Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Crittografia dati in-flight IPSec

Collaboratori

I clienti che utilizzano tecnologie di crittografia dei dati a riposo come crittografia dello storage NetApp (NSE) o crittografia dei volumi NetApp (NVE) e crittografia del peering del cluster (CPE) per il traffico di replica dei dati possono ora utilizzare la crittografia end-to-end tra client e storage nel data fabric multicloud ibrido effettuando l'aggiornamento a ONTAP 9,8 o versioni successive e utilizzando IPSec. IPSec offre un'alternativa alla crittografia NFS o SMB/CIFS ed è l'unica opzione di crittografia in-flight per il traffico iSCSI.

In alcune situazioni, potrebbe essere necessario proteggere tutti i dati dei client trasferiti via cavo (o in volo) all'SVM di ONTAP. In questo modo si previene il replay e gli attacchi malevoli di tipo "man-in-the-middle" contro i dati sensibili mentre sono in movimento.

A partire da ONTAP 9,8, Internet Protocol Security (IPSec) fornisce il supporto di crittografia end-to-end per tutto il traffico IP tra un client e una SVM ONTAP. La crittografia dei dati IPSec per tutto il traffico IP include i protocolli NFS, iSCSI e SMB/CIFS. IPSec fornisce l'unica opzione di crittografia in volo per il traffico iSCSI.

Fornire la crittografia NFS via cavo è uno dei principali casi di utilizzo di IPsec. Prima di ONTAP 9,8, la crittografia NFS over-the-wire richiedeva la configurazione e la configurazione di Kerberos per l'utilizzo di krb5p per crittografare i dati NFS in-flight. Ciò non è sempre semplice o facile da realizzare in ogni ambiente del cliente.

I clienti che utilizzano tecnologie di crittografia dei dati a riposo come crittografia dello storage NetApp (NSE) o crittografia dei volumi NetApp (NVE) e crittografia del peering del cluster (CPE) per il traffico di replica dei dati possono ora utilizzare la crittografia end-to-end tra client e storage nel data fabric multicloud ibrido effettuando l'aggiornamento a ONTAP 9,8 o versioni successive e utilizzando IPSec.

IPSec è uno standard IETF. ONTAP utilizza IPSec in modalità di trasporto. Utilizza inoltre il protocollo IKE (Internet Key Exchange) versione 2, che utilizza una chiave precondivisa (PSK) per la negoziazione del materiale chiave tra il client e ONTAP con IPv4 o IPv6. Per impostazione predefinita, IPSec utilizza la crittografia a 256 bit Suite-B AES-GCM. Sono supportati anche Suite-B AES-GMAC256 e AES-CBC256 con crittografia a 256 bit.

Sebbene sia necessario attivare la funzionalità IPsec nel cluster, essa si applica ai singoli indirizzi IP delle SVM mediante l'uso di una voce SPD (Security Policy Database). La voce del criterio (SPD) contiene l'indirizzo IP del client (subnet IP remota), l'indirizzo IP della SVM (subnet IP locale), la suite di crittografia da utilizzare e la password precondivisa (PSK) necessaria per eseguire l'autenticazione tramite IKEv2 e stabilire la connessione IPsec. Oltre alla voce del criterio IPsec, il client deve essere configurato con le stesse informazioni (IP locale e remoto, PSK e suite di crittografia) prima che il traffico possa passare attraverso la connessione IPsec. A partire da ONTAP 9.10.1, viene aggiunto il supporto per l'autenticazione del certificato IPsec. In questo modo vengono rimossi i limiti dei criteri IPsec e viene attivato il supporto del sistema operativo Windows per IPsec.

Se tra il client e l'indirizzo IP della SVM è presente un firewall, è necessario consentire i protocolli ESP e UDP (porta 500 e 4500), sia in entrata (ingresso) che in uscita (uscita), affinché la negoziazione IKEv2 abbia successo e consenta quindi il traffico IPsec.

Per la crittografia del traffico di peering di NetApp SnapMirror e del cluster, si consiglia comunque la crittografia CPE (Cluster peering Encryption) su IPSec per un transito sicuro via cavo. Le prestazioni di CPE per questi carichi di lavoro sono migliori rispetto a IPsec. Non è necessaria una licenza per IPsec e non sono previste restrizioni per l'importazione o l'esportazione.

È possibile attivare IPSec nel cluster e creare una voce SPD per un singolo client e un singolo indirizzo IP SVM, come illustrato nell'esempio seguente:

On the Destination Cluster Peer

cluster1::> security ipsec config modify -is-enabled true

cluster1::> security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32

When prompted enter and confirm the pre shared secret (PSK).