Gerencie chaves com um provedor de nuvem
A partir do ONTAP 9.10,1, você pode usar "Azure Key Vault (AKV)" e "Serviço de gerenciamento de chaves do Google Cloud Platform (Cloud KMS)"proteger suas chaves de criptografia ONTAP em um aplicativo hospedado na nuvem. A partir do ONTAP 9.12,0, também é possível proteger as chaves NVE com "KMS DA AWS"o .
O AWS KMS, AKV e o Cloud KMS podem ser usados para proteger "Chaves de criptografia de volume NetApp (NVE)" somente SVMs de dados.
O gerenciamento de chaves com um fornecedor de nuvem pode ser habilitado com a CLI ou a API REST do ONTAP.
Ao usar um provedor de nuvem para proteger suas chaves, esteja ciente de que, por padrão, um data SVM LIF é usado para se comunicar com o endpoint de gerenciamento de chaves na nuvem. Uma rede de gerenciamento de nós é usada para se comunicar com os serviços de autenticação do provedor de nuvem (login.microsoftonline.com para Azure; oauth2.googleapis.com para Cloud KMS). Se a rede do cluster não estiver configurada corretamente, o cluster não utilizará adequadamente o serviço de gerenciamento de chaves.
Ao utilizar um serviço de gerenciamento de chaves do provedor de nuvem, você deve estar ciente das seguintes limitações:
-
O gerenciamento de chaves do fornecedor de nuvem não está disponível para criptografia de storage NetApp (NSE) e criptografia agregada NetApp (NAE). "KMIPs externos" pode ser usado em vez disso.
-
O gerenciamento de chaves do fornecedor de nuvem não está disponível para configurações do MetroCluster.
-
O gerenciamento de chaves do fornecedor de nuvem só pode ser configurado em um data SVM.
-
Você deve ter configurado o KMS no provedor de nuvem apropriado.
-
Os nós do cluster do ONTAP devem ser compatíveis com NVE.
-
"Você deve ter instalado as licenças de criptografia de volume (VE) e gerenciamento de chaves de criptografia de vários locatários (MTEKM)". Estas licenças estão incluídas no "ONTAP One".
-
Você precisa ser um administrador de cluster ou SVM.
-
O SVM não deve incluir volumes criptografados nem empregar um gerenciador de chaves. Se o SVM de dados incluir volumes criptografados, você precisará migrá-los antes de configurar o KMS.
Ativar o gerenciamento de chaves externas
A ativação do gerenciamento de chaves externas depende do gerenciador de chaves específico que você usa. Escolha a guia do gerenciador de chaves e do ambiente apropriados.
-
Você deve criar uma subvenção para a chave AWS KMS que será usada pela função de gerenciamento de criptografia do IAM. A função IAM deve incluir uma política que permita as seguintes operações:
-
DescribeKey
-
Encrypt
-
Decrypt
Para obter mais informações, consulte a documentação da AWS para "subvenções".
-
-
Antes de começar, obtenha o ID da chave de acesso e a chave secreta do seu AWS KMS.
-
Defina o nível de privilégio como avançado:
set -priv advanced
-
Habilite o AWS KMS:
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context
-
Quando solicitado, insira a chave secreta.
-
Confirme se o AWS KMS foi configurado corretamente:
security key-manager external aws show -vserver svm_name
-
Antes de começar, você precisa obter as credenciais de autenticação apropriadas da sua conta Azure, seja um segredo de cliente ou certificado. Você também precisa garantir que todos os nós no cluster estejam íntegros. Você pode verificar isso com o comando
cluster show
. -
Defina o nível privilegiado como avançado
set -priv advanced
-
Ativar AKV no SVM
security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
quando solicitado, insira o certificado de cliente ou o segredo do cliente na sua conta Azure. -
Verifique se o AKV está ativado corretamente:
security key-manager external azure show vserver svm_name
Se a acessibilidade do serviço não estiver OK, estabeleça a conetividade com o serviço de gerenciamento de chaves AKV através dos dados SVM LIF.
-
Antes de começar, obtenha a chave privada para o arquivo de chave de conta KMS do Google Cloud em um formato JSON. Isso pode ser encontrado na sua conta do GCP. Você também precisa garantir que todos os nós no cluster estejam íntegros. Você pode verificar isso com o comando
cluster show
. -
Defina o nível privilegiado como avançado:
set -priv advanced
-
Ative o Cloud KMS no SVM
security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
quando solicitado, insira o conteúdo do arquivo JSON com a chave privada da conta de serviço -
Verifique se o Cloud KMS está configurado com os parâmetros corretos:
security key-manager external gcp show vserver svm_name
O status dokms_wrapped_key_status
será“UNKNOWN”
se nenhum volume criptografado tiver sido criado. Se a acessibilidade do serviço não estiver OK, estabeleça a conectividade com o serviço de gerenciamento de chaves do GCP por meio do data SVM LIF.
Se um ou mais volumes criptografados já estiverem configurados para um SVM de dados e as chaves NVE correspondentes forem gerenciadas pelo gerenciador de chaves integrado SVM de administrador, essas chaves deverão ser migradas para o serviço de gerenciamento de chaves externo. Para fazer isso com a CLI, execute o comando:
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
Novos volumes criptografados não podem ser criados para o SVM de dados do locatário até que todas as chaves NVE do SVM de dados sejam migradas com sucesso.