Crittografia dei dati in transito
I dati in transito possono essere crittografati a livello di protocollo NAS e la rete Google Cloud stessa è crittografata, come descritto nelle sezioni seguenti.
Rete Google Cloud
Google Cloud crittografa il traffico a livello di rete come descritto in "Crittografia in transito" nella documentazione di Google. Come accennato nella sezione "Architettura Google Cloud NetApp Volumes ", Google Cloud NetApp Volumes viene distribuito tramite un progetto produttore PSA controllato da NetApp.
Nel caso di NetApp Volumes-SW, il tenant produttore esegue le VM di Google per fornire il servizio. Il traffico tra le VM degli utenti e le VM Google Cloud NetApp Volumes viene crittografato automaticamente da Google.
Sebbene il percorso dati per NetApp Volumes-Performance non sia completamente crittografato a livello di rete, NetApp e Google utilizzano una combinazione "della crittografia IEEE 802.1AE (MACSec)" , "incapsulamento" (crittografia dei dati) e reti fisicamente limitate per proteggere i dati in transito tra il tipo di servizio Google Cloud NetApp Volumes NetApp Volumes e Google Cloud.
Protocolli NAS
I protocolli NAS NFS e SMB forniscono la crittografia di trasporto opzionale a livello di protocollo.
Crittografia SMB
"Crittografia SMB"fornisce la crittografia end-to-end dei dati SMB e protegge i dati da intercettazioni su reti non affidabili. È possibile abilitare la crittografia sia per la connessione dati client/server (disponibile solo per i client compatibili con SMB3.x) sia per l'autenticazione del server/controller di dominio.
Quando la crittografia SMB è abilitata, i client che non supportano la crittografia non possono accedere alla condivisione.
Google Cloud NetApp Volumes supporta i cifrari di sicurezza RC4-HMAC, AES-128-CTS-HMAC-SHA1 e AES-256-CTS-HMAC-SHA1 per la crittografia SMB. SMB negozia il tipo di crittografia più elevato supportato dal server.
NFSv4.1 Kerberos
Per NFSv4.1, NetApp Volumes-Performance offre l'autenticazione Kerberos come descritto in "RFC7530" È possibile abilitare Kerberos in base al volume.
Il tipo di crittografia più potente attualmente disponibile per Kerberos è AES-256-CTS-HMAC-SHA1. Google Cloud NetApp Volumes supporta AES-256-CTS-HMAC-SHA1, AES-128-CTS-HMAC-SHA1, DES3 e DES per NFS. Supporta anche ARCFOUR-HMAC (RC4) per il traffico CIFS/SMB, ma non per NFS.
Kerberos fornisce tre diversi livelli di sicurezza per i mount NFS, che consentono di scegliere il livello di sicurezza Kerberos.
Secondo RedHat "Opzioni di montaggio comuni" documentazione:
sec=krb5 uses Kerberos V5 instead of local UNIX UIDs and GIDs to authenticate users. sec=krb5i uses Kerberos V5 for user authentication and performs integrity checking of NFS operations using secure checksums to prevent data tampering. sec=krb5p uses Kerberos V5 for user authentication, integrity checking, and encrypts NFS traffic to prevent traffic sniffing. This is the most secure setting, but it also involves the most performance overhead.
Come regola generale, più il livello di sicurezza di Kerberos deve intervenire, peggiori saranno le prestazioni, poiché il client e il server impiegano tempo a crittografare e decrittografare le operazioni NFS per ogni pacchetto inviato. Molti client e server NFS forniscono supporto per l'offload AES-NI sulle CPU per una migliore esperienza complessiva, ma l'impatto sulle prestazioni di Kerberos 5p (crittografia end-to-end completa) è significativamente maggiore rispetto all'impatto di Kerberos 5 (autenticazione utente).
La tabella seguente mostra le differenze tra i diversi livelli in termini di sicurezza e prestazioni.
Livello di sicurezza | Sicurezza | Prestazione |
---|---|---|
NFSv3—sys |
|
|
NFSv4.x—sys |
|
|
NFS—krb5 |
|
|
NFS—krb5i |
|
|
NFS – krb5p |
|
|
In Google Cloud NetApp Volumes, un server Active Directory configurato viene utilizzato come server Kerberos e server LDAP (per cercare le identità degli utenti da uno schema compatibile con RFC2307). Non sono supportati altri server Kerberos o LDAP. NetApp consiglia vivamente di utilizzare LDAP per la gestione delle identità in Google Cloud NetApp Volumes. Per informazioni su come NFS Kerberos viene visualizzato nelle acquisizioni dei pacchetti, vedere la sezione link:gcp-gcnv-arch-detail.html#Considerazioni sullo sniffing/tracciamento dei pacchetti["Considerazioni sullo sniffing/tracciamento dei pacchetti."]