Notes de mise à jour
Configurez la sécurité IP (IPsec) sur le cryptage filaire
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
ONTAP utilise IPsec en mode de transport pour assurer la sécurité et le chiffrement en continu des données, même en transit. IPSec offre le cryptage des données pour tout le trafic IP, y compris les protocoles NFS, iSCSI et SMB.
À partir de ONTAP 9.12.1, la prise en charge IPsec du protocole hôte frontal est disponible dans les configurations MetroCluster IP et MetroCluster reliées à la structure.
La prise en charge IPsec dans les clusters MetroCluster est limitée au trafic hôte frontal et n'est pas prise en charge sur les LIF intercluster MetroCluster.
À partir de ONTAP 9.10.1, vous pouvez utiliser des clés prépartagées (PSK) ou des certificats pour l'authentification avec IPsec. Auparavant, seuls les PSK étaient pris en charge par IPsec.
À partir de ONTAP 9.9.1, les algorithmes de cryptage utilisés par IPsec sont validés par la norme FIPS 140-2. Les algorithmes sont générés par le module de chiffrement NetApp dans ONTAP qui assure la validation FIPS 140-2-2.
À partir de ONTAP 9.8, ONTAP prend en charge IPsec en mode transport.
Une fois IPsec configuré, le trafic réseau entre le client et ONTAP est protégé par des mesures préventives pour lutter contre les attaques par replay et les attaques de l'homme au milieu.
Pour le cryptage NetApp SnapMirror et du trafic de peering de clusters, le cryptage de peering de clusters (CPE), la sécurité de la couche de transport (TLS) est toujours recommandée sur IPsec afin de garantir la sécurité en transit sur le réseau. Ceci est dû au fait que TLS offre de meilleures performances que IPsec.
Bien que la fonctionnalité IPsec soit activée sur le cluster, le réseau nécessite une entrée SPD (Security Policy Database) pour correspondre au trafic à protéger et pour spécifier les détails de protection (tels que la suite de chiffrement et la méthode d'authentification) avant que le trafic ne puisse circuler. Une entrée SPD correspondante est également nécessaire sur chaque client.
Activez IPsec sur le cluster
Vous pouvez activer IPSec sur le cluster pour vous assurer que les données sont continuellement sécurisées et cryptées, même en transit.
-
Découvrez si IPSec est déjà activé :
security ipsec config showSi le résultat inclut
IPsec Enabled: false, passez à l'étape suivante. -
Activer IPsec :
security ipsec config modify -is-enabled true -
Exécutez à nouveau la commande de découverte :
security ipsec config showLe résultat inclut maintenant
IPsec Enabled: true.
Préparez la création de stratégies IPsec avec l'authentification par certificat
Vous pouvez ignorer cette étape si vous utilisez uniquement des clés prépartagées (PSK) pour l'authentification et que vous n'utilisez pas l'authentification par certificat.
Avant de créer une stratégie IPSec qui utilise des certificats pour l'authentification, vous devez vérifier que les conditions préalables suivantes sont remplies :
-
ONTAP et le client doivent avoir installé le certificat CA de l'autre partie afin que les certificats de l'entité finale (ONTAP ou le client) soient vérifiables des deux côtés
-
Un certificat est installé pour la LIF de ONTAP qui participe à la politique
|
Les LIF ONTAP peuvent partager des certificats. Un mappage un-à-un entre les certificats et les LIFs n'est pas nécessaire. |
-
Installez tous les certificats de l'autorité de certification utilisés lors de l'authentification mutuelle, y compris les autorités de certification côté ONTAP et côté client, dans la gestion des certificats ONTAP, sauf s'il est déjà installé (comme c'est le cas pour une autorité de certification racine auto-signée ONTAP).
Commande exemple
cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert -
Pour vous assurer que l'autorité de certification installée se trouve dans le chemin de recherche de l'autorité de certification IPSec lors de l'authentification, ajoutez les autorités de certification de gestion de certificat ONTAP au module IPSec à l'aide du
security ipsec ca-certificate addcommande.Commande exemple
cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert -
Créez et installez un certificat pour une utilisation par le LIF ONTAP. L'autorité de certification de l'émetteur de ce certificat doit déjà être installée sur ONTAP et ajoutée à IPsec.
Commande exemple
cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert
Pour plus d'informations sur les certificats dans ONTAP, consultez les commandes de certificat de sécurité dans la documentation de ONTAP 9 .
Définir la base de données de règles de sécurité (SPD)
IPSec requiert une entrée SPD avant d'autoriser le trafic à circuler sur le réseau. Ceci est vrai si vous utilisez un PSK ou un certificat pour l'authentification.
-
Utilisez le
security ipsec policy createcommande pour :-
Sélectionnez l'adresse IP ONTAP ou le sous-réseau d'adresses IP pour participer au transport IPsec.
-
Sélectionnez les adresses IP des clients qui se connectent aux adresses IP ONTAP.
Le client doit prendre en charge Internet Key Exchange version 2 (IKEv2) avec une clé pré-partagée (PSK). -
Facultatif. Sélectionnez les paramètres de trafic à granularité fine, tels que les protocoles de couche supérieure (UDP, TCP, ICMP, etc.) ), les numéros de port local et les numéros de port distant pour protéger le trafic. Les paramètres correspondants sont
protocols,local-portsetremote-portsrespectivement.Ignorez cette étape pour protéger tout le trafic entre l'adresse IP ONTAP et l'adresse IP du client. La protection de tout le trafic est la valeur par défaut.
-
Entrez PSK ou PKI (public-Key Infrastructure) pour le
auth-methodparamètre de la méthode d'authentification souhaitée.-
Si vous entrez une clé PSK, incluez les paramètres, puis appuyez sur <enter> pour que l'invite vous demande d'entrer et de vérifier la clé pré-partagée.
local-identityetremote-identityLes paramètres sont facultatifs si l'hôte et le client utilisent StrongSwan et qu'aucune règle générique n'est sélectionnée pour l'hôte ou le client. -
Si vous entrez une PKI, vous devez également entrer
cert-name,local-identity,remote-identityparamètres. Si l'identité du certificat côté distant est inconnue ou si plusieurs identités client sont attendues, entrez l'identité spécialeANYTHING.
-
-
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING
Le trafic IP ne peut pas circuler entre le client et le serveur tant que ONTAP et le client n'ont pas configuré les stratégies IPSec correspondantes et que les informations d'identification d'authentification (PSK ou certificat) ne sont pas en place des deux côtés. Pour plus de détails, reportez-vous à la configuration IPsec côté client.
Utiliser les identités IPsec
Pour la méthode d'authentification par clé pré-partagée, les identités locales et distantes sont facultatives si l'hôte et le client utilisent StrongSwan et qu'aucune règle générique n'est sélectionnée pour l'hôte ou le client.
Pour la méthode d'authentification PKI/certificat, les identités locales et distantes sont obligatoires. Les identités spécifient quelle identité est certifiée dans le certificat de chaque côté et sont utilisées dans le processus de vérification. Si l'identité distante est inconnue ou si elle peut être de nombreuses identités différentes, utilisez l'identité spéciale ANYTHING.
Au sein de ONTAP, les identités sont spécifiées en modifiant l'entrée du démon du processeur de service ou pendant sa création. Le démon du processeur de service peut être un nom d'identité avec une adresse IP ou un format de chaîne.
Pour modifier un paramètre d'identité SPD existant, utilisez la commande suivante :
security ipsec policy modify
security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com
Configuration client multiple IPsec
Lorsqu'un petit nombre de clients doivent utiliser IPsec, l'utilisation d'une seule entrée SPD pour chaque client est suffisante. Toutefois, lorsque des centaines voire des milliers de clients doivent utiliser IPsec, NetApp recommande l'utilisation d'une configuration client multiple IPsec.
ONTAP prend en charge la connexion de plusieurs clients sur de nombreux réseaux à une seule adresse IP de SVM avec IPsec activé. Vous pouvez effectuer cette opération en utilisant l'une des méthodes suivantes :
-
Configuration du sous-réseau
Pour permettre à tous les clients d'un sous-réseau particulier (192.168.134.0/24 par exemple) de se connecter à une seule adresse IP de SVM à l'aide d'une seule entrée de la politique SPD, vous devez spécifier le
remote-ip-subnetssous-réseau. De plus, vous devez spécifier leremote-identitychamp avec l'identité côté client correcte.
|
|
Lors de l'utilisation d'une seule entrée de stratégie dans une configuration de sous-réseau, les clients IPsec de ce sous-réseau partagent l'identité IPsec et la clé pré-partagée (PSK). Cependant, ceci n'est pas vrai avec l'authentification par certificat. Lors de l'utilisation de certificats, chaque client peut utiliser son propre certificat unique ou un certificat partagé pour s'authentifier. ONTAP IPSec vérifie la validité du certificat en fonction des autorités de certification installées dans son magasin de confiance local. ONTAP prend également en charge la vérification de la liste de révocation de certificats (CRL). |
-
Autoriser la configuration de tous les clients
Pour permettre à n'importe quel client, quelle que soit son adresse IP source, de se connecter à l'adresse IP du SVM IPsec, utilisez l'
0.0.0.0/0caractère générique lors de la spécification duremote-ip-subnetslégale.De plus, vous devez spécifier le
remote-identitychamp avec l'identité côté client correcte. Pour l'authentification par certificat, vous pouvez entrerANYTHING.Aussi, lorsque le
0.0.0.0/0le caractère générique est utilisé. vous devez configurer un numéro de port local ou distant spécifique à utiliser. Par exemple :NFS port 2049.Étapes-
Utilisez l'une des commandes suivantes pour configurer IPsec pour plusieurs clients.
-
Si vous utilisez subnet configuration pour prendre en charge plusieurs clients IPsec :
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id
Commande exemplesecurity ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity-
Si vous utilisez Autoriser la configuration de tous les clients à prendre en charge plusieurs clients IPsec :
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id
-
Commande exemplesecurity ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity -
Statistiques IPsec
Lors de la négociation, un canal de sécurité appelé Association de sécurité IKE (sa) peut être établi entre l'adresse IP du SVM ONTAP et l'adresse IP du client. IPSec SAS est installé sur les deux noeuds finaux pour effectuer le cryptage et le décryptage des données.
Vous pouvez utiliser les commandes de statistiques pour vérifier l'état des ports SAS IPsec et SAS IKE.
IKE sa exemple de commande :
security ipsec show-ikesa -node hosting_node_name_for_svm_ip
Exemple de commande et de sortie IPsec sa :
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip
cluster1::> security ipsec show-ikesa -node cluster1-node1
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
vs1 test34
192.168.134.34 192.168.134.44 c764f9ee020cec69 ESTABLISHED
Exemple de commande et de sortie IPsec sa :
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip
cluster1::> security ipsec show-ipsecsa -node cluster1-node1
Policy Local Remote Inbound Outbound
Vserver Name Address Address SPI SPI State
----------- ------- --------------- --------------- -------- -------- ---------
vs1 test34
192.168.134.34 192.168.134.44 c4c5b3d6 c2515559 INSTALLED