Crittografia per i dati vSphere
Suggerisci modifiche
PDF
Oggi, la necessità di proteggere i dati inattivi è in aumento grazie alla crittografia. Sebbene l'attenzione iniziale fosse concentrata sulle informazioni finanziarie e sanitarie, c'è sempre più interesse a proteggere tutte le informazioni, che siano archiviate in file, database o altri tipi di dati.
I sistemi che eseguono ONTAP semplificano la protezione di qualsiasi dato grazie alla crittografia a riposo. La crittografia dello storage NetApp (NSE) utilizza dischi con crittografia automatica (SED) con ONTAP per proteggere i dati di SAN e NAS. NetApp offre inoltre NetApp Volume Encryption e NetApp aggregate Encryption come approccio semplice e basato su software per crittografare i volumi su qualsiasi disco. Questa crittografia software non richiede unità disco speciali o gestori di chiavi esterne ed è disponibile per i clienti ONTAP senza costi aggiuntivi. Puoi eseguire l'aggiornamento e iniziare a utilizzarlo senza interruzioni per client o applicazioni, validati secondo lo standard FIPS 140-2 livello 1, incluso Onboard Key Manager.
Esistono diversi approcci per la protezione dei dati delle applicazioni virtualizzate in esecuzione su VMware vSphere. Un approccio consiste nel proteggere i dati con il software all'interno della macchina virtuale a livello di sistema operativo guest. Gli hypervisor più recenti, come vSphere 6.5, ora supportano la crittografia a livello di VM come alternativa. Tuttavia, la crittografia del software NetApp è semplice e offre i seguenti vantaggi:
-
Nessun effetto sulla CPU del server virtuale. alcuni ambienti di server virtuali richiedono ogni ciclo di CPU disponibile per le proprie applicazioni, tuttavia i test hanno dimostrato che sono necessarie fino a 5 risorse di CPU con crittografia a livello di hypervisor. Anche se il software di crittografia supporta il set di istruzioni AES-NI di Intel per l'offload del carico di lavoro di crittografia (come fa la crittografia del software NetApp), questo approccio potrebbe non essere fattibile a causa del requisito di nuove CPU che non sono compatibili con i server meno recenti.
-
Key Manager integrato incluso. La crittografia software NetApp include un gestore delle chiavi integrato senza costi aggiuntivi, il che semplifica l'avvio senza server di gestione delle chiavi ad alta disponibilità che sono complessi da acquistare e utilizzare.
-
Nessun effetto sull'efficienza dello storage. le tecniche di efficienza dello storage, come deduplica e compressione, sono ampiamente utilizzate oggi e sono fondamentali per utilizzare i supporti su disco flash in modo conveniente. Tuttavia, i dati crittografati non possono in genere essere deduplicati o compressi. La crittografia dello storage e dell'hardware NetApp opera a un livello inferiore e consente l'utilizzo completo delle funzionalità di efficienza dello storage NetApp leader del settore, a differenza di altri approcci.
-
Crittografia granulare semplice del datastore. con NetApp Volume Encryption, ogni volume ottiene la propria chiave AES a 256 bit. Se è necessario modificarlo, è possibile farlo con un singolo comando. Questo approccio è ideale se hai più tenant o hai bisogno di dimostrare una crittografia indipendente per diversi reparti o applicazioni. Questa crittografia viene gestita a livello di datastore, il che è molto più semplice della gestione di singole macchine virtuali.
Iniziare a utilizzare la crittografia del software è semplice. Una volta installata la licenza, è sufficiente configurare Onboard Key Manager specificando una passphrase e quindi creare un nuovo volume o spostare un volume lato storage per attivare la crittografia. NetApp sta lavorando per aggiungere un supporto più integrato per le funzionalità di crittografia nelle versioni future dei suoi strumenti VMware.
Per un'analisi approfondita di altri argomenti relativi alla sicurezza, fare riferimento alle seguenti risorse.