Skip to main content
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sécurité NetApp HCI

Contributeurs

Lorsque vous utilisez NetApp HCI, les données sont protégées par des protocoles de sécurité standard.

Chiffrement des données au repos pour les nœuds de stockage

NetApp HCI vous permet de chiffrer toutes les données stockées sur le cluster de stockage.

Tous les disques d'un nœud de stockage qui peuvent être chiffrées utilisent le chiffrement AES 256 bits au niveau du disque. Chaque lecteur dispose de sa propre clé de cryptage, qui est créée lors de l'initialisation initiale du lecteur. Lorsque vous activez la fonctionnalité de cryptage, un mot de passe au niveau du cluster de stockage est créé, et des segments de mot de passe sont ensuite distribués à tous les nœuds du cluster. Aucun nœud ne stocke la totalité du mot de passe. Le mot de passe est alors utilisé pour protéger par mot de passe tous les accès aux lecteurs. Vous avez besoin du mot de passe pour déverrouiller le lecteur, et puisque le lecteur cryptage toutes les données, vos données sont sécurisées en permanence.

Lorsque le chiffrement est activé au repos, les performances et l'efficacité du cluster de stockage ne sont pas affectées. En outre, si vous supprimez un disque ou un nœud compatible avec le chiffrement du cluster de stockage avec l'API Element ou l'interface utilisateur d'Element, le chiffrement au repos est désactivé sur les disques et les disques sont supprimés de manière sécurisée, ce qui protège les données précédemment stockées sur ces disques. Après avoir retiré le lecteur, vous pouvez l'effacer de manière sécurisée à l'aide de la SecureEraseDrives méthode API. Si vous retirez de force un disque ou un nœud du cluster de stockage, les données restent protégées par le mot de passe de tout le cluster et les clés de cryptage individuelles du disque.

Pour plus d'informations sur l'activation et la désactivation du chiffrement au repos, reportez-vous à la section "Activation et désactivation du cryptage pour un cluster" du Centre de documentation SolidFire et Element.

Chiffrement logiciel au repos

Le chiffrement logiciel au repos permet le chiffrement de toutes les données écrites sur les disques SSD d'un cluster de stockage. Cela fournit une couche principale de cryptage dans les nœuds SolidFire Enterprise SDS, qui n'incluent pas les disques à autocryptage (SED).

Gestion externe des clés

Vous pouvez configurer le logiciel Element pour qu'il gère les clés de chiffrement du cluster de stockage à l'aide d'un service tiers de gestion des clés conforme KMIP. Lorsque vous activez cette fonctionnalité, la clé de chiffrement de mot de passe d'accès au disque au niveau du cluster est gérée par un KMS que vous spécifiez. Element peut utiliser les services de gestion des clés suivants :

  • Gemalto SafeNet KeySecure

  • SAFENET CHEZ KeySecure

  • KeyControl HyTrust

  • Gestionnaire de sécurité des données Vormetric

  • IBM Security Key Lifecycle Manager

Pour plus d'informations sur la configuration de la gestion externe des clés, voir "Mise en route de la gestion externe des clés" dans le Centre de documentation SolidFire et Element.

Authentification multifacteur

L'authentification multifacteur (MFA) vous permet de présenter plusieurs types de preuves à l'utilisateur lors NetApp Element de la connexion. Vous pouvez configurer Element pour qu'il accepte uniquement l'authentification multi-facteurs pour les connexions intégrant votre système de gestion des utilisateurs et votre fournisseur d'identités. Vous pouvez configurer Element pour qu'il s'intègre à un fournisseur d'identités SAML 2.0 existant qui peut appliquer plusieurs schémas d'authentification, tels que les mots de passe et les messages texte, les mots de passe et les e-mails, ou d'autres méthodes.

Vous pouvez coupler l'authentification multi-facteurs avec des fournisseurs d'identité compatibles SAML 2.0 (IDP) courants, tels que Microsoft Active Directory Federation Services (ADFS) et Shiboleeth.

Pour configurer MFA, voir "Activation de l'authentification multifacteur" dans le Centre de documentation SolidFire and Element.

FIPS 140-2 pour le chiffrement HTTPS et des données au repos

Les clusters de stockage NetApp SolidFire et les systèmes NetApp HCI prennent en charge le chiffrement conforme à la norme FIPS 140-2 pour les modules cryptographiques. Vous pouvez activer la conformité FIPS 140-2 sur votre cluster NetApp HCI ou SolidFire pour les communications HTTPS et le chiffrement de disque.

Lorsque vous activez le mode d'exploitation FIPS 140-2 sur votre cluster, le cluster active NetApp Cryptographic Security module (NCSM) et exploite le chiffrement certifié FIPS 140-2 niveau 1 pour toutes les communications via HTTPS vers l'interface utilisateur et l'API de NetApp Element. Vous utilisez l' EnableFeature`API Element avec le `fips paramètre pour activer le chiffrement HTTPS FIPS 140-2-2. Sur les clusters de stockage dotés d'un matériel compatible FIPS, vous pouvez également activer le chiffrement de disque FIPS pour les données au repos à l'aide de l' EnableFeature`API Element et `FipsDrives du paramètre.

Pour plus d'informations sur la préparation d'un nouveau cluster de stockage pour le cryptage FIPS 140-2-2, reportez-vous à la section "Création d'un cluster prenant en charge les disques FIPS".

Pour plus d'informations sur l'activation de FIPS 140-2 sur un cluster préparé existant, reportez-vous àla section "L'API d'élément EnableFeature".