Configurazione della panoramica della crittografia basata su hardware NetApp
La crittografia basata su hardware di NetApp supporta la crittografia completa dei dischi (FDE) dei dati così come vengono scritti. I dati non possono essere letti senza una chiave di crittografia memorizzata nel firmware. La chiave di crittografia, a sua volta, è accessibile solo a un nodo autenticato.
Comprendere la crittografia basata su hardware NetApp
Un nodo esegue l'autenticazione su un'unità con crittografia automatica utilizzando una chiave di autenticazione recuperata da un server di gestione delle chiavi esterno o da Onboard Key Manager:
-
Il server di gestione delle chiavi esterno è un sistema di terze parti nell'ambiente di storage che fornisce le chiavi ai nodi utilizzando il protocollo KMIP (Key Management Interoperability Protocol). Si consiglia di configurare i server di gestione delle chiavi esterni su un sistema storage diverso dai dati.
-
Onboard Key Manager è uno strumento integrato che fornisce chiavi di autenticazione ai nodi dello stesso sistema storage dei dati.
È possibile utilizzare NetApp Volume Encryption con crittografia basata su hardware per "eseguire la doppia crittografia `d`" dei dati su dischi con crittografia automatica.
Quando i dischi con crittografia automatica sono abilitati, anche il core dump è crittografato.
Se una coppia ha utilizza dischi SAS o NVMe con crittografia (SED, NSE, FIPS), seguire le istruzioni riportate nell'argomento Ripristino di un'unità FIPS o SED in modalità non protetta Per tutti i dischi all'interno della coppia ha prima dell'inizializzazione del sistema (opzioni di avvio 4 o 9). Il mancato rispetto di questa procedura potrebbe causare la perdita di dati in futuro se i dischi vengono riutilizzati. |
Tipi di dischi con crittografia automatica supportati
Sono supportati due tipi di dischi con crittografia automatica:
-
I dischi SAS o NVMe con crittografia automatica certificati FIPS sono supportati su tutti i sistemi FAS e AFF. Questi dischi, denominati dischi FIPS, sono conformi ai requisiti della pubblicazione Federal Information Processing Standard 140-2, livello 2. Le funzionalità certificate consentono di proteggere oltre alla crittografia, ad esempio prevenendo attacchi di tipo Denial-of-service sul disco. I dischi FIPS non possono essere combinati con altri tipi di dischi sullo stesso nodo o coppia ha.
-
A partire da ONTAP 9.6, i dischi NVMe con crittografia automatica che non hanno superato i test FIPS sono supportati sui sistemi AFF A800, A320 e successivi. Questi dischi, denominati SED, offrono le stesse funzionalità di crittografia dei dischi FIPS, ma possono essere combinati con dischi non crittografanti sullo stesso nodo o coppia ha.
-
Tutti i dischi convalidati FIPS utilizzano un modulo di crittografia del firmware che è stato eseguito attraverso la convalida FIPS. Il modulo crittografico del disco FIPS non utilizza chiavi generate al di fuori del disco (la passphrase di autenticazione immessa nel disco viene utilizzata dal modulo crittografico del firmware del disco per ottenere una chiave di crittografia).
Le unità non crittografate sono unità che non sono unità SED o FIPS. |
Se stai utilizzando NSE su un sistema con un modulo Flash cache, dovresti abilitare anche NVE o NAE. NSe non crittografa i dati che risiedono nel modulo Flash cache. |
Quando utilizzare la gestione esterna delle chiavi
Sebbene sia meno costoso e generalmente più conveniente utilizzare il gestore delle chiavi integrato, è consigliabile utilizzare la gestione esterna delle chiavi se si verifica una delle seguenti condizioni:
-
La policy aziendale richiede una soluzione di gestione delle chiavi che utilizzi un modulo crittografico FIPS 140-2 livello 2 (o superiore).
-
Hai bisogno di una soluzione multi-cluster, con gestione centralizzata delle chiavi di crittografia.
-
La tua azienda richiede una maggiore sicurezza nell'archiviazione delle chiavi di autenticazione su un sistema o in una posizione diversa dai dati.
Dettagli del supporto
La seguente tabella mostra importanti dettagli sul supporto della crittografia hardware. Consulta la matrice di interoperabilità per le informazioni più recenti su server KMIP, sistemi storage e shelf di dischi supportati.
Risorsa o funzione |
Dettagli del supporto |
Set di dischi non omogenei |
|
Tipo di disco |
|
Interfacce di rete da 10 GB |
A partire da ONTAP 9.3, le configurazioni di gestione delle chiavi KMIP supportano interfacce di rete da 10 GB per le comunicazioni con server di gestione delle chiavi esterni. |
Porte per la comunicazione con il server di gestione delle chiavi |
A partire da ONTAP 9.3, è possibile utilizzare qualsiasi porta del controller di storage per la comunicazione con il server di gestione delle chiavi. In caso contrario, utilizzare la porta e0M per la comunicazione con i server di gestione delle chiavi. A seconda del modello di controller di storage, alcune interfacce di rete potrebbero non essere disponibili durante il processo di avvio per la comunicazione con i server di gestione delle chiavi. |
MetroCluster (MCC) |
|
Workflow di crittografia basato su hardware
È necessario configurare i servizi di gestione delle chiavi prima che il cluster possa autenticarsi sull'unità con crittografia automatica. È possibile utilizzare un server di gestione delle chiavi esterno o un gestore delle chiavi integrato.