Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Crittografia dello storage

Collaboratori

Per proteggere i dati sensibili in caso di furto, restituzione o riutilizzo di un disco, utilizzare la crittografia storage NetApp basata su hardware o la crittografia dei volumi NetApp basata su software/crittografia aggregata NetApp. Entrambi i meccanismi sono validati FIPS-140-2 e quando si utilizzano meccanismi basati su hardware con meccanismi basati su software, la soluzione è idonea per il programma Commercial Solutions for Classified (CSFC). Consente una protezione di sicurezza avanzata per dati segreti e top-secret a riposo sia a livello hardware che software.

La crittografia dei dati inattivi è importante per proteggere i dati sensibili in caso di furto, restituzione o riordinamento di un disco.

ONTAP 9 dispone di tre soluzioni di crittografia dei dati a riposo conformi a Federal Information Processing Standard (FIPS) 140-2:

  • Crittografia storage NetApp (NSE) è una soluzione hardware che utilizza dischi con crittografia automatica.

  • NetApp Volume Encryption (NVE) è una soluzione software che consente la crittografia di qualsiasi volume di dati su qualsiasi tipo di disco dove è abilitato con una chiave univoca per ciascun volume.

  • Crittografia degli aggregati NetApp (NAE) è una soluzione software che consente la crittografia di qualsiasi volume di dati su qualsiasi tipo di disco con chiavi univoche per ciascun aggregato.

NSe, NVE e NAE possono utilizzare la gestione delle chiavi esterna o il gestore delle chiavi integrato (OKM). L'utilizzo di NSE, NVE e NAE non influisce sulle funzionalità di efficienza dello storage di ONTAP. Tuttavia, i volumi NVE sono esclusi dalla deduplica aggregata. I volumi NAE partecipano e traggono vantaggio dalla deduplica aggregata.

OKM offre una soluzione per la crittografia autonoma dei dati a riposo con NSE, NVE o NAE.

NVE, NAE e OKM utilizzano ONTAP CryptoMod. CryptoMod è elencato nell'elenco dei moduli validati di CMVP FIPS 140-2. Vedere "FIPS 140-2 certificato n. 4144".

Per avviare la configurazione OKM, utilizzare il security key-manager onboard enable comando. Per configurare manager delle chiavi esterni KMIP (Key Management Interoperability Protocol), utilizza il security key-manager external enable comando. A partire da ONTAP 9,6, la multi-tenancy è supportata per i gestori delle chiavi esterne. Utilizza il -vserver <vserver name> parametro per abilitare la gestione esterna delle chiavi per una SVM specifica. Prima della versione 9,6, il security key-manager setup comando era stato utilizzato per configurare sia il gestore delle chiavi OKM che quello esterno. Per la gestione della chiave integrata, questa configurazione guida l'operatore o l'amministratore attraverso l'impostazione della passphrase e parametri aggiuntivi per la configurazione di OKM.

Una parte della configurazione viene fornita nel seguente esempio:

cluster1::> security key-manager setup
Welcome to the key manager setup wizard, which will lead you through
the steps to add boot information.

Enter the following commands at any time
"help" or "?" if you want to have a question clarified,
"back" if you want to change your answers to previous questions, and
"exit" if you want to quit the key manager setup wizard. Any changes
you made before typing "exit" will be applied.

Restart the key manager setup wizard with "security key-manager setup". To accept a default
or omit a question, do not enter a value.

Would you like to configure onboard key management? {yes, no} [yes]:
Enter the cluster-wide passphrase for onboard key management. To continue the configuration, enter the passphrase, otherwise
type "exit":
Re-enter the cluster-wide passphrase:
After configuring onboard key management, save the encrypted configuration data
in a safe location so that you can use it if you need to perform a manual recovery
operation. To view the data, use the "security key-manager backup show" command.

A partire da ONTAP 9,4, è possibile utilizzare -enable-cc-mode l'opzione true con security key-manager setup per richiedere agli utenti di immettere la passphrase dopo un riavvio. Per ONTAP 9,6 e versioni successive, la sintassi del comando è security key-manager onboard enable -cc-mode-enabled yes.

A partire da ONTAP 9,4, puoi utilizzare la secure-purge funzionalità con privilegio avanzato per "scrub" dei dati senza interruzioni su volumi abilitati per NVE. Lo scrubbing dei dati su un volume crittografato garantisce che non possano essere recuperati dal supporto fisico. Il seguente comando rimuove in modo sicuro i file eliminati su vol1 in SVM VS1:

cluster1::> volume encryption secure-purge start -vserver vs1 -volume vol1

A partire da ONTAP 9,7, NAE e NVE sono abilitate per impostazione predefinita se è in uso la licenza VE, sono configurati gestore delle chiavi OKM o esterni e NSE non viene utilizzato. I volumi NAE sono creati per impostazione predefinita sugli aggregati NAE e i volumi NVE sono creati per impostazione predefinita su aggregati non NAE. È possibile ignorare questo comando immettendo il seguente comando:

cluster1::*> options -option-name encryption.data_at_rest_encryption.disable_by_default true

A partire da ONTAP 9,6, è possibile utilizzare un ambito SVM per configurare la gestione delle chiavi esterne per una SVM dati nel cluster. Si tratta della soluzione ottimale per gli ambienti multitenant in cui ogni tenant utilizza una SVM (o un set di SVM) differente per fornire i dati. Solo l'amministratore SVM di un determinato tenant ha accesso alle chiavi del tenant. Per ulteriori informazioni, consultare la "Attiva la gestione esterna delle chiavi in ONTAP 9,6 e versioni successive" documentazione di ONTAP.

A partire da ONTAP 9.11.1, puoi configurare la connettività ai server per la gestione delle chiavi esterne in cluster designando i server chiavi primari e secondari su una SVM. Per ulteriori informazioni, consultare la "configurare i server chiavi esterne in cluster" documentazione di ONTAP.

A partire da ONTAP 9.13.1, è possibile configurare i server di gestione chiavi esterni in Gestione di sistema. Per ulteriori informazioni, consultare la "Gestire i key manager esterni" documentazione di ONTAP.