O NetApp HCI permite criptografar todos os dados armazenados no cluster de storage.

Todas as unidades nos nós de storage capazes de criptografia usam a criptografia AES de 256 bits no nível da unidade. Cada unidade tem sua própria chave de criptografia, que é criada quando a unidade é inicializada pela primeira vez. Quando você ativa o recurso de criptografia, uma senha em todo o cluster de armazenamento é criada e pedaços da senha são distribuídos para todos os nós no cluster. Nenhum nó único armazena a senha inteira. A senha é então usada para proteger com senha todo o acesso às unidades. Você precisa da senha para desbloquear a unidade e, como a unidade está criptografando todos os dados, seus dados estão seguros em todos os momentos.

Quando você ativa a criptografia em repouso, o desempenho e a eficiência do cluster de storage não são afetados. Além disso, se você remover uma unidade ou nó habilitado para criptografia do cluster de armazenamento com a API Element ou a IU Element, a criptografia em repouso será desativada nas unidades e as unidades serão apagadas com segurança, protegendo os dados que foram armazenados anteriormente nessas unidades. Depois de remover a unidade, você pode apagar com segurança a unidade com o SecureEraseDrives método API. Se você remover forçosamente uma unidade ou nó do cluster de armazenamento, os dados permanecerão protegidos pela senha de todo o cluster e pelas chaves de criptografia individuais da unidade.

Para obter informações sobre como ativar e desativar a criptografia em repouso, consulte "Ativar e desativar a encriptação para um cluster" no Centro de Documentação do SolidFire e do Element.

A criptografia de software em repouso permite que todos os dados gravados nos SSDs de um cluster de storage sejam criptografados. Isso fornece uma camada primária de criptografia nos nós SDS empresariais do SolidFire que não incluem unidades com criptografia automática (SEDs).

Você pode configurar o software Element para usar um KMS (serviço de gerenciamento de chaves em conformidade com KMIP) de terceiros para gerenciar chaves de criptografia de cluster de storage. Quando você ativa esse recurso, a chave de criptografia de senha de acesso à unidade em todo o cluster de armazenamento é gerenciada por um KMS que você especificar. O Element pode usar os seguintes serviços de gerenciamento de chaves:

Para obter mais informações sobre como configurar o Gerenciamento de chaves externas, consulte "Introdução ao gerenciamento de chaves externas" no Centro de Documentação do SolidFire e do Element.

A autenticação multifator (MFA) permite exigir que os usuários apresentem vários tipos de evidências para se autenticar com a IU da Web ou a IU do nó de storage do NetApp Element no login. Você pode configurar o Element para aceitar apenas autenticação multifator para logins integrados ao seu sistema de gerenciamento de usuário e provedor de identidade existente. Você pode configurar o Element para integrar com um provedor de identidade SAML 2,0 existente que pode impor vários esquemas de autenticação, como senha e mensagem de texto, senha e mensagem de e-mail ou outros métodos.

Você pode emparelhar a autenticação multifator com provedores de identidade (IDPs) compatíveis com SAML 2,0 comuns, como o Microsoft ative Directory Federation Services (ADFS) e o Shibboleth.

Para configurar o MFA, consulte "Habilitando a autenticação multifator" no Centro de Documentação do SolidFire e do Element.

Os clusters de storage e os sistemas NetApp HCI da NetApp SolidFire oferecem suporte a criptografia em conformidade com os requisitos FIPS (Federal Information Processing Standard) 140-2 para módulos criptográficos. Você pode ativar a conformidade com o FIPS 140-2 no cluster NetApp HCI ou SolidFire para comunicações HTTPS e criptografia de unidade.

Quando você ativa o modo operacional FIPS 140-2 no cluster, o cluster ativa o módulo de segurança criptográfica (NCSM) do NetApp e aproveita a criptografia com certificação FIPS 140-2 nível 1 para todas as comunicações via HTTPS para a IU e API do NetApp Element. Use a EnableFeature API Element com o fips parâmetro para habilitar a criptografia HTTPS FIPS 140-2. Em clusters de storage com hardware compatível com FIPS, você também pode ativar a criptografia de unidade FIPS para dados em repouso usando a EnableFeature API Element com o FipsDrives parâmetro.

Para obter mais informações sobre como preparar um novo cluster de armazenamento para criptografia FIPS 140-2-2, "Criação de um cluster compatível com unidades FIPS" consulte .

Para obter mais informações sobre como ativar o FIPS 140-2 em um cluster preparado existente, "A API EnableFeature Element"consulte .