Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

転送中のデータ暗号化

共同作成者
PDF

転送中のデータはNASプロトコルレイヤで暗号化でき、Google Cloudネットワーク自体は暗号化されます。これについては、次の項で説明します。

Google Cloudネットワーク

Google Cloudは、Googleのドキュメントに記載されているように、ネットワークレベルでトラフィックを暗号化し "転送中の暗号化"ます。「Google Cloud NetApp Volumesのアーキテクチャ」セクションで説明したように、Google Cloud NetApp Volumesは、NetAppが管理するPSAプロデューサープロジェクトから提供されます。

NetApp Volumes-SWの場合、プロデューサーテナントはGoogle VMを実行してサービスを提供します。ユーザVMとGoogle Cloud NetApp Volumes VMの間のトラフィックは、Googleによって自動的に暗号化されます。

NetApp Volumes-Performanceのデータパスはネットワークレイヤで完全に暗号化されているわけではありませんが、NetAppとGoogleは、組み合わせた "カプセル化"(データ暗号化)ネットワークと物理的に制限されたネットワークを使用して "IEEE 802.1AE暗号化(MACSec)"、Google Cloud NetApp Volumes NetApp Volumes-PerformanceサービスタイプとGoogle Cloudの間で転送されるデータを保護します。

NASプロトコル

NFSおよびSMB NASプロトコルは、プロトコルレイヤでオプションのトランスポート暗号化を提供します。

SMB暗号化

"SMB暗号化" SMBデータをエンドツーエンドで暗号化し、信頼されていないネットワーク上での盗聴からデータを保護します。クライアント/サーバのデータ接続(smb3.x対応クライアントでのみ使用可能)とサーバ/ドメインコントローラの認証の両方に対して暗号化を有効にできます。

SMB暗号化が有効な場合、暗号化をサポートしていないクライアントは共有にアクセスできません。

Google Cloud NetApp Volumeは、SMB暗号化でRC4-HMAC、AES-128-CTS-HMAC-SHA1、およびAES-256-CTS-HMAC-SHA1のセキュリティ暗号をサポートしています。SMBは、サーバによってサポートされている最も高い暗号化タイプとネゴシエートします。

NFSv4.1 Kerberos

NFSv4.1では、NetApp Volumes-PerformanceでKerberos認証を使用できます(を参照)。Kerberos "RFC7530"はボリューム単位で有効にできます。

Kerberosで現在使用可能な最も強力な暗号化タイプは、AES-256、HMAC-SHA1です。Google Cloud NetApp Volumeは、NFS用にAES-256-CTS-HMAC-SHA1、AES-128-CTS-HMAC-SHA1、DES3、およびDESをサポートしています。CIFS / SMBトラフィックではARCFOUR-MHMAC(RC4)もサポートされますが、NFSではサポートされません。

Kerberosでは、NFSマウントに対する3つの異なるセキュリティレベルが提供され、Kerberosセキュリティの強固な設定を選択できます。

RedHatの場合と同様です "Common Mount Options(共通マウントオプション)" マニュアル:

sec=krb5 uses Kerberos V5 instead of local UNIX UIDs and GIDs to authenticate users.
sec=krb5i uses Kerberos V5 for user authentication and performs integrity checking of NFS operations using secure checksums to prevent data tampering.
sec=krb5p uses Kerberos V5 for user authentication, integrity checking, and encrypts NFS traffic to prevent traffic sniffing. This is the most secure setting, but it also involves the most performance overhead.

一般的に、Kerberosセキュリティレベルを高くするほど、クライアントとサーバが送信する各パケットのNFS操作の暗号化と復号化に時間を費やすので、パフォーマンスが低下します。多くのクライアントとNFSサーバは、CPUにAES-NIオフロードをサポートして全体的なエクスペリエンスを向上していますが、Kerberos 5p(完全なエンドツーエンドの暗号化)のパフォーマンスへの影響はKerberos 5(ユーザ認証)の影響よりも大幅に大きくなります。

次の表に、セキュリティとパフォーマンスの各レベルの違いを示します。

セキュリティレベル セキュリティ パフォーマンス

NFSv3:sys

  • 最小のセキュリティ。数値のユーザIDまたはグループIDを含むプレーンテキスト

  • UID、GID、クライアントIPアドレス、エクスポートパス、ファイル名を表示できる パケットキャプチャの権限

  • ほとんどの場合に最適です

NFSv4.x - sys

  • NFSv3(クライアントID、名前文字列/ドメイン文字列の照合)よりも安全ですが、それでもテキストは表示されません

  • UID、GID、クライアントIPアドレス、名前文字列、ドメインIDを表示できる パケットキャプチャでのエクスポートパス、ファイル名、権限

  • シーケンシャルワークロード(VM、データベース、大容量ファイルなど)に適している

  • ファイル数が多い/メタデータが多い(30~50%悪化)

NFS—krb5

  • すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップします

  • マウントを要求しているユーザは、有効なKerberosチケット(ユーザ名とパスワード、または手動のキータブ交換)を必要とします。チケットは指定した期間が経過すると有効期限が切れ、ユーザはアクセスを再認証する必要があります

  • NFS処理またはmount / portmapper / NLMなどの補助プロトコル(エクスポートパス、IPアドレス、ファイルハンドル、権限、ファイル名を参照可能)の暗号化なし パケットキャプチャのatime / mtime)

  • ほとんどの場合Kerberosに適しており、AUTH_SYSよりも深刻です

NFS—krb5i

  • すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップします

  • マウントを要求しているユーザは、有効なKerberosチケット(ユーザ名/パスワードまたは手動のキータブ交換を使用)を必要とします。チケットは指定した期間が経過すると失効し、ユーザはアクセスを再認証する必要があります

  • NFS処理またはmount / portmapper / NLMなどの補助プロトコル(エクスポートパス、IPアドレス、ファイルハンドル、権限、ファイル名を参照可能)の暗号化なし パケットキャプチャのatime / mtime)

  • Kerberos GSSチェックサムが各パケットに追加されるため、パケットを傍受することはありません。チェックサムが一致する場合は、会話が許可されます。

  • NFSペイロードは暗号化されないため、krb5pよりも優れています。krb5よりも追加されたオーバーヘッドのみが整合性のチェックサムです。krb5iのパフォーマンスはkrb5よりもそれほど悪くはないが、多少の低下が見られる。

NFS–krb5p

  • すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップします

  • マウントを要求しているユーザは、有効なKerberosチケット(ユーザ名とパスワード、または手動のkeytab交換を使用)を必要とします。チケットは指定した期間が経過すると有効期限が切れ、ユーザはアクセスを再認証する必要があります

  • すべてのNFSパケットペイロードは、GSSラッパーで暗号化されます(パケットキャプチャではファイルハンドル、権限、ファイル名、atime/mtimeを確認できません)。

  • 整合性チェックが含まれます。

  • NFSの処理タイプは表示されます(fsinfo、access、GETATTRなど)。

  • 補助プロトコル(マウント、portmap、NLMなど)は暗号化されません-(エクスポートパス、IPアドレスを参照可能)

  • セキュリティレベルで最悪のパフォーマンス。krb5pは、暗号化や復号化がさらに必要です。

  • NFSv4.xに加えてkrb5pを使用した方がパフォーマンスが向上し、ファイル数の多いワークロードに対応できます。

Google Cloud NetApp Volumesでは、設定済みのActive DirectoryサーバがKerberosサーバおよびLDAPサーバとして使用されます(RFC2307互換スキーマからユーザIDを検索するため)。それ以外のKerberosサーバまたはLDAPサーバはサポートされません。NetAppでは、Google Cloud NetApp VolumeのID管理にLDAPを使用することを強く推奨します。パケットキャプチャでNFS Kerberosがどのように表示されるかについては、link:ncvs-gc-cloud-volumes-service-architecture.html #パケットスニフィング/トレースの考慮事項[「パケットスニフィング/トレースの考慮事項」]を参照してください。