Notes de mise à jour
Sécurité
Suggérer des modifications
PDF
Cloud Volumes ONTAP prend en charge le cryptage des données et protège contre les virus et les attaques par ransomware.
Cryptage des données au repos
Cloud Volumes ONTAP prend en charge les technologies de cryptage suivantes :
-
Solutions de chiffrement NetApp (NVE et NAE)
-
Service de gestion des clés AWS
-
Chiffrement de service de stockage Azure
-
Chiffrement par défaut Google Cloud Platform
Vous pouvez utiliser les solutions de chiffrement NetApp avec le chiffrement natif d'AWS, Azure ou GCP, qui chiffrer les données au niveau de l'hyperviseur. Cela permettrait de fournir un double chiffrement, ce qui peut être souhaité pour des données très sensibles. Lors de l'accès aux données chiffrées, elles sont non chiffrées à deux reprises au niveau de l'hyperviseur (à l'aide de clés fournies par le fournisseur cloud), puis à l'aide des solutions de chiffrement NetApp (à l'aide de clés fournies par un gestionnaire de clés externe).
Solutions de chiffrement NetApp (NVE et NAE)
Cloud Volumes ONTAP prend en charge NVE (NetApp Volume Encryption) et NAE (NetApp Aggregate Encryption) avec un gestionnaire de clés externe. NVE et NAE sont des solutions logicielles qui permettent le chiffrement des données au repos (conformes à la norme FIPS) de volumes 140-2.
-
NVE chiffre les données au repos un volume à la fois. Chaque volume de données dispose de sa propre clé de chiffrement unique.
-
NAE est une extension de NVE qui chiffre les données pour chaque volume, tandis que les volumes partagent une clé dans l'ensemble de l'agrégat. NAE permet également la déduplication de blocs communs à tous les volumes de l'agrégat.
NVE et NAE utilisent tous deux le chiffrement AES 256 bits.
Depuis Cloud Volumes ONTAP 9.7, le chiffrement d'agrégat NetApp (NAE) est activé par défaut après la configuration d'un gestionnaire de clés externe. Pour les nouveaux volumes qui ne font pas partie d'un agrégat NAE, NetApp Volume Encryption (NVE) est activé par défaut (par exemple, si des agrégats existants ont été créés avant de configurer un gestionnaire de clés externe).
La configuration d'un gestionnaire de clés pris en charge est la seule étape requise. Pour obtenir des instructions de configuration, reportez-vous à la section "Cryptage de volumes grâce aux solutions de cryptage NetApp".
Service de gestion des clés AWS
Lorsque vous lancez un système Cloud Volumes ONTAP dans AWS, vous pouvez activer le chiffrement des données à l'aide du "AWS Key Management Service (KMS)". Cloud Manager demande des clés de données à l'aide d'une clé principale client (CMK).
|
Une fois que vous avez créé un système Cloud Volumes ONTAP, vous ne pouvez pas modifier la méthode de chiffrement des données AWS. |
Si vous souhaitez utiliser cette option de cryptage, vous devez vous assurer que le système AWS KMS est correctement configuré. Pour plus de détails, voir "Configuration du système AWS KMS".
Chiffrement de service de stockage Azure
"Chiffrement de service de stockage Azure" Les données au repos sont activées par défaut pour les données Cloud Volumes ONTAP dans Azure. Aucune configuration n'est requise.
Vous pouvez chiffrer les disques gérés Azure sur des systèmes Cloud Volumes ONTAP à un seul nœud à l'aide de clés externes provenant d'un autre compte. Cette fonctionnalité est prise en charge à l'aide des API Cloud Manager.
Lors de la création du système à un nœud, il vous suffit d'ajouter ce qui suit à la demande d'API :
"azureEncryptionParameters": {
"key": <azure id of encryptionset>
}
|
Les clés gérées par le client ne sont pas prises en charge avec les paires haute disponibilité Cloud Volumes ONTAP. |
Chiffrement par défaut Google Cloud Platform
"Chiffrement des données au repos Google Cloud Platform" Est activé par défaut pour Cloud Volumes ONTAP. Aucune configuration n'est requise.
Google Cloud Storage chiffre toujours vos données avant leur écriture sur le disque, mais vous pouvez utiliser les API Cloud Manager pour créer un système Cloud Volumes ONTAP qui utilise des clés de chiffrement gérées par le client. Il s'agit des clés que vous créez et gérez dans GCP à l'aide du service Cloud Key Management. "En savoir plus >>".
Analyse antivirus ONTAP
Vous pouvez utiliser la fonctionnalité antivirus intégrée sur les systèmes ONTAP pour protéger les données contre les virus ou tout autre code malveillant.
L'analyse antivirus ONTAP, appelée Vscan, associe le meilleur logiciel antivirus tiers à des fonctionnalités ONTAP, vous offrant ainsi la flexibilité nécessaire pour contrôler quels fichiers sont analysés et à quel moment.
Pour plus d'informations sur les fournisseurs, les logiciels et les versions pris en charge par Vscan, voir le "Matrice d'interopérabilité NetApp".
Pour plus d'informations sur la configuration et la gestion de la fonctionnalité antivirus sur les systèmes ONTAP, consultez la "Guide de configuration antivirus ONTAP 9".
Protection par ransomware
Les attaques par ransomware peuvent coûter du temps, des ressources et de la réputation à l'entreprise. Cloud Manager vous permet d'implémenter la solution NetApp contre les attaques par ransomware qui fournit des outils efficaces pour la visibilité, la détection et la résolution de problèmes.
-
Cloud Manager identifie les volumes qui ne sont pas protégés par une règle Snapshot et vous permet d'activer la règle Snapshot par défaut sur ces volumes.
Les copies Snapshot sont en lecture seule, ce qui empêche la corruption par ransomware. Ils peuvent également assurer la granularité pour créer des images d'une copie de fichiers unique ou d'une solution complète de reprise après incident.
-
Cloud Manager vous permet également de bloquer les extensions de fichiers ransomware courantes en activant la solution FPolicy d'ONTAP.
