Consulte los métodos de cifrado de StorageGRID
StorageGRID ofrece varias opciones para el cifrado de datos. Debe revisar los métodos disponibles para determinar qué métodos cumplen sus requisitos de protección de datos.
La tabla proporciona un resumen de alto nivel de los métodos de cifrado disponibles en StorageGRID.
Opción de cifrado | Cómo funciona | Se aplica a. | ||
---|---|---|---|---|
Servidor de gestión de claves (KMS) en Grid Manager |
Usted "configurar un servidor de gestión de claves" Para el sitio de StorageGRID y. "habilite el cifrado de nodos para el dispositivo". A continuación, un nodo de dispositivo se conecta al KMS para solicitar una clave de cifrado (KEK). Esta clave cifra y descifra la clave de cifrado de datos (DEK) en cada volumen. |
Nodos de dispositivo con cifrado de nodos activado durante la instalación. Todos los datos del dispositivo están protegidos frente a la pérdida física o la eliminación del centro de datos.
|
||
Drive Security en SANtricity System Manager |
Si la función Drive Security está habilitada para un dispositivo de almacenamiento SG5700 o SG6000, es posible usar "System Manager de SANtricity" para crear y gestionar la clave de seguridad. Se requiere la clave para acceder a los datos en las unidades seguras. |
Los dispositivos de almacenamiento que tienen unidades de cifrado de disco completo (FDE) o FIPS. Todos los datos de las unidades seguras están protegidos frente a la pérdida física o eliminación del centro de datos. No se puede usar con algunos dispositivos de almacenamiento ni con ningún dispositivo de servicio. |
||
Cifrado de objetos almacenados |
Puede activar el "Cifrado de objetos almacenados" En Grid Manager. Cuando se habilita, todos los objetos nuevos que no se cifren a nivel de bucket o de objeto se cifran durante la ingesta. |
Datos de objetos S3 y Swift recientemente procesados. Los objetos almacenados existentes no están cifrados. Los metadatos de los objetos y otros datos confidenciales no están cifrados. |
||
Cifrado de bloques de S3 |
Se emite una solicitud DE cifrado PUT Bucket para habilitar el cifrado en el bloque. Todos los objetos nuevos que no se cifren en el nivel de objeto se cifran durante la ingesta. |
Solo datos de objetos S3 procesados recientemente. Debe especificarse el cifrado para el bloque. Los objetos de cubo existentes no están cifrados. Los metadatos de los objetos y otros datos confidenciales no están cifrados. |
||
Cifrado del lado del servidor de objetos S3 (SSE) |
Se emite una solicitud de S3 para almacenar un objeto e incluir el |
Solo datos de objetos S3 procesados recientemente. Se debe especificar el cifrado para el objeto. Los metadatos de los objetos y otros datos confidenciales no están cifrados. StorageGRID gestiona las claves. |
||
Cifrado del lado del servidor de objetos S3 con claves proporcionadas por el cliente (SSE-C) |
Se emite una solicitud S3 para almacenar un objeto e incluir tres encabezados de solicitud.
|
Solo datos de objetos S3 procesados recientemente. Se debe especificar el cifrado para el objeto. Los metadatos de los objetos y otros datos confidenciales no están cifrados. Las claves se gestionan fuera de StorageGRID. |
||
Cifrado de volúmenes o almacenes de datos externos |
Si la plataforma de implementación lo admite, puede utilizar un método de cifrado fuera de StorageGRID para cifrar un volumen o almacén de datos completo. |
Todos los datos de objetos, metadatos y datos de configuración del sistema, suponiendo que se cifre cada volumen o almacén de datos. Un método de cifrado externo proporciona un control más estricto sobre los algoritmos y claves de cifrado. Se puede combinar con los otros métodos enumerados. |
||
Cifrado de objetos fuera de StorageGRID |
Se utiliza un método de cifrado fuera de StorageGRID para cifrar los metadatos y los datos de objetos antes de que se ingieran en StorageGRID. |
Solo datos de objetos y metadatos (los datos de configuración del sistema no están cifrados). Un método de cifrado externo proporciona un control más estricto sobre los algoritmos y claves de cifrado. Se puede combinar con los otros métodos enumerados. |
Utilice varios métodos de cifrado
En función de los requisitos, puede utilizar más de un método de cifrado a la vez. Por ejemplo:
-
Puede utilizar un KMS para proteger los nodos de dispositivos y también para usar la función de seguridad de unidades de System Manager de SANtricity a fin de «doble cifrado» de datos de las unidades de autocifrado de los mismos dispositivos.
-
Puede utilizar un KMS para proteger los datos en los nodos del dispositivo y también utilizar la opción de cifrado de objetos almacenados para cifrar todos los objetos cuando se ingieren.
Si solo una pequeña parte de los objetos requiere cifrado, considere la posibilidad de controlar el cifrado en el nivel de bloque o de objeto individual. Habilitar varios niveles de cifrado tiene un coste de rendimiento adicional.