Esaminare i metodi di crittografia StorageGRID
StorageGRID offre una serie di opzioni per la crittografia dei dati. È necessario esaminare i metodi disponibili per determinare quali metodi soddisfano i requisiti di protezione dei dati.
La tabella fornisce un riepilogo generale dei metodi di crittografia disponibili in StorageGRID.
Opzione di crittografia | Come funziona | Valido per | ||
---|---|---|---|---|
Server di gestione delle chiavi (KMS) in Grid Manager |
Configurare un server di gestione delle chiavi per il sito StorageGRID (CONFIGURAZIONE sicurezza server di gestione delle chiavi) e abilitare la crittografia dei nodi per l'appliance. Quindi, un nodo appliance si connette al KMS per richiedere una chiave di crittografia a chiave (KEK). Questa chiave crittografa e decrta la chiave di crittografia dei dati (DEK) su ciascun volume. |
Nodi appliance con Node Encryption attivato durante l'installazione. Tutti i dati dell'appliance sono protetti da perdite fisiche o rimozione dal data center.
|
||
Protezione dei dischi in Gestione di sistema SANtricity |
Se la funzione protezione disco è attivata per un'appliance di storage, è possibile utilizzare Gestione sistema di SANtricity per creare e gestire la chiave di sicurezza. La chiave è necessaria per accedere ai dati sui dischi protetti. |
Appliance di storage con dischi FDE (Full Disk Encryption) o FIPS (Federal Information Processing Standard). Tutti i dati presenti sulle unità protette sono protetti da perdita fisica o rimozione dal data center. Non può essere utilizzato con alcune appliance di storage o con altre appliance di servizio. |
||
Opzione della griglia di crittografia degli oggetti memorizzati |
L'opzione Stored Object Encryption può essere attivata in Grid Manager (CONFIGURATION System Grid options). Quando questa opzione è attivata, tutti i nuovi oggetti che non sono crittografati a livello di bucket o a livello di oggetto vengono crittografati durante l'acquisizione. |
Dati S3 e Swift di recente acquisizione. Gli oggetti memorizzati esistenti non vengono crittografati. I metadati degli oggetti e altri dati sensibili non vengono crittografati. |
||
Crittografia bucket S3 |
Viene inviata una richiesta di crittografia PUT Bucket per abilitare la crittografia per il bucket. Tutti i nuovi oggetti non crittografati a livello di oggetto vengono crittografati durante l'acquisizione. |
Solo i dati S3 degli oggetti acquisiti di recente. È necessario specificare la crittografia per il bucket. Gli oggetti bucket esistenti non vengono crittografati. I metadati degli oggetti e altri dati sensibili non vengono crittografati. |
||
Crittografia a oggetti lato server (SSE) S3 |
Viene inviata una richiesta S3 per memorizzare un oggetto e includere |
Solo i dati S3 degli oggetti acquisiti di recente. È necessario specificare la crittografia per l'oggetto. I metadati degli oggetti e altri dati sensibili non vengono crittografati. StorageGRID gestisce le chiavi. |
||
Crittografia a oggetti S3 lato server con chiavi fornite dal cliente (SSE-C) |
Viene inviata una richiesta S3 per memorizzare un oggetto e includere tre intestazioni di richiesta.
|
Solo i dati S3 degli oggetti acquisiti di recente. È necessario specificare la crittografia per l'oggetto. I metadati degli oggetti e altri dati sensibili non vengono crittografati. Le chiavi vengono gestite al di fuori di StorageGRID. |
||
Crittografia di un volume esterno o di un datastore |
Se la piattaforma di implementazione lo supporta, si utilizza un metodo di crittografia esterno a StorageGRID per crittografare un intero volume o datastore. |
Tutti i dati degli oggetti, i metadati e i dati di configurazione del sistema, presupponendo che ogni volume o datastore sia crittografato. Un metodo di crittografia esterno offre un controllo più rigoroso sugli algoritmi e sulle chiavi di crittografia. Può essere combinato con gli altri metodi elencati. |
||
Crittografia degli oggetti al di fuori di StorageGRID |
Si utilizza un metodo di crittografia esterno a StorageGRID per crittografare i dati degli oggetti e i metadati prima che vengano acquisiti in StorageGRID. |
Solo dati a oggetti e metadati (i dati di configurazione del sistema non sono crittografati). Un metodo di crittografia esterno offre un controllo più rigoroso sugli algoritmi e sulle chiavi di crittografia. Può essere combinato con gli altri metodi elencati. |
Utilizzare più metodi di crittografia
A seconda dei requisiti, è possibile utilizzare più metodi di crittografia alla volta. Ad esempio:
-
È possibile utilizzare un KMS per proteggere i nodi dell'appliance e la funzione di sicurezza del disco di Gestione di sistema di SANtricity per "crittografare `din doppio`" i dati sulle unità con crittografia automatica delle stesse appliance.
-
È possibile utilizzare un KMS per proteggere i dati sui nodi dell'appliance e l'opzione griglia crittografia oggetti memorizzati per crittografare tutti gli oggetti quando vengono acquisiti.
Se solo una piccola parte degli oggetti richiede la crittografia, prendere in considerazione il controllo della crittografia a livello di bucket o di singolo oggetto. L'abilitazione di più livelli di crittografia comporta un costo aggiuntivo per le performance.