Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Esaminare i metodi di crittografia StorageGRID

Collaboratori

StorageGRID offre diverse opzioni per la crittografia dei dati. È necessario esaminare i metodi disponibili per determinare quali metodi soddisfano i requisiti di protezione dei dati.

La tabella fornisce un riepilogo generale dei metodi di crittografia disponibili in StorageGRID.

Opzione di crittografia Come funziona Valido per

Server di gestione delle chiavi (KMS) in Grid Manager

Tu "configurare un server di gestione delle chiavi" Per il sito StorageGRID e. "abilitare la crittografia dei nodi per l'appliance". Quindi, un nodo appliance si connette al KMS per richiedere una chiave di crittografia a chiave (KEK). Questa chiave crittografa e decrta la chiave di crittografia dei dati (DEK) su ciascun volume.

Nodi appliance con Node Encryption attivato durante l'installazione. Tutti i dati dell'appliance sono protetti da perdite fisiche o rimozione dal data center.

Nota La gestione delle chiavi di crittografia con un KMS è supportata solo per i nodi di storage e le appliance di servizio.

Protezione dei dischi in Gestione di sistema SANtricity

Se la funzione Drive Security è attivata per un'appliance di storage SG5700 o SG6000, è possibile utilizzare "Gestore di sistema di SANtricity" per creare e gestire la chiave di sicurezza. La chiave è necessaria per accedere ai dati sui dischi protetti.

Appliance di storage con dischi FDE (Full Disk Encryption) o FIPS. Tutti i dati presenti sulle unità protette sono protetti da perdita fisica o rimozione dal data center. Non può essere utilizzato con alcune appliance di storage o con altre appliance di servizio.

Crittografia degli oggetti memorizzati

Attivare il "Crittografia degli oggetti memorizzati" In Grid Manager. Quando questa opzione è attivata, tutti i nuovi oggetti che non sono crittografati a livello di bucket o a livello di oggetto vengono crittografati durante l'acquisizione.

Dati S3 e Swift di recente acquisizione.

Gli oggetti memorizzati esistenti non vengono crittografati. I metadati degli oggetti e altri dati sensibili non vengono crittografati.

Crittografia bucket S3

Viene inviata una richiesta di crittografia PUT Bucket per abilitare la crittografia per il bucket. Tutti i nuovi oggetti che non sono crittografati a livello di oggetto vengono crittografati durante l'acquisizione.

Solo i dati S3 degli oggetti acquisiti di recente.

È necessario specificare la crittografia per il bucket. Gli oggetti bucket esistenti non vengono crittografati. I metadati degli oggetti e altri dati sensibili non vengono crittografati.

Crittografia a oggetti lato server (SSE) S3

Viene inviata una richiesta S3 per memorizzare un oggetto e includere x-amz-server-side-encryption intestazione della richiesta.

Solo i dati S3 degli oggetti acquisiti di recente.

È necessario specificare la crittografia per l'oggetto. I metadati degli oggetti e altri dati sensibili non vengono crittografati.

StorageGRID gestisce le chiavi.

Crittografia a oggetti S3 lato server con chiavi fornite dal cliente (SSE-C)

Viene inviata una richiesta S3 per memorizzare un oggetto e includere tre intestazioni di richiesta.

  • x-amz-server-side-encryption-customer-algorithm

  • x-amz-server-side-encryption-customer-key

  • x-amz-server-side-encryption-customer-key-MD5

Solo i dati S3 degli oggetti acquisiti di recente.

È necessario specificare la crittografia per l'oggetto. I metadati degli oggetti e altri dati sensibili non vengono crittografati.

Le chiavi vengono gestite al di fuori di StorageGRID.

Crittografia di un volume esterno o di un datastore

Se la piattaforma di implementazione lo supporta, si utilizza un metodo di crittografia esterno a StorageGRID per crittografare un intero volume o datastore.

Tutti i dati degli oggetti, i metadati e i dati di configurazione del sistema, presupponendo che ogni volume o datastore sia crittografato.

Un metodo di crittografia esterno offre un controllo più rigoroso sugli algoritmi e sulle chiavi di crittografia. Può essere combinato con gli altri metodi elencati.

Crittografia degli oggetti al di fuori di StorageGRID

Si utilizza un metodo di crittografia esterno a StorageGRID per crittografare i dati degli oggetti e i metadati prima che vengano acquisiti in StorageGRID.

Solo dati a oggetti e metadati (i dati di configurazione del sistema non sono crittografati).

Un metodo di crittografia esterno offre un controllo più rigoroso sugli algoritmi e sulle chiavi di crittografia. Può essere combinato con gli altri metodi elencati.

Utilizzare più metodi di crittografia

A seconda dei requisiti, è possibile utilizzare più metodi di crittografia alla volta. Ad esempio:

  • È possibile utilizzare un KMS per proteggere i nodi dell'appliance e la funzione di sicurezza del disco di Gestione di sistema di SANtricity per "crittografare `din doppio`" i dati sulle unità con crittografia automatica delle stesse appliance.

  • È possibile utilizzare un KMS per proteggere i dati sui nodi dell'appliance e utilizzare l'opzione di crittografia degli oggetti memorizzati per crittografare tutti gli oggetti quando vengono acquisiti.

Se solo una piccola parte degli oggetti richiede la crittografia, prendere in considerazione il controllo della crittografia a livello di bucket o di singolo oggetto. L'abilitazione di più livelli di crittografia comporta un costo aggiuntivo per le performance.