Cifrado de datos en tránsito IPsec
Los clientes que usan tecnologías de cifrado de datos en reposo como el cifrado del almacenamiento de NetApp (NSE) o el cifrado de volúmenes de NetApp (NVE) y el cifrado de paridad de clústeres (CPE) para el tráfico de replicación de datos ahora pueden utilizar el cifrado de extremo a extremo entre el cliente y el almacenamiento en su estructura de datos multicloud híbrida actualizando a ONTAP 9,8 o versiones posteriores, y utilizando IPSec. IPSec ofrece una alternativa al cifrado NFS o SMB/CIFS y es la única opción de cifrado en tránsito para el tráfico iSCSI.
En algunas situaciones, es posible que haya un requisito de proteger todos los datos de clientes transportados a través del cable (o en tránsito) hacia la SVM de ONTAP. De este modo, se evita la repetición y los ataques maliciosos de intermediario contra datos confidenciales mientras están en movimiento.
A partir de ONTAP 9,8, el protocolo de seguridad de Internet (IPsec) ofrece compatibilidad con cifrado integral para todo el tráfico IP entre un cliente y una SVM de ONTAP. El cifrado de datos IPSec para todo el tráfico IP incluye protocolos NFS, iSCSI y SMB/CIFS. IPSec proporciona la única opción de cifrado en vuelo para el tráfico iSCSI.
Proporcionar cifrado NFS por cable es uno de los casos de uso principales de IPsec. Antes de ONTAP 9,8, el cifrado por cable NFS requería la configuración y la configuración de Kerberos para utilizar krb5p para cifrar datos NFS en tránsito. No siempre es sencillo ni fácil de lograr en todos los entornos del cliente.
Los clientes que usan tecnologías de cifrado de datos en reposo como el cifrado del almacenamiento de NetApp (NSE) o el cifrado de volúmenes de NetApp (NVE) y el cifrado de paridad de clústeres (CPE) para el tráfico de replicación de datos ahora pueden utilizar el cifrado de extremo a extremo entre el cliente y el almacenamiento en su estructura de datos multicloud híbrida actualizando a ONTAP 9,8 o versiones posteriores, y utilizando IPSec.
IPSec es un estándar IETF. ONTAP utiliza IPsec en modo de transporte. También aprovecha la versión 2 del protocolo de intercambio de claves de Internet (IKE), que utiliza una clave precompartida (PSK) para negociar material clave entre el cliente y ONTAP con IPv4 o IPv6. De forma predeterminada, IPsec utiliza el cifrado Suite-B AES-GCM de 256 bits. Suite-B AES-GMAC256 y AES-CBC256 con cifrado de 256 bits también son compatibles.
Aunque la funcionalidad IPsec debe estar habilitada en el clúster, se aplica a direcciones IP de SVM individuales mediante el uso de una entrada de base de datos de política de seguridad (SPD). La entrada de directiva (SPD) contiene la dirección IP del cliente (subred IP remota), la dirección IP de SVM (subred IP local), el conjunto de cifrado que se va a utilizar y el secreto precompartido (PSK) necesario para autenticarse a través de IKEv2 y establecer la conexión IPsec. Además de la entrada de directiva IPsec, el cliente debe configurarse con la misma información (IP local y remota, PSK y conjunto de cifrado) antes de que el tráfico pueda fluir a través de la conexión IPsec. A partir de ONTAP 9.10.1, se añade el soporte de autenticación de certificados IPsec. Esto elimina los límites de la política IPsec y activa el soporte del sistema operativo Windows para IPsec.
Si hay un firewall entre el cliente y la dirección IP de SVM, debe permitir los protocolos ESP y UDP (puertos 500 y 4500), tanto de entrada (entrada) como de salida (salida), para que la negociación IKEv2 se realice correctamente y, por lo tanto, permita el tráfico IPsec.
Para el cifrado de tráfico de paridad de clústeres y SnapMirror de NetApp, se recomienda el cifrado de pares de clústeres (CPE) en IPsec para garantizar una seguridad en tránsito por la red. CPE tiene un mejor rendimiento para estas cargas de trabajo que IPsec. No necesita una licencia para IPsec y no hay restricciones de importación o exportación.
Puede habilitar IPsec en el clúster y crear una entrada SPD para un único cliente y una única dirección IP SVM, como se muestra en el siguiente ejemplo:
On the Destination Cluster Peer cluster1::> security ipsec config modify -is-enabled true cluster1::> security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 When prompted enter and confirm the pre shared secret (PSK).