Prepare-se para usar a segurança IP na rede ONTAP
Sugerir alterações
PDFs
A partir do ONTAP 9.8, você tem a opção de usar a segurança IP (IPsec) para proteger o tráfego de rede. IPsec é uma das várias opções de criptografia de dados em movimento ou em trânsito disponíveis com o ONTAP. Você deve se preparar para configurar o IPsec antes de usá-lo em um ambiente de produção.
Implementação de segurança IP no ONTAP
IPsec é um padrão de Internet mantido pelo IETF. Ele fornece criptografia e integridade de dados, bem como autenticação para o tráfego que flui entre os endpoints da rede em um nível IP.
Com o ONTAP, o IPsec protege todo o tráfego IP entre o ONTAP e os vários clientes, incluindo os protocolos NFS, SMB e iSCSI. Além da privacidade e integridade dos dados, o tráfego de rede é protegido contra vários ataques, como repetição e ataques man-in-the-middle. O ONTAP usa a implementação do modo de transporte IPsec. Ele aproveita o protocolo IKE (Internet Key Exchange) versão 2 para negociar o material chave entre o ONTAP e os clientes usando IPv4 ou IPv6.
Quando o recurso IPsec está ativado em um cluster, a rede requer uma ou mais entradas no banco de dados de diretiva de segurança (SPD) do ONTAP que correspondam às várias caraterísticas de tráfego. Essas entradas mapeiam para os detalhes de proteção específicos necessários para processar e enviar os dados (como, por exemplo, conjunto de codificações e método de autenticação). Uma entrada SPD correspondente também é necessária em cada cliente.
Para certos tipos de tráfego, outra opção de criptografia de dados em movimento pode ser preferível. Por exemplo, para a criptografia do tráfego de peering de cluster e NetApp SnapMirror, o protocolo TLS (Transport Layer Security) geralmente é recomendado em vez de IPsec. Isso ocorre porque o TLS oferece melhor desempenho na maioria das situações.
Evolução da implementação IPsec do ONTAP
O IPsec foi introduzido pela primeira vez com o ONTAP 9.8. A implementação continuou a evoluir nas versões subsequentes do ONTAP , conforme descrito abaixo.
O suporte para descarregamento de hardware IPsec é estendido para "grupos de agregação de links" . "Chaves pré-compartilhadas pós-quânticas (PPKs)" são suportados para autenticação de chaves pré-compartilhadas (PSK) IPsec.
Várias operações criptográficas, como verificações de criptografia e integridade, podem ser descarregadas para uma placa NIC suportada. Consulte Recurso de descarga de hardware IPsec para obter mais informações.
O suporte ao protocolo de host front-end IPsec está disponível nas configurações de conexão de malha MetroCluster IP e MetroCluster. O suporte IPsec fornecido com clusters MetroCluster é limitado ao tráfego de host front-end e não é compatível com LIFs MetroCluster entre clusters.
Além dos PSKs, certificados podem ser usados para autenticação IPsec. Antes do ONTAP 9.10.1, apenas PSKs eram suportados para autenticação.
Os algoritmos de criptografia usados pelo IPsec são validados pelo FIPS 140-2. Esses algoritmos são processados pelo módulo criptográfico NetApp no ONTAP, que carrega a validação FIPS 140-2.
O suporte para IPsec torna-se inicialmente disponível com base na implementação do modo de transporte.
Recurso de descarga de hardware IPsec
Se você estiver usando o ONTAP 9.16,1 ou posterior, terá a opção de descarregar determinadas operações computacionalmente intensivas, como verificações de criptografia e integridade, para uma placa de controlador de interface de rede (NIC) instalada no nó de armazenamento. A taxa de transferência para operações descarregadas para a placa NIC é de aproximadamente 5% ou menos. Isso pode melhorar significativamente o desempenho e a taxa de transferência do tráfego de rede protegido pelo IPsec.
Requisitos e recomendações
Há vários requisitos que você deve considerar antes de usar o recurso de descarga de hardware IPsec.
Você precisa instalar e usar apenas placas Ethernet compatíveis. As seguintes placas Ethernet são compatíveis a partir do ONTAP 9.16.1:
-
X50131A (controlador Ethernet 2P, 40G/100g/200g/400G)
-
X60132A (controlador Ethernet 4P, 10G/25G)
O ONTAP 9.17.1 adiciona suporte para as seguintes placas Ethernet:
-
X50135A (Controlador Ethernet 2p, 40G/100G)
-
X60135A (Controlador Ethernet 2p, 40G/100G)
As placas X50131A e X50135A são suportadas nas seguintes plataformas:
-
ASA A1K
-
ASA A90
-
ASA A70
-
AFF A1K
-
AFF A90
-
AFF A70
As placas X60132A e X60135A são suportadas nas seguintes plataformas:
-
ASA A50
-
ASA A30
-
ASA A20
-
AFF A50
-
AFF A30
-
AFF A20
Veja o "NetApp Hardware Universe" para mais informações sobre as plataformas e placas suportadas.
O recurso de descarga de hardware IPsec é configurado globalmente para o cluster. E assim, por exemplo, o comando security ipsec config se aplica a todos os nós no cluster.
As placas NIC suportadas devem ser instaladas em todos os nós do cluster. Se uma placa NIC suportada estiver disponível apenas em alguns dos nós, você poderá ver uma degradação significativa do desempenho após um failover se algumas LIFs não estiverem hospedadas em uma NIC compatível com descarga.
Você deve desativar a proteção anti-replay IPsec no ONTAP (configuração padrão) e nos clientes IPsec. Se não estiver desativado, a fragmentação e o multi-path (rota redundante) não serão suportados.
Se a configuração IPsec do ONTAP tiver sido alterada do padrão para ativar a proteção anti-replay, use este comando para desativá-la:
security ipsec config modify -replay-window 0Você deve garantir que a proteção anti-replay IPsec esteja desativada no cliente. Consulte a documentação IPsec do cliente para desativar a proteção anti-replay.
Limitações
Há várias limitações que você deve considerar antes de usar o recurso de descarga de hardware IPsec.
O IPv6 não é compatível com o recurso de descarregamento de hardware do IPsec. O IPv6 é compatível apenas com a implementação de software do IPsec.
Os números de sequência estendida IPsec não são suportados com o recurso de descarga de hardware. Apenas são utilizados os números normais de sequência de 32 bits.
A partir do ONTAP 9.17.1, você pode usar o recurso de descarregamento de hardware IPsec com um "grupo de agregação de links" .
Antes da versão 9.17.1, o recurso de descarregamento de hardware IPsec não suportava agregação de links. Ele não pode ser usado com uma interface ou grupo de agregação de links administrados pelo network port ifgrp comandos no ONTAP CLI.
Suporte à configuração na CLI do ONTAP
Três comandos CLI existentes são atualizados no ONTAP 9.16,1 para suportar o recurso de descarga de hardware IPsec, conforme descrito abaixo. Consulte também "Configure a segurança IP no ONTAP"para obter mais informações.
| Comando ONTAP | Atualização |
|---|---|
|
O parâmetro booleano |
|
O parâmetro |
|
Quatro novos contadores foram adicionados para exibir o tráfego de entrada, bem como de saída em bytes e pacotes. |
Suporte à configuração na API REST do ONTAP
Dois endpoints de API REST existentes são atualizados no ONTAP 9.16,1 para oferecer suporte ao recurso de descarga de hardware IPsec, conforme descrito abaixo.
| Endpoint da REST | Atualização |
|---|---|
|
O parâmetro |
|
Dois novos valores de contador foram adicionados para rastrear o total de bytes e pacotes processados pelo recurso de descarga. |
Saiba mais sobre a API REST do ONTAP, incluindo "Novidades com a API REST do ONTAP", na documentação de automação do ONTAP. Você também deve consultar a documentação de automação do ONTAP para obter detalhes sobre "Pontos de extremidade IPsec"o .