Commencez
Étudiez les méthodes de cryptage StorageGRID
Suggérer des modifications
PDF
StorageGRID propose plusieurs options pour le chiffrement des données. Consultez les méthodes disponibles pour identifier les méthodes qui répondent à vos exigences en matière de protection des données.
Le tableau fournit un récapitulatif détaillé des méthodes de cryptage disponibles dans StorageGRID.
| Option de chiffrement | Comment cela fonctionne | S'applique à |
|---|---|---|
Serveur de gestion des clés (KMS) dans Grid Manager |
Vous "configurer un serveur de gestion des clés" Pour le site StorageGRID et "activez le chiffrement des nœuds pour l'appliance". Ensuite, un nœud d'appliance se connecte au KMS pour demander une clé de chiffrement (KEK). Cette clé chiffre et décrypte la clé de chiffrement des données (DEK) sur chaque volume. |
Nœuds d'appliance sur lesquels Node Encryption est activé pendant l'installation. Toutes les données de l'appliance sont protégées contre les pertes ou les suppressions physiques du data Center. Remarque : la gestion des clés de chiffrement avec un KMS n'est prise en charge que pour les nœuds de stockage et les appliances de services. |
Page chiffrement de lecteur dans le programme d'installation de l'appliance StorageGRID |
Si l'appliance contient des disques qui prennent en charge le chiffrement matériel, vous pouvez définir une phrase secrète de lecteur lors de l'installation. Lorsque vous définissez une phrase de passe pour un disque, il est impossible à quiconque de récupérer des données valides sur les disques qui ont été supprimés du système, sauf s'il connaît la phrase de passe. Avant de commencer l'installation, accédez à Configure Hardware > Drive Encryption pour définir une phrase de passe de lecteur qui s'applique à tous les disques à chiffrement automatique gérés par StorageGRID d'un nœud. |
Les appliances contiennent des disques à chiffrement automatique. Toutes les données des disques sécurisés sont protégées contre les pertes ou suppressions physiques du data Center. Le chiffrement de disque ne s'applique pas aux disques gérés par SANtricity. Si vous disposez d'une appliance de stockage avec disques à chiffrement automatique et contrôleurs SANtricity, vous pouvez activer la sécurité des disques dans SANtricity. |
Sécurité des disques dans SANtricity System Manager |
Si la fonctionnalité Drive Security est activée pour une appliance de stockage SG5700 ou SG6000, vous pouvez utiliser "SANtricity System Manager" pour créer et gérer la clé de sécurité. La clé est requise pour accéder aux données sur les disques sécurisés. |
Dispositifs de stockage équipés de disques Full Disk Encryption (FDE) ou de disques à autocryptage. Toutes les données des disques sécurisés sont protégées contre les pertes ou suppressions physiques du data Center. Utilisation avec certaines appliances de stockage ou avec des appliances de services impossible. |
Chiffrement des objets stockés |
Vous activez le "Chiffrement des objets stockés" Dans le Gestionnaire de grille. Lorsqu'il est activé, tout nouvel objet non chiffré au niveau du compartiment ou de l'objet est chiffré lors de l'ingestion. |
Ingestion récente des données d'objet S3 et Swift. Les objets stockés existants ne sont pas chiffrés. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées. |
Chiffrement de compartiment S3 |
Vous lancez une demande PutBucketEncryption pour activer le cryptage du compartiment. Tout nouvel objet non chiffré au niveau de l'objet est chiffré lors de l'ingestion. |
Données d'objet S3 récemment ingérées uniquement. Le chiffrement doit être spécifié pour le compartiment. Les objets de compartiment existants ne sont pas chiffrés. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées. |
Chiffrement côté serveur d'objets S3 (SSE) |
Vous émettez une demande S3 pour stocker un objet et inclure le |
Données d'objet S3 récemment ingérées uniquement. Le chiffrement doit être spécifié pour l'objet. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées. StorageGRID gère les clés. |
Chiffrement côté serveur objet S3 avec clés fournies par le client (SSE-C) |
Vous émettez une demande S3 pour stocker un objet et incluez trois en-têtes de requête.
|
Données d'objet S3 récemment ingérées uniquement. Le chiffrement doit être spécifié pour l'objet. Les métadonnées d'objet et les autres données sensibles ne sont pas chiffrées. Les clés sont gérées en dehors du StorageGRID. |
Chiffrement de volume ou de datastore externe |
Vous utilisez une méthode de chiffrement autres que StorageGRID pour chiffrer un volume ou un datastore entier, si votre plateforme de déploiement le prend en charge. |
Toutes les données d'objet, de métadonnées et de configuration du système, en supposant que chaque volume ou datastore est chiffré. Une méthode de chiffrement externe permet un contrôle plus précis des clés et des algorithmes de chiffrement. Peut être combiné avec les autres méthodes répertoriées. |
Chiffrement d'objet en dehors de StorageGRID |
Vous utilisez une méthode de chiffrement à l'extérieur de StorageGRID pour chiffrer les données d'objet et les métadonnées avant leur ingestion dans StorageGRID. |
Données et métadonnées d'objet uniquement (les données de configuration du système ne sont pas chiffrées). Une méthode de chiffrement externe permet un contrôle plus précis des clés et des algorithmes de chiffrement. Peut être combiné avec les autres méthodes répertoriées. |
Utilisez plusieurs méthodes de chiffrement
Selon vos besoins, vous pouvez utiliser plusieurs méthodes de chiffrement à la fois. Par exemple :
-
Vous pouvez utiliser un KMS pour protéger les nœuds de l'appliance et utiliser la fonctionnalité de sécurité des disques de SANtricity System Manager pour « double chiffrement » des données sur les disques à chiffrement automatique des mêmes appliances.
-
Vous pouvez utiliser un KMS pour sécuriser les données des nœuds de l'appliance et utiliser l'option de chiffrement des objets stockés pour chiffrer tous les objets lors de leur ingestion.
Si seule une petite partie de vos objets doit être cryptée, pensez à contrôler le chiffrement au niveau du compartiment ou de l'objet au niveau individuel. L'activation de plusieurs niveaux de chiffrement a un coût supplémentaire en termes de performance.