Skip to main content
Tutti i cloud provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tutti i cloud provider
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestisci le chiavi di crittografia Cloud Volumes ONTAP con il vault delle chiavi di Azure

Collaboratori
PDF

È possibile utilizzare Azure Key Vault (AKV) per proteggere le chiavi di crittografia ONTAP in un'applicazione distribuita da Azure. Fare riferimento alla "Documentazione Microsoft".

AKV può essere utilizzato per proteggere le chiavi NetApp Volume Encryption (NVE) solo per le SVM di dati. Per ulteriori informazioni, fare riferimento alla "Documentazione ONTAP".

La gestione delle chiavi con AKV può essere abilitata con la CLI o l'API REST ONTAP.

Quando si utilizza AKV, tenere presente che per impostazione predefinita viene utilizzata una LIF SVM di dati per comunicare con l'endpoint di gestione delle chiavi cloud. Una rete di gestione dei nodi viene utilizzata per comunicare con i servizi di autenticazione del provider cloud (login.microsoftonline.com). Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.

Prima di iniziare

  • Cloud Volumes ONTAP deve eseguire la versione 9.10.1 o successiva

  • Licenza di crittografia dei volumi (VE) installata (la licenza di crittografia dei volumi NetApp viene installata automaticamente su ogni sistema Cloud Volumes ONTAP registrato presso il supporto NetApp)

  • È necessario disporre di una licenza per la gestione delle chiavi di crittografia multi-tenant (MT_EK_MGMT)

  • Devi essere un amministratore del cluster o di SVM

  • Un abbonamento Active Azure

Limitazioni

  • AKV può essere configurato solo su una SVM dati

  • NAE non può essere usato con AKV. NAE richiede un server KMIP supportato dall'esterno.

  • I nodi Cloud Volumes ONTAP eseguono il polling di AKV ogni 15 minuti per verificare l'accessibilità e la disponibilità delle chiavi. Questo periodo di polling non è configurabile e, dopo quattro errori consecutivi nel tentativo di polling (per un totale di 1 ora), i volumi vengono messi offline.

Processo di configurazione

I passaggi descritti spiegano come registrare la configurazione di Cloud Volumes ONTAP con Azure e come creare un archivio chiavi Azure. Se la procedura è già stata completata, assicurarsi di disporre delle impostazioni di configurazione corrette, in particolare nella sezione Creare un vault Azure Key, quindi passare a. Configurazione di Cloud Volumes ONTAP.

Registrazione dell'applicazione Azure

  1. È necessario prima registrare l'applicazione nell'abbonamento Azure che si desidera utilizzare per accedere al vault delle chiavi Cloud Volumes ONTAP. All'interno del portale Azure, selezionare registrazioni app.

  2. Selezionare Nuova registrazione.

  3. Fornire un nome per l'applicazione e selezionare un tipo di applicazione supportato. Il tenant singolo predefinito è sufficiente per l'utilizzo di Azure Key Vault. Selezionare Registra.

  4. Nella finestra Panoramica di Azure, selezionare l'applicazione registrata. Copiare l'ID applicazione (client) e l'ID directory (tenant) in una posizione sicura. Saranno richiesti più avanti nel processo di registrazione.

Creare un segreto per il client Azure

  1. Nel portale Azure per la registrazione dell'applicazione Azure Key Vault, seleziona il pannello certificati e segreti.

  2. Selezionare nuovo segreto client. Immettere un nome significativo per il client secret. NetApp consiglia un periodo di scadenza di 24 mesi; tuttavia, le policy di governance del cloud specifiche potrebbero richiedere un'impostazione diversa.

  3. Fare clic su Aggiungi per creare il segreto del client. Copiare la stringa segreta elencata nella colonna valore e memorizzarla in una posizione sicura per utilizzarla successivamente in Configurazione di Cloud Volumes ONTAP. Il valore segreto non viene visualizzato di nuovo dopo aver allontanato la pagina.

Creare un vault Azure Key

  1. Se si dispone già di un vault delle chiavi Azure, è possibile collegarlo alla configurazione di Cloud Volumes ONTAP; tuttavia, è necessario adattare i criteri di accesso alle impostazioni in questo processo.

  2. Nel portale Azure, accedere alla sezione Vaults chiave.

  3. Fare clic su +Crea e inserire le informazioni richieste, tra cui gruppo di risorse, regione e livello di prezzo. Inoltre, immettere il numero di giorni per conservare i vault cancellati e selezionare Enable purge Protection (attiva protezione di eliminazione) nel vault delle chiavi.

  4. Selezionare Avanti per scegliere una policy di accesso.

  5. Selezionare le seguenti opzioni:

    1. In Configurazione Access, selezionare criterio di accesso al vault.

    2. In accesso alle risorse, selezionare crittografia disco Azure per la crittografia del volume.

  6. Selezionare +Crea per aggiungere una policy di accesso.

  7. In Configura da un modello, fare clic sul menu a discesa, quindi selezionare il modello Gestione chiavi, segreti e certificati.

  8. Scegliere ciascuno dei menu a discesa delle autorizzazioni (chiave, segreto, certificato), quindi Seleziona tutto nella parte superiore dell'elenco dei menu per selezionare tutte le autorizzazioni disponibili. Dovresti avere:

    • Permessi chiave: 20 selezionato

    • Permessi segreti: 8 selezionati

    • Permessi del certificato: 16 selezionato

      Schermata di creazione di un criterio di accesso che mostra tutte le selezioni delle autorizzazioni necessarie per creare un criterio di accesso

  9. Fare clic su Avanti per selezionare l'applicazione registrata Principal Azure in cui è stata creata Registrazione dell'applicazione Azure. Selezionare Avanti.

    Nota È possibile assegnare un solo principal per policy.

    Schermata della scheda principale Crea policy di accesso

  10. Fare clic su Avanti due volte fino a visualizzare Rivedi e crea. Quindi, fare clic su Crea.

  11. Selezionare Avanti per passare alle opzioni rete.

  12. Scegliere il metodo di accesso alla rete appropriato o selezionare tutte le reti e Rivedi + Crea per creare il vault delle chiavi. (Il metodo di accesso alla rete può essere prescritto da una policy di governance o dal tuo team di sicurezza del cloud aziendale).

  13. Registrare l'URI del vault delle chiavi: Nel vault delle chiavi creato, accedere al menu Overview (Panoramica) e copiare l'URI del vault** dalla colonna di destra. Questo è necessario per un passaggio successivo.

Creare una chiave di crittografia

  1. Nel menu del vault delle chiavi creato per Cloud Volumes ONTAP, selezionare l'opzione chiavi.

  2. Selezionare genera/importa per creare una nuova chiave.

  3. Lasciare l'opzione predefinita impostata su genera.

  4. Fornire le seguenti informazioni:

    • Nome della chiave di crittografia

    • Tipo di chiave: RSA

    • Dimensione chiave RSA: 2048

    • Abilitato: Sì

  5. Selezionare Crea per creare la chiave di crittografia.

  6. Tornare al menu tasti e selezionare la chiave appena creata.

  7. Selezionare l'ID della chiave in versione corrente per visualizzare le proprietà della chiave.

  8. Individuare il campo Key Identifier. Copiare l'URI fino alla stringa esadecimale, ma non inclusa.

Creazione di un endpoint Azure Active Directory (solo ha)

  1. Questo processo è necessario solo se si configura Azure Key Vault per un ambiente di lavoro ha Cloud Volumes ONTAP.

  2. Nel portale Azure, accedere a reti virtuali.

  3. Selezionare la rete virtuale in cui è stato implementato l'ambiente di lavoro Cloud Volumes ONTAP e selezionare il menu subnet sul lato sinistro della pagina.

  4. Selezionare dall'elenco il nome della subnet per la distribuzione Cloud Volumes ONTAP.

  5. Passare all'intestazione endpoint del servizio. Nel menu a discesa, selezionare:

    • Microsoft.AzureActiveDirectory

    • Microsoft.KeyVault

    • Microsoft.Storage (opzionale)

      Schermata degli endpoint del servizio che mostra tre servizi selezionati

  6. Selezionare Salva per acquisire le impostazioni.

Configurazione di Cloud Volumes ONTAP

  1. Connettersi alla LIF di gestione del cluster con il client SSH preferito.

  2. Accedere alla modalità avanzata dei privilegi in ONTAP:
    set advanced -con off

  3. Identificare i dati SVM desiderati e verificarne la configurazione DNS:
    vserver services name-service dns show

    1. Se esiste una voce DNS per i dati SVM desiderati e contiene una voce per il DNS di Azure, non è richiesta alcuna azione. In caso contrario, aggiungere una voce del server DNS per la SVM dei dati che punta al DNS Azure, al DNS privato o al server on-premise. Questo deve corrispondere alla voce per l'amministratore del cluster SVM:
      vserver services name-service dns create -vserver SVM_name -domains domain -name-servers IP_address

    2. Verificare che il servizio DNS sia stato creato per i dati SVM:
      vserver services name-service dns show

  4. Abilitare Azure Key Vault utilizzando l'ID client e l'ID tenant salvati dopo la registrazione dell'applicazione:
    security key-manager external azure enable -vserver SVM_name -client-id Azure_client_ID -tenant-id Azure_tenant_ID -name key_vault_URI -key-id full_key_URI

    Nota Il _full_key_URI il valore deve utilizzare <https:// <key vault host name>/keys/<key label> formato.

  5. Dopo aver attivato con successo il vault delle chiavi di Azure, immettere il client secret value quando richiesto.

  6. Controllare lo stato del gestore delle chiavi:
    `security key-manager external azure check`L'output sarà simile a:

    ::*> security key-manager external azure check

Vserver: data_svm_name
Node: akvlab01-01

Category: service_reachability
    Status: OK

Category: ekmip_server
    Status: OK

Category: kms_wrapped_key_status
    Status: UNKNOWN
    Details: No volumes created yet for the vserver. Wrapped KEK status will be available after creating encrypted volumes.

3 entries were displayed.

    Se il service_reachability lo stato non è OK, SVM non può raggiungere il servizio Azure Key Vault con tutte le autorizzazioni e la connettività richieste. Assicurati che le policy di rete e il routing di Azure non blocchino il tuo VNET privato dal raggiungere l'endpoint pubblico di Azure KeyVault. In caso affermativo, prendere in considerazione l'utilizzo di un endpoint Azure Private per accedere al vault delle chiavi dall'interno di VNET. Per risolvere l'indirizzo IP privato dell'endpoint, potrebbe essere necessario aggiungere una voce di host statici sulla SVM.

    Il kms_wrapped_key_status verrà segnalato UNKNOWN alla configurazione iniziale. Il suo stato cambierà in OK dopo la crittografia del primo volume.

  7. FACOLTATIVO: Creare un volume di test per verificare la funzionalità di NVE.

    vol create -vserver SVM_name -volume volume_name -aggregate aggr -size size -state online -policy default

    Se configurato correttamente, Cloud Volumes ONTAP crea automaticamente il volume e attiva la crittografia del volume.

  8. Verificare che il volume sia stato creato e crittografato correttamente. In tal caso, il -is-encrypted il parametro viene visualizzato come true.
    vol show -vserver SVM_name -fields is-encrypted

Link correlati