Skip to main content
Tutti i provider cloud
  • Servizi Web Amazon
  • Google Cloud
  • Microsoft Azure
  • Tutti i provider cloud
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestisci le chiavi di crittografia Cloud Volumes ONTAP con Azure Key Vault

Collaboratori netapp-manini
PDF

È possibile utilizzare Azure Key Vault (AKV) per proteggere le chiavi di crittografia ONTAP in un'applicazione distribuita in Azure. Fare riferimento al"Documentazione Microsoft" .

AKV può essere utilizzato per proteggere le chiavi NetApp Volume Encryption (NVE) solo per le SVM di dati. Per ulteriori informazioni, fare riferimento al "Documentazione ONTAP" .

La gestione delle chiavi con AKV può essere abilitata tramite la CLI o l'API REST ONTAP .

Quando si utilizza AKV, tenere presente che per impostazione predefinita viene utilizzato un LIF SVM dati per comunicare con l'endpoint di gestione delle chiavi cloud. Per comunicare con i servizi di autenticazione del provider cloud (login.microsoftonline.com) viene utilizzata una rete di gestione dei nodi. Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.

Prima di iniziare

  • Cloud Volumes ONTAP deve eseguire la versione 9.10.1 o successiva

  • Licenza Volume Encryption (VE) installata (la licenza NetApp Volume Encryption viene installata automaticamente su ogni sistema Cloud Volumes ONTAP registrato presso il supporto NetApp )

  • È necessario disporre di una licenza Multi-tenant Encryption Key Management (MT_EK_MGMT)

  • Devi essere un amministratore del cluster o SVM

  • Un abbonamento Azure attivo

Limitazioni

  • AKV può essere configurato solo su una SVM dati

  • NAE non può essere utilizzato con AKV. NAE richiede un server KMIP supportato esternamente.

  • I nodi Cloud Volumes ONTAP interrogano AKV ogni 15 minuti per confermare l'accessibilità e la disponibilità delle chiavi. Questo periodo di polling non è configurabile e, dopo quattro errori consecutivi nel tentativo di polling (per un totale di 1 ora), i volumi vengono messi offline.

Processo di configurazione

I passaggi descritti descrivono come registrare la configurazione di Cloud Volumes ONTAP con Azure e come creare un Azure Key Vault e le relative chiavi. Se hai già completato questi passaggi, assicurati di avere le impostazioni di configurazione corrette, in particolare inCreare un Azure Key Vault , e poi procedere aConfigurazione Cloud Volumes ONTAP .

Registrazione dell'applicazione Azure

  1. Devi prima registrare la tua applicazione nella sottoscrizione di Azure che desideri che Cloud Volumes ONTAP utilizzi per accedere ad Azure Key Vault. Nel portale di Azure, seleziona Registrazioni app.

  2. Selezionare Nuova registrazione.

  3. Fornisci un nome per la tua applicazione e seleziona un tipo di applicazione supportato. Per l'utilizzo di Azure Key Vault è sufficiente il tenant singolo predefinito. Seleziona Registrati.

  4. Nella finestra Panoramica di Azure, seleziona l'applicazione che hai registrato. Copiare l'ID applicazione (client) e l'ID directory (tenant) in una posizione sicura. Saranno richiesti più avanti nel processo di registrazione.

Crea il segreto client di Azure

  1. Nel portale di Azure per la registrazione dell'app Azure Key Vault, seleziona il riquadro Certificati e segreti.

  2. Seleziona Nuovo segreto client. Inserisci un nome significativo per il tuo segreto client. NetApp consiglia un periodo di scadenza di 24 mesi; tuttavia, le tue specifiche policy di governance del cloud potrebbero richiedere un'impostazione diversa.

  3. Fare clic su Aggiungi per creare il segreto client. Copiare la stringa segreta elencata nella colonna Valore e memorizzarla in un luogo sicuro per un utilizzo successivo inConfigurazione Cloud Volumes ONTAP . Il valore segreto non verrà più visualizzato dopo aver abbandonato la pagina.

Creare un Azure Key Vault

  1. Se disponi di un Azure Key Vault esistente, puoi connetterlo alla configurazione Cloud Volumes ONTAP ; tuttavia, devi adattare i criteri di accesso alle impostazioni in questo processo.

  2. Nel portale di Azure, passare alla sezione Key Vault.

  3. Fare clic su +Crea e immettere le informazioni richieste, tra cui gruppo di risorse, regione e livello di prezzo. Inoltre, immettere il numero di giorni per cui conservare i vault eliminati e selezionare Abilita protezione di eliminazione sul vault delle chiavi.

  4. Selezionare Avanti per scegliere una policy di accesso.

  5. Selezionare le seguenti opzioni:

    1. In Configurazione di accesso, seleziona Criterio di accesso al Vault.

    2. In Accesso alle risorse, seleziona Azure Disk Encryption per la crittografia del volume.

  6. Selezionare +Crea per aggiungere un criterio di accesso.

  7. In Configura da un modello, fai clic sul menu a discesa e seleziona il modello Gestione chiavi, segreti e certificati.

  8. Selezionare ciascuno dei menu a discesa delle autorizzazioni (chiave, segreto, certificato), quindi Seleziona tutto nella parte superiore dell'elenco del menu per selezionare tutte le autorizzazioni disponibili. Dovresti avere:

    • Autorizzazioni chiave: 20 selezionate

    • Autorizzazioni segrete: 8 selezionate

    • Autorizzazioni del certificato: 16 selezionate

      screenshot di Crea un criterio di accesso che mostra tutte le selezioni di autorizzazioni necessarie per creare un criterio di accesso

  9. Fare clic su Avanti per selezionare l'applicazione Azure registrata Principale creata inRegistrazione dell'applicazione Azure . Selezionare Avanti.

    Nota È possibile assegnare un solo mandante a ogni polizza.

    screenshot della scheda Crea un'entità di policy di accesso

  10. Fare clic due volte su Avanti fino ad arrivare a Revisiona e crea. Quindi, fai clic su Crea.

  11. Selezionare Avanti per passare alle opzioni di Rete.

  12. Selezionare il metodo di accesso alla rete appropriato oppure selezionare Tutte le reti e Revisiona + Crea per creare il vault delle chiavi. (Il metodo di accesso alla rete può essere prescritto da una policy di governance o dal team di sicurezza cloud aziendale.)

  13. Registra l'URI del Key Vault: nel Key Vault creato, vai al menu Panoramica e copia l'URI del Vault dalla colonna di destra. Ti servirà per un passaggio successivo.

Crea chiave di crittografia

  1. Nel menu del Key Vault creato per Cloud Volumes ONTAP, vai all'opzione Chiavi.

  2. Selezionare Genera/importa per creare una nuova chiave.

  3. Lasciare l'opzione predefinita impostata su Genera.

  4. Fornire le seguenti informazioni:

    • Nome della chiave di crittografia

    • Tipo di chiave: RSA

    • Dimensione chiave RSA: 2048

    • Abilitato: Sì

  5. Selezionare Crea per creare la chiave di crittografia.

  6. Torna al menu Chiavi e seleziona la chiave appena creata.

  7. Selezionare l'ID chiave in Versione corrente per visualizzare le proprietà della chiave.

  8. Individuare il campo Identificatore chiave. Copia l'URI fino alla stringa esadecimale esclusa.

Creare un endpoint di Azure Active Directory (solo HA)

  1. Questo processo è necessario solo se si sta configurando Azure Key Vault per un sistema HA Cloud Volumes ONTAP .

  2. Nel portale di Azure, passare a Reti virtuali.

  3. Selezionare la rete virtuale in cui è stato distribuito il sistema Cloud Volumes ONTAP e selezionare il menu Sottoreti sul lato sinistro della pagina.

  4. Seleziona dall'elenco il nome della subnet per la distribuzione Cloud Volumes ONTAP .

  5. Passare all'intestazione Endpoint di servizio. Nel menu a discesa, seleziona quanto segue:

    • Microsoft.AzureActiveDirectory

    • Microsoft.KeyVault

    • Microsoft.Storage (facoltativo)

      Screenshot degli endpoint del servizio che mostra tre servizi selezionati

  6. Seleziona Salva per acquisire le tue impostazioni.

Configurazione Cloud Volumes ONTAP

  1. Connettiti al LIF di gestione del cluster con il tuo client SSH preferito.

  2. Accedi alla modalità privilegio avanzata in ONTAP:
    set advanced -con off

  3. Identificare l'SVM dati desiderato e verificarne la configurazione DNS:
    vserver services name-service dns show

    1. Se esiste una voce DNS per l'SVM dati desiderato e contiene una voce per il DNS di Azure, non è richiesta alcuna azione. In caso contrario, aggiungere una voce del server DNS per l'SVM dati che punti al DNS di Azure, al DNS privato o al server locale. Dovrebbe corrispondere alla voce per l'SVM di amministrazione del cluster:
      vserver services name-service dns create -vserver SVM_name -domains domain -name-servers IP_address

    2. Verificare che il servizio DNS sia stato creato per i dati SVM:
      vserver services name-service dns show

  4. Abilita Azure Key Vault utilizzando l'ID client e l'ID tenant salvati dopo la registrazione dell'applicazione:
    security key-manager external azure enable -vserver SVM_name -client-id Azure_client_ID -tenant-id Azure_tenant_ID -name key_vault_URI -key-id full_key_URI

    Nota IL _full_key_URI il valore deve utilizzare il <https:// <key vault host name>/keys/<key label> formato.

  5. Dopo aver abilitato correttamente Azure Key Vault, immettere client secret value quando richiesto.

  6. Controllare lo stato del gestore delle chiavi:
    security key-manager external azure check L'output sarà simile al seguente:

    ::*> security key-manager external azure check

Vserver: data_svm_name
Node: akvlab01-01

Category: service_reachability
    Status: OK

Category: ekmip_server
    Status: OK

Category: kms_wrapped_key_status
    Status: UNKNOWN
    Details: No volumes created yet for the vserver. Wrapped KEK status will be available after creating encrypted volumes.

3 entries were displayed.

    Se il service_reachability lo stato non è OK , l'SVM non riesce a raggiungere il servizio Azure Key Vault con tutta la connettività e le autorizzazioni richieste. Assicurati che i criteri di rete e il routing di Azure non impediscano alla tua rete virtuale privata di raggiungere l'endpoint pubblico di Azure Key Vault. In tal caso, valutare l'utilizzo di un endpoint privato di Azure per accedere al Key Vault dall'interno della rete virtuale. Potrebbe anche essere necessario aggiungere una voce host statica sulla SVM per risolvere l'indirizzo IP privato per l'endpoint.

    IL kms_wrapped_key_status riferirà UNKNOWN nella configurazione iniziale. Il suo stato cambierà in OK dopo che il primo volume è stato crittografato.

  7. FACOLTATIVO: creare un volume di prova per verificare la funzionalità di NVE.

    vol create -vserver SVM_name -volume volume_name -aggregate aggr -size size -state online -policy default

    Se configurato correttamente, Cloud Volumes ONTAP creerà automaticamente il volume e abiliterà la crittografia del volume.

  8. Verificare che il volume sia stato creato e crittografato correttamente. Se lo è, il -is-encrypted il parametro verrà visualizzato come true .
    vol show -vserver SVM_name -fields is-encrypted

  9. Facoltativo: se si desidera aggiornare le credenziali sul certificato di autenticazione di Azure Key Vault, utilizzare il comando seguente:
    security key-manager external azure update-credentials -vserver v1 -authentication-method certificate

Link correlati