Revisión de los métodos de cifrado StorageGRID
StorageGRID proporciona una serie de opciones para cifrar datos. Debe revisar los métodos disponibles para determinar qué métodos cumplen sus requisitos de protección de datos.
La tabla proporciona un resumen de alto nivel de los métodos de cifrado disponibles en StorageGRID.
Opción de cifrado | Cómo funciona | Se aplica a. |
---|---|---|
Servidor de gestión de claves (KMS) en Grid Manager |
Configure un servidor de administración de claves para el sitio StorageGRID (Configuración > Configuración del sistema > servidor de administración de claves) y active el cifrado de nodos para el dispositivo. A continuación, un nodo de dispositivo se conecta al KMS para solicitar una clave de cifrado (KEK). Esta clave cifra y descifra la clave de cifrado de datos (DEK) en cada volumen. |
Nodos de dispositivo con cifrado de nodos activado durante la instalación. Todos los datos del dispositivo están protegidos frente a la pérdida física o la eliminación del centro de datos. Se puede usar con algunos dispositivos de almacenamiento y servicios de StorageGRID. |
Drive Security en SANtricity System Manager |
Si la función Drive Security está habilitada para un dispositivo de almacenamiento, es posible usar SANtricity System Manager para crear y gestionar la clave de seguridad. Se requiere la clave para acceder a los datos en las unidades seguras. |
Dispositivos de almacenamiento con unidades de cifrado de disco completo (FDE) o unidades de estándar de procesamiento de información federal (FIPS). Todos los datos de las unidades seguras están protegidos frente a la pérdida física o eliminación del centro de datos. No se puede utilizar con algunos dispositivos de almacenamiento ni con ningún dispositivo de servicio. |
Opción de cuadrícula de cifrado de objetos almacenados |
La opción cifrado de objetos almacenados se puede habilitar en Grid Manager (Configuración > Configuración del sistema > Opciones de cuadrícula). Cuando se habilita esta opción, todos los objetos nuevos que no se cifran a nivel de bloque o de objeto se cifran durante el procesamiento. |
Los datos de objetos S3 y Swift recién ingeridos.los objetos almacenados existentes no se cifran. Los metadatos de objetos y otros datos confidenciales no se cifran. |
Cifrado de bloques de S3 |
Se emite una solicitud DE cifrado PUT Bucket para habilitar el cifrado en el bloque. Los objetos nuevos que no se cifren en el nivel de objeto se cifran durante el procesamiento. |
Solo datos de objetos S3 procesados recientemente.se debe especificar el cifrado para el bloque. Los objetos de bloque existentes no están cifrados. Los metadatos de objetos y otros datos confidenciales no se cifran. |
Cifrado del lado del servidor de objetos S3 (SSE) |
Se emite una solicitud de S3 para almacenar un objeto e incluir el |
Solo datos de objetos S3 procesados recientemente.se debe especificar el cifrado para el objeto. Los metadatos de objetos y otros datos confidenciales no se cifran. StorageGRID gestiona las claves. |
Cifrado del lado del servidor de objetos S3 con claves proporcionadas por el cliente (SSE-C) |
Se emite una solicitud S3 para almacenar un objeto e incluir tres encabezados de solicitud.
|
Solo datos de objetos S3 procesados recientemente.se debe especificar el cifrado para el objeto. Los metadatos de objetos y otros datos confidenciales no se cifran. Las claves se gestionan fuera de StorageGRID. |
Cifrado de volúmenes o almacenes de datos externos |
Si la plataforma de implementación lo admite, puede utilizar un método de cifrado fuera de StorageGRID para cifrar un volumen o almacén de datos completo. |
Todos los datos de objetos, metadatos y datos de configuración del sistema, suponiendo que se cifre cada volumen o almacén de datos. Un método de cifrado externo proporciona un control más estricto sobre los algoritmos y claves de cifrado. Se puede combinar con los otros métodos enumerados. |
Cifrado de objetos fuera de StorageGRID |
Se utiliza un método de cifrado fuera de StorageGRID para cifrar los metadatos y los datos de objetos antes de que se ingieran en StorageGRID. |
Solo datos de objetos y metadatos (los datos de configuración del sistema no están cifrados). Un método de cifrado externo proporciona un control más estricto sobre los algoritmos y claves de cifrado. Se puede combinar con los otros métodos enumerados. |
Utilizando varios métodos de cifrado
En función de los requisitos, puede utilizar más de un método de cifrado a la vez. Por ejemplo:
-
Puede utilizar un KMS para proteger los nodos de dispositivos y también para usar la función de seguridad de unidades de System Manager de SANtricity a fin de «doble cifrado» de datos de las unidades de autocifrado de los mismos dispositivos.
-
Puede usar un KMS para proteger los datos en los nodos del dispositivo y también puede usar la opción de cuadrícula de cifrado de objetos almacenados para cifrar todos los objetos cuando se ingieren.
Si solo una pequeña parte de los objetos requiere cifrado, considere la posibilidad de controlar el cifrado en el nivel de bloque o de objeto individual. Habilitar varios niveles de cifrado tiene un coste de rendimiento adicional.