Note di rilascio
Sicurezza
Suggerisci modifiche
PDF
Cloud Volumes ONTAP supporta la crittografia dei dati e fornisce protezione contro virus e ransomware.
Crittografia dei dati inattivi
Cloud Volumes ONTAP supporta le seguenti tecnologie di crittografia:
-
Soluzioni di crittografia NetApp (NVE e NAE)
-
Servizio di gestione delle chiavi AWS
-
Azure Storage Service Encryption
-
Crittografia predefinita di Google Cloud Platform
È possibile utilizzare le soluzioni di crittografia NetApp con crittografia nativa da AWS, Azure o GCP, che crittografano i dati a livello di hypervisor. In questo modo si fornirebbe una doppia crittografia, che potrebbe essere utile per i dati molto sensibili. Quando si accede ai dati crittografati, questi vengono crittografati due volte, una volta a livello di hypervisor (utilizzando le chiavi del cloud provider) e poi di nuovo utilizzando le soluzioni di crittografia NetApp (utilizzando le chiavi di un gestore di chiavi esterno).
Soluzioni di crittografia NetApp (NVE e NAE)
Cloud Volumes ONTAP supporta la crittografia dei volumi NetApp (NVE) e la crittografia aggregata NetApp (NAE) con un gestore di chiavi esterno. NVE e NAE sono soluzioni basate su software che consentono la crittografia dei volumi (data-at-rest) conforme a FIPS 140-2.
-
NVE crittografa i dati inattivi un volume alla volta. Ogni volume di dati dispone di una chiave di crittografia univoca.
-
NAE è un'estensione di NVE, che crittografa i dati per ogni volume e i volumi condividono una chiave nell'aggregato. NAE consente inoltre di deduplicare i blocchi comuni di tutti i volumi dell'aggregato.
Sia NVE che NAE utilizzano la crittografia AES a 256 bit.
A partire da Cloud Volumes ONTAP 9.7, i nuovi aggregati avranno la crittografia aggregata NetApp (NAE) attivata per impostazione predefinita dopo aver configurato un gestore di chiavi esterno. I nuovi volumi che non fanno parte di un aggregato NAE avranno NetApp Volume Encryption (NVE) abilitato per impostazione predefinita (ad esempio, se si dispone di aggregati creati prima di impostare un gestore di chiavi esterno).
La configurazione di un gestore di chiavi supportato è l'unica operazione necessaria. Per istruzioni sulla configurazione, vedere "Crittografia dei volumi con le soluzioni di crittografia NetApp".
Servizio di gestione delle chiavi AWS
Quando si avvia un sistema Cloud Volumes ONTAP in AWS, è possibile attivare la crittografia dei dati utilizzando "AWS Key Management Service (KMS)". Cloud Manager richiede le chiavi dati utilizzando una chiave master del cliente (CMK).
|
Non è possibile modificare il metodo di crittografia dei dati AWS dopo aver creato un sistema Cloud Volumes ONTAP. |
Se si desidera utilizzare questa opzione di crittografia, assicurarsi che AWS KMS sia configurato correttamente. Per ulteriori informazioni, vedere "Configurazione di AWS KMS".
Azure Storage Service Encryption
"Azure Storage Service Encryption" Per i dati inattivi è attivato per impostazione predefinita per i dati Cloud Volumes ONTAP in Azure. Non è richiesta alcuna configurazione.
È possibile crittografare i dischi gestiti da Azure su sistemi Cloud Volumes ONTAP a nodo singolo utilizzando chiavi esterne di un altro account. Questa funzionalità è supportata tramite le API di Cloud Manager.
È sufficiente aggiungere quanto segue alla richiesta API quando si crea il sistema a nodo singolo:
"azureEncryptionParameters": {
"key": <azure id of encryptionset>
}
|
Le chiavi gestite dal cliente non sono supportate con le coppie Cloud Volumes ONTAP ha. |
Crittografia predefinita di Google Cloud Platform
"Crittografia dei dati inattivi di Google Cloud Platform" È attivato per impostazione predefinita per Cloud Volumes ONTAP. Non è richiesta alcuna configurazione.
Mentre Google Cloud Storage crittografa sempre i tuoi dati prima che vengano scritti su disco, puoi utilizzare le API di Cloud Manager per creare un sistema Cloud Volumes ONTAP che utilizza chiavi di crittografia gestite dal cliente. Si tratta di chiavi che vengono generate e gestite in GCP utilizzando il Cloud Key Management Service. "Scopri di più".
Scansione virus ONTAP
È possibile utilizzare la funzionalità antivirus integrata nei sistemi ONTAP per proteggere i dati da virus o altri codici dannosi.
La scansione antivirus di ONTAP, denominata Vscan, combina il software antivirus di terze parti più all'avanguardia con le funzionalità di ONTAP che offrono la flessibilità necessaria per controllare quali file vengono sottoposti a scansione e quando.
Per informazioni su vendor, software e versioni supportate da Vscan, consultare "Matrice di interoperabilità NetApp".
Per informazioni su come configurare e gestire la funzionalità antivirus sui sistemi ONTAP, consultare "Guida alla configurazione antivirus di ONTAP 9".
Protezione ransomware
Gli attacchi ransomware possono costare tempo di business, risorse e reputazione. Cloud Manager consente di implementare la soluzione NetApp per ransomware, che fornisce strumenti efficaci per visibilità, rilevamento e risoluzione dei problemi.
-
Cloud Manager identifica i volumi che non sono protetti da una policy Snapshot e consente di attivare la policy Snapshot predefinita su tali volumi.
Le copie Snapshot sono di sola lettura, impedendo la corruzione del ransomware. Possono inoltre offrire la granularità necessaria per creare immagini di una singola copia di file o di una soluzione completa di disaster recovery.
-
Cloud Manager consente inoltre di bloccare le estensioni di file ransomware comuni attivando la soluzione FPolicy di ONTAP.
