Reveja os métodos de encriptação StorageGRID
O StorageGRID oferece várias opções para criptografar dados. Você deve analisar os métodos disponíveis para determinar quais métodos atendem aos requisitos de proteção de dados.
A tabela fornece um resumo de alto nível dos métodos de criptografia disponíveis no StorageGRID.
Opção de criptografia | Como funciona | Aplica-se a |
---|---|---|
Servidor de gerenciamento de chaves (KMS) no Grid Manager |
"configurar um servidor de gerenciamento de chaves"Você para o site StorageGRID e "habilite a criptografia de nó para o dispositivo". Em seguida, um nó de dispositivo se coneta ao KMS para solicitar uma chave de criptografia de chave (KEK). Essa chave criptografa e descriptografa a chave de criptografia de dados (DEK) em cada volume. |
Nós de dispositivo que têm Node Encryption ativado durante a instalação. Todos os dados no dispositivo são protegidos contra perda física ou remoção do data center. Nota: O gerenciamento de chaves de criptografia com um KMS só é suportado para nós de armazenamento e dispositivos de serviços. |
Página de criptografia de unidade no instalador de dispositivos StorageGRID |
Se o dispositivo contiver unidades que suportem criptografia de hardware, você poderá definir uma senha de unidade durante a instalação. Quando você define uma senha de unidade, é impossível para qualquer pessoa recuperar dados válidos de unidades que foram removidas do sistema, a menos que eles saibam a senha. Antes de iniciar a instalação, aceda a Configurar hardware > encriptação da unidade para definir uma frase-passe de unidade que se aplica a todas as unidades de encriptação automática geridas pela StorageGRID num nó. |
Dispositivos que contêm unidades com autocriptografia. Todos os dados nas unidades protegidas são protegidos contra perda física ou remoção do data center. A criptografia de unidade não se aplica a unidades gerenciadas pelo SANtricity. Se você tiver um dispositivo de storage com unidades com autocriptografia e controladoras SANtricity, poderá habilitar a segurança da unidade no SANtricity. |
Conduza a segurança no Gerenciador de sistemas do SANtricity |
Se o recurso Segurança da unidade estiver ativado para o seu dispositivo StorageGRID, você poderá usar "Gerente do sistema da SANtricity" o para criar e gerenciar a chave de segurança. A chave é necessária para aceder aos dados nas unidades seguras. |
Dispositivos de storage com unidades Full Disk Encryption (FDE) ou unidades com autocriptografia. Todos os dados nas unidades protegidas são protegidos contra perda física ou remoção do data center. Não pode ser usado com alguns dispositivos de armazenamento ou com quaisquer dispositivos de serviços. |
Criptografia de objeto armazenado |
Você ativa a "Criptografia de objeto armazenado" opção no Gerenciador de Grade. Quando ativado, todos os novos objetos que não são criptografados no nível do bucket ou no nível do objeto são criptografados durante a ingestão. |
Dados de objeto S3 recém-ingeridos. Os objetos armazenados existentes não são criptografados. Os metadados de objetos e outros dados confidenciais não são criptografados. |
Criptografia de bucket do S3 |
Você emite uma solicitação PutBucketEncryption para ativar a criptografia para o bucket. Todos os novos objetos que não são criptografados no nível do objeto são criptografados durante a ingestão. |
Somente dados de objeto S3 recém-ingeridos. A criptografia deve ser especificada para o intervalo. Os objetos bucket existentes não são criptografados. Os metadados de objetos e outros dados confidenciais não são criptografados. |
Criptografia do lado do servidor de objetos S3 (SSE) |
Você emite uma solicitação S3 para armazenar um objeto e incluir o |
Somente dados de objeto S3 recém-ingeridos. A criptografia deve ser especificada para o objeto. Os metadados de objetos e outros dados confidenciais não são criptografados. StorageGRID gerencia as chaves. |
Criptografia do lado do servidor de objetos S3 com chaves fornecidas pelo cliente (SSE-C) |
Você emite uma solicitação S3 para armazenar um objeto e incluir três cabeçalhos de solicitação.
|
Somente dados de objeto S3 recém-ingeridos. A criptografia deve ser especificada para o objeto. Os metadados de objetos e outros dados confidenciais não são criptografados. As chaves são gerenciadas fora do StorageGRID. |
Criptografia de volume externo ou datastore |
Você usa um método de criptografia fora do StorageGRID para criptografar um volume ou armazenamento de dados inteiro, se sua plataforma de implantação o suportar. |
Todos os dados de objetos, metadados e dados de configuração do sistema, supondo que cada volume ou datastore seja criptografado. Um método de criptografia externo fornece controle mais rigoroso sobre algoritmos e chaves de criptografia. Pode ser combinado com os outros métodos listados. |
Criptografia de objetos fora do StorageGRID |
Você usa um método de criptografia fora do StorageGRID para criptografar dados e metadados de objetos antes que eles sejam ingeridos no StorageGRID. |
Somente dados e metadados de objetos (os dados de configuração do sistema não são criptografados). Um método de criptografia externo fornece controle mais rigoroso sobre algoritmos e chaves de criptografia. Pode ser combinado com os outros métodos listados. |
Use vários métodos de criptografia
Dependendo dos seus requisitos, você pode usar mais de um método de criptografia de cada vez. Por exemplo:
-
Você pode usar um KMS para proteger os nós do dispositivo e também usar o recurso de segurança da unidade no Gerenciador de sistemas do SANtricity para "criptografar duas vezes" os dados nas unidades com autocriptografia nos mesmos dispositivos.
-
Você pode usar um KMS para proteger dados nos nós do dispositivo e também usar a opção de criptografia de objeto armazenado para criptografar todos os objetos quando eles são ingeridos.
Se apenas uma pequena parte de seus objetos exigir criptografia, considere controlar a criptografia no intervalo ou no nível de objeto individual. Ativar vários níveis de criptografia tem um custo de desempenho adicional.