Skip to main content
Tutti i provider cloud
  • Servizi Web Amazon
  • Google Cloud
  • Microsoft Azure
  • Tutti i provider cloud
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare Cloud Volumes ONTAP per utilizzare una chiave gestita dal cliente in Azure

Collaboratori netapp-manini
PDF

I dati vengono crittografati automaticamente su Cloud Volumes ONTAP in Azure utilizzando Azure Storage Service Encryption con una chiave gestita da Microsoft. Ma puoi anche utilizzare la tua chiave di crittografia seguendo i passaggi descritti in questa pagina.

Panoramica sulla crittografia dei dati

I dati Cloud Volumes ONTAP vengono crittografati automaticamente in Azure utilizzando "Crittografia del servizio di archiviazione di Azure" . L'implementazione predefinita utilizza una chiave gestita da Microsoft. Non è richiesta alcuna configurazione.

Se si desidera utilizzare una chiave gestita dal cliente con Cloud Volumes ONTAP, è necessario completare i seguenti passaggi:

  1. Da Azure, crea un archivio chiavi e quindi genera una chiave in tale archivio.

  2. Dalla console NetApp , utilizzare l'API per creare un sistema Cloud Volumes ONTAP che utilizzi la chiave.

Come vengono crittografati i dati

La console utilizza un set di crittografia del disco, che consente la gestione delle chiavi di crittografia con dischi gestiti e non con blob di pagine. Anche tutti i nuovi dischi dati utilizzano lo stesso set di crittografia del disco. Le versioni precedenti utilizzeranno la chiave gestita da Microsoft anziché quella gestita dal cliente.

Dopo aver creato un sistema Cloud Volumes ONTAP configurato per utilizzare una chiave gestita dal cliente, i dati di Cloud Volumes ONTAP vengono crittografati come segue.

Configurazione Cloud Volumes ONTAP Dischi di sistema utilizzati per la crittografia delle chiavi Dischi dati utilizzati per la crittografia delle chiavi

Nodo singolo

  • Stivale

  • Nucleo

  • NVRAM

  • Radice

  • Dati

Zona di disponibilità singola di Azure HA con blob di pagine

  • Stivale

  • Nucleo

  • NVRAM

Nessuno

Zona di disponibilità singola di Azure HA con dischi gestiti condivisi

  • Stivale

  • Nucleo

  • NVRAM

  • Radice

  • Dati

Zone di disponibilità multiple di Azure HA con dischi gestiti condivisi

  • Stivale

  • Nucleo

  • NVRAM

  • Radice

  • Dati

Tutti gli account di archiviazione di Azure per Cloud Volumes ONTAP vengono crittografati tramite una chiave gestita dal cliente. Se si desidera crittografare gli account di archiviazione durante la loro creazione, è necessario creare e fornire l'ID della risorsa nella richiesta di creazione Cloud Volumes ONTAP . Questo vale per tutti i tipi di distribuzioni. Se non lo fornisci, gli account di archiviazione saranno comunque crittografati, ma la Console crea prima gli account di archiviazione con la crittografia della chiave gestita da Microsoft e poi aggiorna gli account di archiviazione per utilizzare la chiave gestita dal cliente.

Rotazione delle chiavi in ​​Cloud Volumes ONTAP

Quando si configurano le chiavi di crittografia, è necessario utilizzare il portale di Azure per impostare e abilitare la rotazione automatica delle chiavi. La creazione e l'abilitazione di una nuova versione delle chiavi di crittografia garantisce che Cloud Volumes ONTAP possa rilevare e utilizzare automaticamente la versione più recente della chiave per la crittografia, garantendo la sicurezza dei dati senza la necessità di un intervento manuale.

Per informazioni sulla configurazione delle chiavi e sull'impostazione della rotazione delle chiavi, fare riferimento ai seguenti argomenti della documentazione di Microsoft Azure:

Nota Dopo aver configurato le chiavi, assicurati di aver selezionato "Abilita rotazione automatica" , in modo che Cloud Volumes ONTAP possa utilizzare le nuove chiavi quando quelle precedenti scadono. Se non si abilita questa opzione nel portale di Azure, Cloud Volumes ONTAP non potrà rilevare automaticamente le nuove chiavi, il che potrebbe causare problemi con il provisioning dello storage.

Creare un'identità gestita assegnata dall'utente

Hai la possibilità di creare una risorsa denominata identità gestita assegnata dall'utente. In questo modo è possibile crittografare gli account di archiviazione quando si crea un sistema Cloud Volumes ONTAP . Si consiglia di creare questa risorsa prima di creare un archivio chiavi e generare una chiave.

La risorsa ha il seguente ID: userassignedidentity .

Passi

  1. In Azure, vai a Servizi di Azure e seleziona Identità gestite.

  2. Fare clic su Crea.

  3. Fornire i seguenti dettagli:

    • Abbonamento: Scegli un abbonamento. Si consiglia di scegliere lo stesso abbonamento dell'agente della Console.

    • Gruppo di risorse: utilizza un gruppo di risorse esistente o creane uno nuovo.

    • Regione: facoltativamente, selezionare la stessa regione dell'agente Console.

    • Nome: inserisci un nome per la risorsa.

  4. Facoltativamente, aggiungi dei tag.

  5. Fare clic su Crea.

Crea un archivio di chiavi e genera una chiave

L'archivio delle chiavi deve risiedere nella stessa sottoscrizione e regione di Azure in cui si prevede di creare il sistema Cloud Volumes ONTAP .

Se tuha creato un'identità gestita assegnata dall'utente durante la creazione del key vault, dovresti anche creare una policy di accesso per il key vault.

Passi

  1. "Crea un archivio chiavi nel tuo abbonamento Azure" .

    Tenere presente i seguenti requisiti per il key vault:

    • Il key vault deve risiedere nella stessa regione del sistema Cloud Volumes ONTAP .

    • Dovrebbero essere abilitate le seguenti opzioni:

      • Eliminazione temporanea (questa opzione è abilitata per impostazione predefinita, ma non deve essere disabilitata)

      • Protezione anti-spurgo

      • Azure Disk Encryption per la crittografia dei volumi (per sistemi a nodo singolo, coppie HA in più zone e distribuzioni HA con una sola zona di disponibilità)

        Nota L'utilizzo delle chiavi di crittografia gestite dal cliente di Azure è subordinato all'abilitazione della crittografia del disco di Azure per l'insieme di credenziali delle chiavi.

    • Se hai creato un'identità gestita assegnata dall'utente, dovresti abilitare la seguente opzione:

      • Politica di accesso al caveau

  2. Se hai selezionato Criterio di accesso al vault, fai clic su Crea per creare un criterio di accesso per il vault delle chiavi. In caso contrario, passare al passaggio 3.

    1. Selezionare le seguenti autorizzazioni:

      • Ottenere

      • lista

      • decifrare

      • crittografare

      • chiave di scarto

      • chiave di avvolgimento

      • verificare

      • cartello

    2. Selezionare l'identità gestita (risorsa) assegnata dall'utente come principale.

    3. Rivedere e creare la policy di accesso.

  3. "Genera una chiave nel key vault" .

    Notare i seguenti requisiti per la chiave:

    • Il tipo di chiave deve essere RSA.

    • La dimensione consigliata della chiave RSA è 2048, ma sono supportate anche altre dimensioni.

Creare un sistema che utilizzi la chiave di crittografia

Dopo aver creato il key vault e generato una chiave di crittografia, è possibile creare un nuovo sistema Cloud Volumes ONTAP configurato per utilizzare la chiave. Questi passaggi sono supportati tramite l'API.

Autorizzazioni richieste

Se si desidera utilizzare una chiave gestita dal cliente con un sistema Cloud Volumes ONTAP a nodo singolo, assicurarsi che l'agente della console disponga delle seguenti autorizzazioni:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"

"Visualizza l'elenco più recente delle autorizzazioni"

Passi

  1. Ottieni l'elenco degli archivi di chiavi nella tua sottoscrizione di Azure utilizzando la seguente chiamata API.

    Per una coppia HA: GET /azure/ha/metadata/vaults

    Per nodo singolo: GET /azure/vsa/metadata/vaults

    Prendi nota di nome e resourceGroup. Sarà necessario specificare tali valori nel passaggio successivo.

    "Scopri di più su questa chiamata API" .

  2. Ottieni l'elenco delle chiavi all'interno del vault utilizzando la seguente chiamata API.

    Per una coppia HA: GET /azure/ha/metadata/keys-vault

    Per nodo singolo: GET /azure/vsa/metadata/keys-vault

    Prendi nota di keyName. Sarà necessario specificare tale valore (insieme al nome del vault) nel passaggio successivo.

    "Scopri di più su questa chiamata API" .

  3. Creare un sistema Cloud Volumes ONTAP utilizzando la seguente chiamata API.

    1. Per una coppia HA:

      POST /azure/ha/working-environments

      Il corpo della richiesta deve includere i seguenti campi:

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      Nota Includi il "userAssignedIdentity": " userAssignedIdentityId" campo se hai creato questa risorsa per utilizzarla per la crittografia dell'account di archiviazione.

      "Scopri di più su questa chiamata API" .

    2. Per un sistema a nodo singolo:

      POST /azure/vsa/working-environments

      Il corpo della richiesta deve includere i seguenti campi:

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      Nota Includi il "userAssignedIdentity": " userAssignedIdentityId" campo se hai creato questa risorsa per utilizzarla per la crittografia dell'account di archiviazione.

    "Scopri di più su questa chiamata API" .

Risultato

Hai un nuovo sistema Cloud Volumes ONTAP configurato per utilizzare la chiave gestita dal cliente per la crittografia dei dati.