Esaminare i metodi di crittografia StorageGRID
Suggerisci modifiche
PDF
StorageGRID offre diverse opzioni per la crittografia dei dati. È necessario esaminare i metodi disponibili per determinare quali metodi soddisfano i requisiti di protezione dei dati.
La tabella fornisce un riepilogo generale dei metodi di crittografia disponibili in StorageGRID.
| Opzione di crittografia | Come funziona | Valido per |
|---|---|---|
Server di gestione delle chiavi (KMS) in Grid Manager |
"configurare un server di gestione delle chiavi"Per il sito StorageGRID e "abilitare la crittografia dei nodi per l'appliance". Quindi, un nodo appliance si connette al KMS per richiedere una chiave di crittografia a chiave (KEK). Questa chiave crittografa e decrta la chiave di crittografia dei dati (DEK) su ciascun volume. |
Nodi appliance con Node Encryption attivato durante l'installazione. Tutti i dati dell'appliance sono protetti da perdite fisiche o rimozione dal data center. Nota: La gestione delle chiavi di crittografia con un KMS è supportata solo per i nodi di archiviazione e le appliance di servizi. |
Pagina crittografia unità nel programma di installazione dell'appliance StorageGRID |
Se l'appliance contiene unità che supportano la crittografia hardware, è possibile impostare una passphrase dell'unità durante l'installazione. Quando si imposta una passphrase di unità, è impossibile per chiunque recuperare dati validi dalle unità rimosse dal sistema, a meno che non conoscano la passphrase. Prima di iniziare l'installazione, andare a Configure hardware > Drive Encryption per impostare una passphrase di unità che si applica a tutte le unità gestite da StorageGRID con crittografia automatica in un nodo. |
Appliance che contengono dischi con crittografia automatica. Tutti i dati presenti sulle unità protette sono protetti da perdita fisica o rimozione dal data center. La crittografia dei dischi non si applica ai dischi gestiti da SANtricity. Se hai un'appliance storage con dischi a crittografia automatica e controller SANtricity, puoi abilitare la sicurezza dei dischi in SANtricity. |
Protezione dei dischi in Gestione di sistema SANtricity |
Se la funzione di protezione dell'unità è attivata per l'appliance StorageGRID, è possibile utilizzare "Gestore di sistema di SANtricity" per creare e gestire la chiave di protezione. La chiave è necessaria per accedere ai dati sui dischi protetti. |
Appliance storage con dischi FDE (Full Disk Encryption) o dischi a crittografia automatica. Tutti i dati presenti sulle unità protette sono protetti da perdita fisica o rimozione dal data center. Non è utilizzabile con alcune appliance di storage o con alcuna appliance di servizi. |
Crittografia degli oggetti memorizzati |
L'opzione viene attivata "Crittografia degli oggetti memorizzati"in Grid Manager. Quando questa opzione è attivata, tutti i nuovi oggetti che non sono crittografati a livello di bucket o a livello di oggetto vengono crittografati durante l'acquisizione. |
Nuovi dati oggetto S3 acquisiti. Gli oggetti memorizzati esistenti non vengono crittografati. I metadati degli oggetti e altri dati sensibili non vengono crittografati. |
Crittografia bucket S3 |
Viene inviata una richiesta PutBucketEncryption per abilitare la crittografia per il bucket. Tutti i nuovi oggetti che non sono crittografati a livello di oggetto vengono crittografati durante l'acquisizione. |
Solo i dati S3 degli oggetti acquisiti di recente. È necessario specificare la crittografia per il bucket. Gli oggetti bucket esistenti non vengono crittografati. I metadati degli oggetti e altri dati sensibili non vengono crittografati. |
Crittografia a oggetti lato server (SSE) S3 |
Viene inviata una richiesta S3 per memorizzare un oggetto e includere l' `x-amz-server-side-encryption`intestazione della richiesta. |
Solo i dati S3 degli oggetti acquisiti di recente. È necessario specificare la crittografia per l'oggetto. I metadati degli oggetti e altri dati sensibili non vengono crittografati. StorageGRID gestisce le chiavi. |
Crittografia a oggetti S3 lato server con chiavi fornite dal cliente (SSE-C) |
Viene inviata una richiesta S3 per memorizzare un oggetto e includere tre intestazioni di richiesta.
|
Solo i dati S3 degli oggetti acquisiti di recente. È necessario specificare la crittografia per l'oggetto. I metadati degli oggetti e altri dati sensibili non vengono crittografati. Le chiavi vengono gestite al di fuori di StorageGRID. |
Crittografia di un volume esterno o di un datastore |
Se la piattaforma di implementazione lo supporta, si utilizza un metodo di crittografia esterno a StorageGRID per crittografare un intero volume o datastore. |
Tutti i dati degli oggetti, i metadati e i dati di configurazione del sistema, presupponendo che ogni volume o datastore sia crittografato. Un metodo di crittografia esterno offre un controllo più rigoroso sugli algoritmi e sulle chiavi di crittografia. Può essere combinato con gli altri metodi elencati. |
Crittografia degli oggetti al di fuori di StorageGRID |
Si utilizza un metodo di crittografia esterno a StorageGRID per crittografare i dati degli oggetti e i metadati prima che vengano acquisiti in StorageGRID. |
Solo dati a oggetti e metadati (i dati di configurazione del sistema non sono crittografati). Un metodo di crittografia esterno offre un controllo più rigoroso sugli algoritmi e sulle chiavi di crittografia. Può essere combinato con gli altri metodi elencati. |
Utilizzare più metodi di crittografia
A seconda dei requisiti, è possibile utilizzare più metodi di crittografia alla volta. Ad esempio:
-
È possibile utilizzare un KMS per proteggere i nodi dell'appliance e utilizzare la funzionalità di sicurezza del disco in Gestione sistema di SANtricity per "crittografare due volte" i dati sui dischi con crittografia automatica delle stesse appliance.
-
È possibile utilizzare un KMS per proteggere i dati sui nodi dell'appliance e utilizzare l'opzione di crittografia degli oggetti memorizzati per crittografare tutti gli oggetti quando vengono acquisiti.
Se solo una piccola parte degli oggetti richiede la crittografia, prendere in considerazione il controllo della crittografia a livello di bucket o di singolo oggetto. L'abilitazione di più livelli di crittografia comporta un costo aggiuntivo per le performance.