comandos en la CLI de ONTAP .
Compatibilidad con la configuración de la interfaz de línea de comandos de ONTAP
Tres comandos CLI existentes se actualizan en ONTAP 9.16,1 para admitir la función de descarga de hardware IPsec como se describe a continuación. Consulte también "Configure la seguridad IP en ONTAP"para obtener más información.
| Comando ONTAP | Actualizar |
|---|---|
|
El parámetro booleano |
|
El parámetro |
|
Se han agregado cuatro contadores nuevos para mostrar el tráfico entrante y saliente en bytes y paquetes. |
Soporte de configuración en la API de REST DE ONTAP
Dos extremos de API REST existentes se actualizan en ONTAP 9.16,1 para admitir la función de descarga de hardware IPsec como se describe a continuación.
| Extremo de REST | Actualizar |
|---|---|
|
El parámetro |
|
Se han agregado dos nuevos valores de contador para realizar un seguimiento del total de bytes y paquetes procesados por la función de descarga. |
Obtenga más información sobre la API de REST DE ONTAP, incluida "Novedades de la API de REST DE ONTAP", en la documentación de automatización de ONTAP. También debe revisar la documentación de automatización de ONTAP para obtener detalles sobre "Puntos finales IPSec".