传输中的数据加密
传输中的数据可以在 NAS 协议层加密,并且 Google Cloud 网络本身也经过加密,如以下部分所述。
Google Cloud 网络
Google Cloud 在网络级别加密流量,具体说明如下 "传输中加密"在 Google 文档中。正如“Google Cloud NetApp Volumes架构”部分所述, Google Cloud NetApp Volumes是由NetApp控制的 PSA 生产商项目提供的。
对于NetApp Volumes-SW,生产者租户运行 Google VM 来提供服务。用户虚拟机和Google Cloud NetApp Volumes虚拟机之间的流量由 Google 自动加密。
尽管NetApp Volumes-Performance 的数据路径在网络层上并未完全加密,但NetApp和 Google 结合使用 "IEEE 802.1AE 加密 (MACSec)", "封装" (数据加密)和物理受限的网络来保护Google Cloud NetApp Volumes NetApp Volumes-Performance 服务类型和 Google Cloud 之间传输的数据。
NAS 协议
NFS 和 SMB NAS 协议在协议层提供可选的传输加密。
SMB 加密
"SMB 加密"提供 SMB 数据的端到端加密,并保护数据免受不受信任网络上的窃听。您可以为客户端/服务器数据连接(仅适用于支持 SMB3.x 的客户端)和服务器/域控制器身份验证启用加密。
启用 SMB 加密后,不支持加密的客户端无法访问共享。
Google Cloud NetApp Volumes支持用于 SMB 加密的 RC4-HMAC、AES-128-CTS-HMAC-SHA1 和 AES-256-CTS-HMAC-SHA1 安全密码。 SMB 协商服务器支持的最高加密类型。
NFSv4.1 Kerberos
对于 NFSv4.1, NetApp Volumes-Performance 提供 Kerberos 身份验证,如 "RFC7530"。您可以按卷启用 Kerberos。
Kerberos 目前最强大的加密类型是 AES-256-CTS-HMAC-SHA1。 Google Cloud NetApp Volumes支持 NFS 的 AES-256-CTS-HMAC-SHA1、AES-128-CTS-HMAC-SHA1、DES3 和 DES。它还支持 CIFS/SMB 流量的 ARCFOUR-HMAC (RC4),但不支持 NFS。
Kerberos 为 NFS 挂载提供了三种不同的安全级别,可供您选择 Kerberos 安全性的强度。
根据 RedHat 的 "常见安装选项"文档:
sec=krb5 uses Kerberos V5 instead of local UNIX UIDs and GIDs to authenticate users. sec=krb5i uses Kerberos V5 for user authentication and performs integrity checking of NFS operations using secure checksums to prevent data tampering. sec=krb5p uses Kerberos V5 for user authentication, integrity checking, and encrypts NFS traffic to prevent traffic sniffing. This is the most secure setting, but it also involves the most performance overhead.
一般来说,Kerberos 安全级别要做的工作越多,性能就越差,因为客户端和服务器要花时间对发送的每个数据包进行加密和解密 NFS 操作。许多客户端和 NFS 服务器都支持将 AES-NI 卸载到 CPU 以获得更好的整体体验,但 Kerberos 5p(完全端到端加密)对性能的影响明显大于 Kerberos 5(用户身份验证)的影响。
下表显示了每个级别在安全性和性能方面的差异。
安全级别 | 安全性 | 性能 |
---|---|---|
NFSv3—系统 |
|
|
NFSv4.x—系统 |
|
|
NFS—krb5 |
|
|
NFS—krb5i |
|
|
NFS – krb5p |
|
|
在Google Cloud NetApp Volumes中,配置的 Active Directory 服务器用作 Kerberos 服务器和 LDAP 服务器(从 RFC2307 兼容模式中查找用户身份)。不支持其他 Kerberos 或 LDAP 服务器。 NetApp强烈建议您在Google Cloud NetApp Volumes中使用 LDAP 进行身份管理。有关 NFS Kerberos 在数据包捕获中如何显示的信息,请参阅部分 link:gcp-gcnv-arch-detail.html#Packet sniffing/trace considers["Packet sniffing/trace considers."]