Esaminare i metodi di crittografia StorageGRID
Suggerisci modifiche
PDF
StorageGRID offre diverse opzioni per la crittografia dei dati. Dovresti esaminare i metodi disponibili per determinare quali metodi soddisfano i tuoi requisiti di protezione dei dati.
La tabella fornisce un riepilogo di alto livello dei metodi di crittografia disponibili in StorageGRID.
| Opzione di crittografia | Come funziona | Si applica a |
|---|---|---|
Server di gestione delle chiavi (KMS) in Grid Manager |
Voi"configurare un server di gestione delle chiavi" per il sito StorageGRID e "abilitare la crittografia dei nodi per l'appliance" . Quindi, un nodo appliance si connette al KMS per richiedere una chiave di crittografia (KEK). Questa chiave crittografa e decrittografa la chiave di crittografia dei dati (DEK) su ciascun volume. |
Nodi dell'appliance in cui è abilitata la Crittografia nodo durante l'installazione. Tutti i dati presenti sull'appliance sono protetti contro la perdita fisica o la rimozione dal data center. Nota: la gestione delle chiavi di crittografia con un KMS è supportata solo per i nodi di archiviazione e le appliance di servizi. |
Pagina Crittografia unità nel programma di installazione dell'appliance StorageGRID |
Se l'appliance contiene unità che supportano la crittografia hardware, è possibile impostare una passphrase dell'unità durante l'installazione. Quando si imposta una passphrase per l'unità, è impossibile per chiunque recuperare dati validi dalle unità rimosse dal sistema, a meno che non si conosca la passphrase. Prima di iniziare l'installazione, vai su Configura hardware > Crittografia unità per impostare una passphrase dell'unità che si applichi a tutte le unità auto-crittografanti gestite da StorageGRID in un nodo. |
Dispositivi che contengono unità auto-crittografanti. Tutti i dati presenti sulle unità protette sono protetti contro la perdita fisica o la rimozione dal data center. La crittografia dell'unità non si applica alle unità gestite SANtricity. Se si dispone di un dispositivo di archiviazione con unità auto-crittografanti e controller SANtricity , è possibile abilitare la sicurezza delle unità in SANtricity. |
Sicurezza dell'unità in SANtricity System Manager |
Se la funzionalità Drive Security è abilitata per l'appliance StorageGRID , è possibile utilizzare "Gestore del sistema SANtricity" per creare e gestire la chiave di sicurezza. La chiave è necessaria per accedere ai dati presenti sulle unità protette. |
Dispositivi di archiviazione dotati di unità FDE (Full Disk Encryption) o unità auto-crittografanti. Tutti i dati presenti sulle unità protette sono protetti contro la perdita fisica o la rimozione dal data center. Non può essere utilizzato con alcuni elettrodomestici o con apparecchi di servizio. |
Crittografia degli oggetti memorizzati |
Si abilita il"Crittografia degli oggetti memorizzati" opzione nel Grid Manager. Se abilitata, tutti i nuovi oggetti che non sono crittografati a livello di bucket o a livello di oggetto vengono crittografati durante l'acquisizione. |
Dati di oggetti S3 appena acquisiti. Gli oggetti archiviati esistenti non sono crittografati. I metadati degli oggetti e altri dati sensibili non sono crittografati. |
Crittografia del bucket S3 |
Si invia una richiesta PutBucketEncryption per abilitare la crittografia per il bucket. Tutti i nuovi oggetti che non sono crittografati a livello di oggetto vengono crittografati durante l'acquisizione. |
Solo dati di oggetti S3 appena acquisiti. È necessario specificare la crittografia per il bucket. Gli oggetti bucket esistenti non sono crittografati. I metadati degli oggetti e altri dati sensibili non sono crittografati. |
Crittografia lato server (SSE) degli oggetti S3 |
Si invia una richiesta S3 per memorizzare un oggetto e includere |
Solo dati di oggetti S3 appena acquisiti. È necessario specificare la crittografia per l'oggetto. I metadati degli oggetti e altri dati sensibili non sono crittografati. StorageGRID gestisce le chiavi. |
Crittografia lato server degli oggetti S3 con chiavi fornite dal cliente (SSE-C) |
Si invia una richiesta S3 per memorizzare un oggetto e si includono tre intestazioni di richiesta.
|
Solo dati di oggetti S3 appena acquisiti. È necessario specificare la crittografia per l'oggetto. I metadati degli oggetti e altri dati sensibili non sono crittografati. Le chiavi vengono gestite all'esterno di StorageGRID. |
Crittografia del volume esterno o dell'archivio dati |
Per crittografare un intero volume o un intero datastore, è possibile utilizzare un metodo di crittografia esterno a StorageGRID , se supportato dalla piattaforma di distribuzione. |
Tutti i dati degli oggetti, i metadati e i dati di configurazione del sistema, presupponendo che ogni volume o archivio dati sia crittografato. Un metodo di crittografia esterno garantisce un controllo più rigoroso sugli algoritmi e sulle chiavi di crittografia. Può essere combinato con gli altri metodi elencati. |
Crittografia degli oggetti al di fuori di StorageGRID |
Si utilizza un metodo di crittografia esterno a StorageGRID per crittografare i dati e i metadati degli oggetti prima che vengano acquisiti in StorageGRID. |
Solo dati e metadati degli oggetti (i dati di configurazione del sistema non sono crittografati). Un metodo di crittografia esterno garantisce un controllo più rigoroso sugli algoritmi e sulle chiavi di crittografia. Può essere combinato con gli altri metodi elencati. |
Utilizzare più metodi di crittografia
A seconda delle esigenze, è possibile utilizzare più di un metodo di crittografia contemporaneamente. Per esempio:
-
È possibile utilizzare un KMS per proteggere i nodi degli apparecchi e anche utilizzare la funzionalità di sicurezza dell'unità in SANtricity System Manager per "crittografare due volte" i dati sulle unità auto-crittografanti negli stessi apparecchi.
-
È possibile utilizzare un KMS per proteggere i dati sui nodi dell'appliance e utilizzare anche l'opzione di crittografia degli oggetti archiviati per crittografare tutti gli oggetti quando vengono acquisiti.
Se solo una piccola parte dei tuoi oggetti richiede la crittografia, valuta la possibilità di controllare la crittografia a livello di bucket o di singolo oggetto. L'abilitazione di più livelli di crittografia comporta un costo aggiuntivo in termini di prestazioni.