Étudiez les méthodes de cryptage StorageGRID
StorageGRID propose plusieurs options pour le chiffrement des données. Consultez les méthodes disponibles pour identifier les méthodes qui répondent à vos exigences en matière de protection des données.
Le tableau fournit un récapitulatif détaillé des méthodes de cryptage disponibles dans StorageGRID.
Option de chiffrement | Comment cela fonctionne | S'applique à | ||
---|---|---|---|---|
Serveur de gestion des clés (KMS) dans Grid Manager |
Vous "configurer un serveur de gestion des clés" Pour le site StorageGRID et "activez le chiffrement des nœuds pour l'appliance". Ensuite, un nœud d'appliance se connecte au KMS pour demander une clé de chiffrement (KEK). Cette clé chiffre et décrypte la clé de chiffrement des données (DEK) sur chaque volume. |
Nœuds d'appliance sur lesquels Node Encryption est activé pendant l'installation. Toutes les données de l'appliance sont protégées contre les pertes ou les suppressions physiques du data Center.
|
||
Sécurité des disques dans SANtricity System Manager |
Si la fonctionnalité Drive Security est activée pour une appliance de stockage SG5700 ou SG6000, vous pouvez utiliser "SANtricity System Manager" pour créer et gérer la clé de sécurité. La clé est requise pour accéder aux données sur les disques sécurisés. |
Dispositifs de stockage équipés de disques Full Disk Encryption (FDE) ou de disques FIPS. Toutes les données des disques sécurisés sont protégées contre les pertes ou suppressions physiques du data Center. Utilisation avec certaines appliances de stockage ou avec des appliances de service impossible. |
||
Chiffrement des objets stockés |
Vous activez le "Chiffrement des objets stockés" Dans le Gestionnaire de grille. Lorsqu'il est activé, tout nouvel objet non chiffré au niveau du compartiment ou de l'objet est chiffré lors de l'ingestion. |
Ingestion récente des données d'objet S3 et Swift. Les objets stockés existants ne sont pas chiffrés. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées. |
||
Chiffrement de compartiment S3 |
Vous émettez une demande de chiffrement Put bucket pour activer le chiffrement du compartiment. Tout nouvel objet non chiffré au niveau de l'objet est chiffré lors de l'ingestion. |
Données d'objet S3 récemment ingérées uniquement. Le chiffrement doit être spécifié pour le compartiment. Les objets de compartiment existants ne sont pas chiffrés. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées. |
||
Chiffrement côté serveur d'objets S3 (SSE) |
Vous émettez une demande S3 pour stocker un objet et inclure le |
Données d'objet S3 récemment ingérées uniquement. Le chiffrement doit être spécifié pour l'objet. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées. StorageGRID gère les clés. |
||
Chiffrement côté serveur objet S3 avec clés fournies par le client (SSE-C) |
Vous émettez une demande S3 pour stocker un objet et incluez trois en-têtes de requête.
|
Données d'objet S3 récemment ingérées uniquement. Le chiffrement doit être spécifié pour l'objet. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées. Les clés sont gérées en dehors du StorageGRID. |
||
Chiffrement de volume ou de datastore externe |
Vous utilisez une méthode de chiffrement autres que StorageGRID pour chiffrer un volume ou un datastore entier, si votre plateforme de déploiement le prend en charge. |
Toutes les données d'objet, de métadonnées et de configuration du système, en supposant que chaque volume ou datastore est chiffré. Une méthode de chiffrement externe permet un contrôle plus précis des clés et des algorithmes de chiffrement. Peut être combiné avec les autres méthodes répertoriées. |
||
Chiffrement d'objet en dehors de StorageGRID |
Vous utilisez une méthode de chiffrement à l'extérieur de StorageGRID pour chiffrer les données d'objet et les métadonnées avant leur ingestion dans StorageGRID. |
Données et métadonnées d'objet uniquement (les données de configuration du système ne sont pas chiffrées). Une méthode de chiffrement externe permet un contrôle plus précis des clés et des algorithmes de chiffrement. Peut être combiné avec les autres méthodes répertoriées. |
Utilisez plusieurs méthodes de chiffrement
Selon vos besoins, vous pouvez utiliser plusieurs méthodes de chiffrement à la fois. Par exemple :
-
Vous pouvez utiliser un KMS pour protéger les nœuds d'appliance et utiliser également la fonctionnalité de sécurité des disques de SANtricity System Manager pour « déchiffrer » les données présentes sur les disques à autocryptage des mêmes dispositifs.
-
Vous pouvez utiliser un KMS pour sécuriser les données des nœuds de l'appliance et utiliser l'option de chiffrement des objets stockés pour chiffrer tous les objets lors de leur ingestion.
Si seule une petite partie de vos objets doit être cryptée, pensez à contrôler le chiffrement au niveau du compartiment ou de l'objet au niveau individuel. L'activation de plusieurs niveaux de chiffrement a un coût supplémentaire en termes de performance.