Skip to main content
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sécurité

Contributeurs

Assurez-vous que l'installation d'Astra Trident est sécurisée à l'aide des recommandations indiquées ici.

Exécutez Astra Trident dans son propre espace de noms

Il est important d'empêcher les applications, les administrateurs d'applications, les utilisateurs et les applications de gestion d'accéder aux définitions d'objets Astra Trident ou aux pods pour assurer un stockage fiable et bloquer tout risque d'activité malveillante.

Pour séparer les autres applications et utilisateurs d'Astra Trident, installez toujours Astra Trident dans son propre espace de noms Kubernetes (trident). L'utilisation d'Astra Trident dans son propre espace de noms garantit que seul le personnel d'administration Kubernetes a accès au pod Trident Astra et aux artéfacts (tels que les secrets d'arrière-plan et CHAP le cas échéant) stockés dans les objets CRD devant être namestes. Assurez-vous d'autoriser uniquement les administrateurs à accéder au namespace d'Astra Trident et ainsi à l' `tridentctl`application.

Utilisez l'authentification CHAP avec les systèmes back-end ONTAP SAN

ASTRA Trident prend en charge l'authentification CHAP pour les workloads SAN ONTAP (à l'aide des ontap-san pilotes et ontap-san-economy). NetApp recommande d'utiliser le protocole CHAP bidirectionnel avec Astra Trident pour l'authentification entre l'hôte et le système back-end de stockage.

Pour les systèmes back-end ONTAP qui utilisent des pilotes de stockage SAN, Astra Trident peut configurer le protocole CHAP bidirectionnel et gérer les noms d'utilisateur et les secrets CHAP via tridentctl. Reportez-vous à la section "" pour savoir comment Astra Trident configure CHAP sur des systèmes back-end ONTAP.

Utilisez l'authentification CHAP avec les systèmes back-end NetApp HCI et SolidFire

NetApp recommande de déployer le protocole CHAP bidirectionnel pour garantir l'authentification entre l'hôte et les systèmes back-end NetApp HCI et SolidFire. Astra Trident utilise un objet secret qui inclut deux mots de passe CHAP par locataire. Lorsque vous installez Astra Trident, il gère les secrets CHAP et les stocke dans un tridentvolume objet CR pour le PV correspondant. Lorsque vous créez un volume persistant, Astra Trident utilise les secrets CHAP pour initier une session iSCSI et communiquer avec le système NetApp HCI et SolidFire sur CHAP.

Remarque Les volumes créés par Astra Trident ne sont associés à aucun groupe d'accès de volume.

Utilisez Astra Trident avec NVE et NAE

NetApp ONTAP assure le chiffrement des données au repos pour protéger les données sensibles en cas de vol, de retour ou de reconversion d'un disque. Pour plus de détails, reportez-vous à "Configurer la présentation de NetApp Volume Encryption".

  • Si NAE est activé sur le back-end, tous les volumes provisionnés dans Astra Trident seront NAE.

  • Si NAE n'est pas activé sur le back-end, tout volume provisionné dans Astra Trident sera activé sur NVE, à moins que vous ne définiez l'indicateur de chiffrement NVE sur false dans la configuration back-end.

Remarque

Les volumes créés dans Astra Trident sur un système back-end compatible NAE doivent être chiffrés NVE ou NAE.

  • Vous pouvez définir l'indicateur de chiffrement NVE sur true dans la configuration back-end Trident pour remplacer le chiffrement NAE et utiliser une clé de chiffrement spécifique par volume.

  • La définition de l'indicateur de chiffrement NVE false sur un système back-end compatible NAE permet de créer un volume NAE. Vous ne pouvez pas désactiver le chiffrement NAE en configurant l'indicateur de chiffrement NVE sur false.

  • Vous pouvez créer manuellement un volume NVE dans Astra Trident en configurant explicitement l'indicateur de chiffrement NVE sur true.

Pour plus d'informations sur les options de configuration du back-end, reportez-vous à :