Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Étudiez les méthodes de cryptage StorageGRID

Contributeurs

StorageGRID fournit plusieurs options pour le chiffrement des données. Consultez les méthodes disponibles pour identifier les méthodes qui répondent à vos exigences en matière de protection des données.

Le tableau fournit un récapitulatif détaillé des méthodes de cryptage disponibles dans StorageGRID.

Option de chiffrement Comment cela fonctionne S'applique à

Serveur de gestion des clés (KMS) dans Grid Manager

Vous configurez un serveur de gestion des clés pour le site StorageGRID (CONFIGURATION sécurité serveur de gestion des clés) et activez le cryptage des noeuds pour l'appliance. Ensuite, un nœud d'appliance se connecte au KMS pour demander une clé de chiffrement (KEK). Cette clé chiffre et décrypte la clé de chiffrement des données (DEK) sur chaque volume.

Nœuds d'appliance sur lesquels Node Encryption est activé pendant l'installation. Toutes les données de l'appliance sont protégées contre les pertes ou les suppressions physiques du data Center.

Remarque La gestion des clés de chiffrement avec un KMS n'est prise en charge que pour les nœuds de stockage et les appliances de services.

Sécurité des disques dans SANtricity System Manager

Si la fonction sécurité des disques est activée pour une appliance de stockage, vous pouvez utiliser SANtricity System Manager pour créer et gérer la clé de sécurité. La clé est requise pour accéder aux données sur les disques sécurisés.

Appliances de stockage dotées de disques FDE (Full Disk Encryption) ou FIPS (Federal information Processing Standard). Toutes les données des disques sécurisés sont protégées contre les pertes ou suppressions physiques du data Center. Ne peut pas être utilisé avec certains dispositifs de stockage ni avec des appliances de service.

Option de grille de chiffrement d'objet stocké

L'option Inenregistré Object Encryption peut être activée dans Grid Manager (CONFIGURATION System Grid options). Lorsqu'il est activé, tout nouvel objet qui n'est pas chiffré au niveau du compartiment ou au niveau de l'objet est chiffré lors de l'ingestion.

Ingestion récente des données d'objet S3 et Swift.

Les objets stockés existants ne sont pas chiffrés. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées.

Chiffrement de compartiment S3

Vous émettez une demande de chiffrement Put bucket pour activer le chiffrement du compartiment. Tout nouvel objet non chiffré au niveau de l'objet est chiffré lors de l'ingestion.

Données d'objet S3 récemment ingérées uniquement.

Le chiffrement doit être spécifié pour le compartiment. Les objets de compartiment existants ne sont pas chiffrés. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées.

Chiffrement côté serveur d'objets S3 (SSE)

Vous émettez une demande S3 pour stocker un objet et inclure le x-amz-server-side-encryption en-tête de demande.

Données d'objet S3 récemment ingérées uniquement.

Le chiffrement doit être spécifié pour l'objet. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées.

StorageGRID gère les clés.

Chiffrement côté serveur objet S3 avec clés fournies par le client (SSE-C)

Vous émettez une demande S3 pour stocker un objet et incluez trois en-têtes de requête.

  • x-amz-server-side-encryption-customer-algorithm

  • x-amz-server-side-encryption-customer-key

  • x-amz-server-side-encryption-customer-key-MD5

Données d'objet S3 récemment ingérées uniquement.

Le chiffrement doit être spécifié pour l'objet. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées.

Les clés sont gérées en dehors du StorageGRID.

Chiffrement de volume ou de datastore externe

Vous utilisez une méthode de chiffrement autres que StorageGRID pour chiffrer un volume ou un datastore entier, si votre plateforme de déploiement le prend en charge.

Toutes les données d'objet, de métadonnées et de configuration du système, en supposant que chaque volume ou datastore est chiffré.

Une méthode de chiffrement externe permet un contrôle plus précis des clés et des algorithmes de chiffrement. Peut être combiné avec les autres méthodes répertoriées.

Chiffrement d'objet en dehors de StorageGRID

Vous utilisez une méthode de chiffrement à l'extérieur de StorageGRID pour chiffrer les données d'objet et les métadonnées avant leur ingestion dans StorageGRID.

Données et métadonnées d'objet uniquement (les données de configuration du système ne sont pas chiffrées).

Une méthode de chiffrement externe permet un contrôle plus précis des clés et des algorithmes de chiffrement. Peut être combiné avec les autres méthodes répertoriées.

Utilisez plusieurs méthodes de chiffrement

Selon vos besoins, vous pouvez utiliser plusieurs méthodes de chiffrement à la fois. Par exemple :

  • Vous pouvez utiliser un KMS pour protéger les nœuds d'appliance et utiliser également la fonctionnalité de sécurité des disques de SANtricity System Manager pour « déchiffrer » les données présentes sur les disques à autocryptage des mêmes dispositifs.

  • Vous pouvez utiliser un KMS pour sécuriser les données sur les nœuds d'appliance et utiliser l'option GRID de chiffrement d'objet stocké pour chiffrer tous les objets à l'ingestion.

Si seule une petite partie de vos objets doit être cryptée, pensez à contrôler le chiffrement au niveau du compartiment ou de l'objet au niveau individuel. L'activation de plusieurs niveaux de chiffrement a un coût supplémentaire en termes de performance.