Skip to main content
Cloud Volumes ONTAP
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

安全性

贡献者

Cloud Volumes ONTAP 支持数据加密,并提供防病毒和勒索软件保护。

空闲数据加密

Cloud Volumes ONTAP 支持以下加密技术:

  • NetApp 加密解决方案( NVE 和 NAE )

  • AWS 密钥管理服务

  • Azure 存储服务加密

  • Google Cloud Platform 默认加密

您可以使用云提供商提供的采用原生 加密的NetApp加密解决方案、在虚拟机管理程序级别对数据进行加密。这样做会提供双重加密,这对于非常敏感的数据可能是理想的选择。访问加密数据时,加密数据会进行两次未加密,一次在虚拟机管理程序级别(使用云提供商的密钥),然后再次使用 NetApp 加密解决方案(使用外部密钥管理器的密钥)。

NetApp 加密解决方案( NVE 和 NAE )

Cloud Volumes ONTAP 支持 "NetApp 卷加密( NVE )和 NetApp 聚合加密( NAE )"。NVE 和 NAE 是基于软件的解决方案,支持( FIPS ) 140-2 合规的卷空闲数据加密。NVE 和 NAE 都使用 AES 256 位加密。

  • NVE 一次对一个卷的空闲数据进行加密。每个数据卷都有自己唯一的加密密钥。

  • NAE 是 NVE 的扩展—它对每个卷的数据进行加密,并且这些卷在聚合中共享一个密钥。NAE 还允许对聚合中所有卷之间的公用块进行重复数据删除。

外部密钥管理器支持 NVE 和 NAE 。

在设置外部密钥管理器后,新聚合会默认启用 NetApp 聚合加密( NAE )。默认情况下,不属于 NAE 聚合的新卷将启用 NetApp 卷加密( NVE )(例如,如果您有在设置外部密钥管理器之前创建的现有聚合)。

设置受支持的密钥管理器是唯一必需的步骤。有关设置说明,请参见 "使用 NetApp 加密解决方案对卷进行加密"

AWS 密钥管理服务

在 AWS 中启动 Cloud Volumes ONTAP 系统时,您可以使用启用数据加密 "AWS 密钥管理服务( KMS )"。BlueXP使用客户主密钥(CMK)请求数据密钥。

提示 创建 Cloud Volumes ONTAP 系统后,您无法更改 AWS 数据加密方法。

如果要使用此加密选项,则必须确保正确设置 AWS KMS 。有关详细信息,请参见 "设置 AWS KMS"

Azure 存储服务加密

数据会使用在 Azure 中的 Cloud Volumes ONTAP 上自动加密 "Azure 存储服务加密" 使用 Microsoft 管理的密钥。

如果愿意,您可以使用自己的加密密钥。 "了解如何设置 Cloud Volumes ONTAP 以在 Azure 中使用客户管理的密钥"

Google Cloud Platform 默认加密

"Google Cloud Platform 空闲数据加密" 默认情况下, Cloud Volumes ONTAP 处于启用状态。无需设置。

虽然Google Cloud Storage始终会在数据写入磁盘之前对数据进行加密、但您可以使用BlueXP API创建一个使用_customer-managed encryption keys_的Cloud Volumes ONTAP 系统。这些密钥可通过云密钥管理服务在 GCP 中生成和管理。 "了解更多信息。"

ONTAP 病毒扫描

您可以在 ONTAP 系统上使用集成的防病毒功能来保护数据免受病毒或其他恶意代码的攻击。

称为 Vscan 的 ONTAP 病毒扫描将同类最佳的第三方防病毒软件与 ONTAP 功能相结合,让您可以灵活地控制扫描哪些文件以及何时扫描。

有关 Vscan 支持的供应商,软件和版本的信息,请参见 "NetApp 互操作性表"

有关如何在 ONTAP 系统上配置和管理防病毒功能的信息,请参见 "《 ONTAP 9 防病毒配置指南》"

勒索软件保护

勒索软件攻击可能会耗费业务时间,资源和声誉。借助BlueXP、您可以实施NetApp解决方案 for勒索软件、它可以提供有效的工具来实现可见性、检测和补救。

  • BlueXP可识别不受Snapshot策略保护的卷、并允许您在这些卷上激活默认Snapshot策略。

    Snapshot 副本为只读副本,可防止勒索软件损坏。它们还可以提供创建单个文件副本或完整灾难恢复解决方案映像的粒度。

  • 此外、您还可以通过BlueXP启用ONTAP的FPolicy解决方案 来阻止常见的勒索软件文件扩展名。

屏幕截图显示了在工作环境中提供的 " 勒索软件保护 " 页面。此屏幕将显示没有 Snapshot 策略的卷数量以及阻止勒索软件文件扩展的功能。