简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
对ASA R2存储系统上的空闲数据进行加密
贡献者
建议更改
PDF
在对空闲数据进行加密时、如果存储介质被改作他用、退回、放置在不当位置或被盗、则无法读取这些数据。您可以使用ONTAP系统管理器在硬件和软件级别对数据进行加密、以实现双层保护。
NetApp存储加密(NSE)支持使用自加密驱动器(Self-Encryption Drive、SE)进行硬件加密。在写入数据时、SED会对数据进行加密。每个SED都包含一个唯一的加密密钥。如果没有SED的加密密钥、则无法读取SED上存储的加密数据。要访问SED的加密密钥、必须对尝试从SED读取的节点进行身份验证。通过从密钥管理器获取身份验证密钥、然后将身份验证密钥提供给SED、可以对节点进行身份验证。如果身份验证密钥有效、SED将向节点提供其加密密钥以访问其包含的数据。
使用ASA R2板载密钥管理器或外部密钥管理器为节点提供身份验证密钥。
除了NSE之外、您还可以启用软件加密、为数据添加另一层安全保护。
步骤
-
在System Manager中,选择*Cluster > Settings*。
-
在*安全性*部分的*加密*下,选择*配置*。
-
配置密钥管理器。
选项 步骤 配置板载密钥管理器
-
选择*板载密钥管理器*以添加密钥服务器。
-
输入密码短语。
配置外部密钥管理器
-
选择*外部密钥管理器*以添加密钥服务器。
-
选择
以添加密钥服务器。 -
添加KMIP服务器CA证书。
-
添加KMIP客户端证书。
-
-
选择*双层加密*以启用软件加密。
-
选择 * 保存 * 。
下一步是什么?
现在、您已对空闲数据进行加密、如果您使用的是NVMe/TCP协议、则可以"对通过网络发送的所有数据进行加密"在NVMe/TCP主机和ASA R2系统之间进行加密。
如果您需要从板载密钥管理器切换到外部密钥管理器,或者从外部密钥管理器切换到外部密钥管理器,请参见"在密钥管理器之间迁移ONTAP数据加密密钥"。