Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Chiffrement IPsec des données en transit

Contributeurs

Les clients qui utilisent des technologies de chiffrement des données au repos, telles que NetApp Storage Encryption (NSE) ou NetApp Volume Encryption (NVE) et Cluster Peering Encryption (CPE) pour le trafic de réplication des données peuvent désormais utiliser le chiffrement de bout en bout entre le client et le stockage dans l'ensemble de leur structure de données multicloud hybride en passant à ONTAP 9.8 ou version ultérieure et en utilisant IPSec : IPSec offre une alternative au chiffrement NFS ou SMB/CIFS et est la seule option de chiffrement à la volée pour le trafic iSCSI.

Dans certains cas, il peut être nécessaire de protéger toutes les données client transportées sur le réseau (ou en transit) vers le SVM ONTAP. Vous empêchez ainsi les attaques par réexécution et les attaques de l'homme du milieu malveillantes contre les données sensibles lorsqu'elles sont en transit.

À partir de la version ONTAP 9.8, IPsec offre la prise en charge du chiffrement de bout en bout pour l'ensemble du trafic IP entre un client et un SVM ONTAP. Le cryptage de données IPSec pour tout le trafic IP inclut les protocoles NFS, iSCSI et SMB/CIFS. IPSec fournit la seule option de cryptage en vol pour le trafic iSCSI.

Le chiffrement NFS sur le réseau est l'un des principaux cas d'utilisation d'IPsec. Avant ONTAP 9.8, le chiffrement NFS over-the-wire exigeait l'installation et la configuration de Kerberos pour utiliser krb5p afin de chiffrer les données NFS à la volée. Ce n'est pas toujours simple ou facile à accomplir dans chaque environnement client.

Les clients qui utilisent des technologies de chiffrement des données au repos, telles que NetApp Storage Encryption (NSE) ou NetApp Volume Encryption (NVE) et Cluster Peering Encryption (CPE) pour le trafic de réplication des données peuvent désormais utiliser le chiffrement de bout en bout entre le client et le stockage dans l'ensemble de leur structure de données multicloud hybride en passant à ONTAP 9.8 ou version ultérieure et en utilisant IPSec :

IPSec est une norme IETF. ONTAP utilise IPsec en mode transport. Il utilise également le protocole Internet Key Exchange (IKE) version 2, qui utilise une clé communiquée à l'avance (PSK) pour négocier les éléments clés entre le client et ONTAP avec IPv4 ou IPv6. Par défaut, IPsec utilise le chiffrement Suite-B AES-GCM 256 bits. Les normes Suite-B AES-GMAC256 et AES-CBC256 avec cryptage 256 bits sont également prises en charge.

Bien que la fonctionnalité IPsec doive être activée sur le cluster, elle s'applique aux adresses IP de SVM individuelles via l'utilisation d'une entrée de base de données de stratégie de sécurité (SPD). L'entrée de règle (SPD) contient l'adresse IP du client (sous-réseau IP distant), l'adresse IP du SVM (sous-réseau IP local), la suite de chiffrement à utiliser et le secret prépartagé (PSK) requis pour l'authentification via IKEv2 et l'établissement de la connexion IPsec. En plus de l'entrée de stratégie IPSec, le client doit être configuré avec les mêmes informations (IP locale et distante, PSK et suite de chiffrement) avant que le trafic puisse circuler sur la connexion IPsec. À partir de ONTAP 9.10.1, la prise en charge de l'authentification par certificat IPsec est ajoutée. Ceci supprime les limites de stratégie IPsec et active la prise en charge du système d'exploitation Windows pour IPsec.

S'il y a un pare-feu entre le client et l'adresse IP du SVM, il doit permettre aux protocoles ESP et UDP (port 500 et 4500), tant entrants (entrée) que sortants (sortie), de réussir la négociation IKEv2 et ainsi d'autoriser le trafic IPsec.

Pour NetApp SnapMirror et le chiffrement du trafic de peering de cluster, le chiffrement de peering de cluster (CPE) est toujours recommandé sur IPsec pour assurer la sécurité en transit sur le réseau. CPE fonctionne mieux pour ces charges de travail que IPSec. Vous n'avez pas besoin d'une licence pour IPsec et il n'y a pas de restrictions d'importation ou d'exportation.

Vous pouvez activer IPsec sur le cluster et créer une entrée SPD pour un seul client et une adresse IP de SVM unique, comme dans l'exemple suivant :

On the Destination Cluster Peer

cluster1::> security ipsec config modify -is-enabled true

cluster1::> security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32

When prompted enter and confirm the pre shared secret (PSK).