Chiffrement du stockage
Pour protéger les données sensibles en cas de vol, de retour ou de reconversion d'un disque, utilisez le chiffrement de stockage NetApp matériel ou le chiffrement logiciel de volume NetApp/chiffrement d'agrégat NetApp. Ces deux mécanismes sont validés conformément à la norme FIPS-140-2 et lors de l'utilisation de mécanismes matériels avec des mécanismes logiciels, la solution est admissible au programme CSfC (commercial Solutions for Classified Program). Il offre une protection renforcée des données secrètes et les plus secrètes au repos, à la fois au niveau du matériel et des logiciels.
Le chiffrement des données au repos est important pour protéger les données sensibles en cas de vol, de retour ou de reconversion d'un disque.
ONTAP 9 propose trois solutions de chiffrement des données au repos conformes à la norme FIPS 140-2 :
-
NetApp Storage Encryption (NSE) est une solution matérielle qui utilise des disques à chiffrement automatique.
-
NetApp Volume Encryption (NVE) est une solution logicielle qui permet de chiffrer n'importe quel volume de données sur n'importe quel type de disque où il est activé avec une clé unique pour chaque volume.
-
NetApp Aggregate Encryption (NAE) est une solution logicielle qui permet de chiffrer n'importe quel volume de données sur n'importe quel type de disque grâce à des clés uniques pour chaque agrégat.
NSE, NVE et NAE peuvent utiliser soit la gestion des clés externe, soit le gestionnaire de clés intégré (OKM). L'utilisation de NSE, NVE et NAE n'affecte pas les fonctionnalités d'efficacité du stockage ONTAP. Toutefois, les volumes NVE sont exclus de la déduplication dans les agrégats. Les volumes NAE participent à la déduplication dans les agrégats et en tirent profit.
Le gestionnaire de clés intégré OKM fournit une solution de chiffrement autonome pour les données au repos avec NSE, NVE ou NAE.
NVE, NAE et OKM utilisent le module de chiffrement ONTAP. CryptoMod figure dans la liste des modules validés CCVP FIPS 140-2. Voir "FIPS 140-2 Cert. No 4144".
Pour commencer la configuration de OKM, utilisez la security key-manager onboard enable
commande. Pour configurer les gestionnaires de clés KMIP (Key Management Interoperability Protocol) externes, utilisez la security key-manager external enable
commande. À partir de ONTAP 9.6, la colocation est prise en charge pour les gestionnaires de clés externes. Utiliser le -vserver <vserver name>
paramètre pour activer la gestion externe des clés pour un SVM spécifique. Avant la version 9.6, la security key-manager setup
commande servait à configurer OKM et des gestionnaires de clés externes. Pour la gestion intégrée des clés, cette configuration guide l'opérateur ou l'administrateur tout au long de la configuration de la phrase de passe et des paramètres supplémentaires pour la configuration de OKM.
Une partie de la configuration est fournie dans l'exemple suivant :
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. Enter the following commands at any time "help" or "?" if you want to have a question clarified, "back" if you want to change your answers to previous questions, and "exit" if you want to quit the key manager setup wizard. Any changes you made before typing "exit" will be applied. Restart the key manager setup wizard with "security key-manager setup". To accept a default or omit a question, do not enter a value. Would you like to configure onboard key management? {yes, no} [yes]: Enter the cluster-wide passphrase for onboard key management. To continue the configuration, enter the passphrase, otherwise type "exit": Re-enter the cluster-wide passphrase: After configuring onboard key management, save the encrypted configuration data in a safe location so that you can use it if you need to perform a manual recovery operation. To view the data, use the "security key-manager backup show" command.
À partir de ONTAP 9.4, vous pouvez utiliser l' -enable-cc-mode
option vrai avec security key-manager setup
pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage. Pour ONTAP 9.6 et versions ultérieures, la syntaxe de la commande est security key-manager onboard enable -cc-mode-enabled yes
.
À partir de ONTAP 9.4, vous pouvez utiliser la secure-purge
fonctionnalité avec privilèges avancés pour « nettoyer » les données sur des volumes NVE sans interruption. Le nettoyage des données sur un volume chiffré garantit qu'elles ne peuvent pas être restaurées à partir du support physique. La commande suivante purge de manière sécurisée les fichiers supprimés sur vol1 sur SVM vs1 :
cluster1::> volume encryption secure-purge start -vserver vs1 -volume vol1
À partir de ONTAP 9.7, NAE et NVE sont activés par défaut si la licence VE est en place, OKM ou des gestionnaires de clés externes sont configurés et NSE n'est pas utilisé. Les volumes NAE sont créés par défaut sur les agrégats NAE et les volumes NVE sont créés par défaut sur des agrégats non NAE. Vous pouvez le remplacer en saisissant la commande suivante :
cluster1::*> options -option-name encryption.data_at_rest_encryption.disable_by_default true
À partir de la version ONTAP 9.6, vous pouvez utiliser une étendue SVM pour configurer la gestion externe des clés pour un SVM de données dans le cluster. Cette configuration est idéale pour les environnements mutualisés dans lesquels chaque locataire utilise un SVM différent (ou un ensemble de SVM) pour le service des données. Seul l'administrateur du SVM pour un locataire donné peut accéder aux clés pour ce locataire. Pour plus d'informations, reportez-vous à la section "Activez la gestion externe des clés dans ONTAP 9.6 et versions ultérieures" de la documentation ONTAP.
À partir de la version ONTAP 9.11.1, vous pouvez configurer la connectivité aux serveurs de gestion externe des clés en cluster en désignant des serveurs clés principaux et secondaires sur une SVM. Pour plus d'informations, reportez-vous à la section "configurez les serveurs de clés externes en cluster" de la documentation ONTAP.
À partir de ONTAP 9.13.1, vous pouvez configurer des serveurs de gestionnaire de clés externes dans le gestionnaire de système. Pour plus d'informations, reportez-vous à la section "Gestion de gestionnaires de clés externes" de la documentation ONTAP.