Épico
Criptografia para dados do vSphere
Sugerir alterações
PDFs
Hoje, há cada vez mais demandas para proteger dados em repouso por meio da criptografia. Embora o foco inicial tenha sido em informações financeiras e de saúde, há um interesse crescente em proteger todas as informações, sejam elas armazenadas em arquivos, bancos de dados ou outros tipos de dados.
Os sistemas executando o ONTAP facilitam a proteção de quaisquer dados com criptografia em repouso. O NetApp Storage Encryption (NSE) usa unidades de disco com autocriptografia com o ONTAP para proteger dados SAN e nas. O NetApp também oferece o NetApp volume Encryption e o NetApp Aggregate Encryption como uma abordagem simples e baseada em software para encriptar volumes em qualquer unidade de disco. Esta criptografia de software não requer unidades de disco especiais ou gerenciadores de chaves externos e está disponível para clientes ONTAP sem nenhum custo adicional. É possível fazer upgrade e começar a usá-lo sem interromper seus clientes ou aplicações. Além disso, eles são validados para o padrão FIPS 140-2 nível 1, incluindo o gerenciador de chaves integrado.
Existem várias abordagens para proteger os dados de aplicativos virtualizados em execução no VMware vSphere. Uma abordagem é proteger os dados com software dentro da VM no nível do SO convidado. Os hipervisores mais recentes, como o vSphere 6,5, agora oferecem suporte à criptografia no nível da VM como outra alternativa. No entanto, a criptografia do software NetApp é simples e fácil e tem esses benefícios:
-
Nenhum efeito na CPU do servidor virtual. Alguns ambientes de servidor virtual precisam de cada ciclo de CPU disponível para seus aplicativos, mas os testes mostraram que até 5x recursos de CPU são necessários com criptografia no nível do hipervisor. Mesmo que o software de criptografia ofereça suporte ao conjunto de instruções AES-NI da Intel para descarregar a carga de trabalho de criptografia (como a criptografia do software NetApp), essa abordagem pode não ser viável devido à exigência de novas CPUs que não são compatíveis com servidores mais antigos.
-
Gerenciador de chaves integrado incluído. A criptografia do software NetApp inclui um gerenciador de chaves integrado sem custo adicional, o que facilita o início sem servidores de gerenciamento de chaves de alta disponibilidade que são complexos de comprar e usar.
-
Nenhum efeito na eficiência de armazenamento. Técnicas de eficiência de storage, como deduplicação e compactação, são amplamente utilizadas atualmente e são essenciais para usar a Mídia de disco flash de maneira econômica. No entanto, os dados criptografados geralmente não podem ser desduplicados ou compatados. O hardware e a criptografia de storage da NetApp operam em um nível mais baixo e permitem o uso total dos recursos de eficiência de storage da NetApp líderes do setor, ao contrário de outras abordagens.
-
Criptografia granular fácil do datastore. Com a criptografia de volume NetApp, cada volume recebe sua própria chave AES de 256 bits. Se você precisar alterá-lo, você pode fazê-lo com um único comando. Essa abordagem é ótima se você tiver vários locatários ou precisar provar criptografia independente para diferentes departamentos ou aplicativos. Essa criptografia é gerenciada no nível do datastore, o que é muito mais fácil do que gerenciar VMs individuais.
É simples começar a usar a criptografia de software. Depois que a licença for instalada, basta configurar o gerenciador de chaves integrado especificando uma senha e, em seguida, criar um novo volume ou fazer uma movimentação de volume no lado do storage para habilitar a criptografia. A NetApp está trabalhando para adicionar suporte mais integrado aos recursos de criptografia em versões futuras de suas ferramentas VMware.
Para um mergulho profundo em mais tópicos de segurança, consulte os seguintes recursos.
