简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

安全性

提供者 netapp-bcammett 下载此页面的 PDF

Cloud Volumes ONTAP 支持数据加密,并提供防病毒和勒索软件保护。

空闲数据加密

Cloud Volumes ONTAP 支持以下加密技术:

  • NetApp 加密解决方案( NVE 和 NAE )

  • AWS 密钥管理服务

  • Azure 存储服务加密

  • Google Cloud Platform 默认加密

您可以使用采用 AWS , Azure 或 GCP 原生加密的 NetApp 加密解决方案,在虚拟机管理程序级别对数据进行加密。这样做会提供双重加密,这对于非常敏感的数据可能是理想的选择。访问加密数据时,加密数据会进行两次未加密,一次在虚拟机管理程序级别(使用云提供商的密钥),然后再次使用 NetApp 加密解决方案(使用外部密钥管理器的密钥)。

NetApp 加密解决方案( NVE 和 NAE )

Cloud Volumes ONTAP 通过外部密钥管理器同时支持 NetApp 卷加密( NVE )和 NetApp 聚合加密( NAE )。NVE 和 NAE 是基于软件的解决方案,支持( FIPS ) 140-2 合规的卷空闲数据加密。

  • NVE 一次对一个卷的空闲数据进行加密。每个数据卷都有自己唯一的加密密钥。

  • NAE 是 NVE 的扩展—它对每个卷的数据进行加密,并且这些卷在聚合中共享一个密钥。NAE 还允许对聚合中所有卷之间的公用块进行重复数据删除。

NVE 和 NAE 都使用 AES 256 位加密。

从 Cloud Volumes ONTAP 9.7 开始,在设置外部密钥管理器后,新聚合将默认启用 NetApp 聚合加密( NAE )。默认情况下,不属于 NAE 聚合的新卷将启用 NetApp 卷加密( NVE )(例如,如果您有在设置外部密钥管理器之前创建的现有聚合)。

设置受支持的密钥管理器是唯一必需的步骤。有关设置说明,请参见 "使用 NetApp 加密解决方案对卷进行加密"

AWS 密钥管理服务

在 AWS 中启动 Cloud Volumes ONTAP 系统时,您可以使用启用数据加密 "AWS 密钥管理服务( KMS )"。Cloud Manager 使用客户主密钥( CMK )请求数据密钥。

提示 创建 Cloud Volumes ONTAP 系统后,您无法更改 AWS 数据加密方法。

如果要使用此加密选项,则必须确保正确设置 AWS KMS 。有关详细信息,请参见 "设置 AWS KMS"

Azure 存储服务加密

"Azure 存储服务加密" 默认情况下, Azure 中的 Cloud Volumes ONTAP 数据会启用空闲数据。无需设置。

您可以使用其他帐户的外部密钥对单节点 Cloud Volumes ONTAP 系统上的 Azure 受管磁盘进行加密。使用 Cloud Manager API 支持此功能。

创建单节点系统时,只需将以下内容添加到 API 请求中:

"azureEncryptionParameters": {
      "key": <azure id of encryptionset>
  }
注 Cloud Volumes ONTAP HA 对不支持客户管理的密钥。

Google Cloud Platform 默认加密

"Google Cloud Platform 空闲数据加密" 默认情况下, Cloud Volumes ONTAP 处于启用状态。无需设置。

虽然 Google Cloud Storage 始终会在数据写入磁盘之前对数据进行加密,但您可以使用 Cloud Manager API 创建使用 customer-managed encryption keys 的 Cloud Volumes ONTAP 系统。这些密钥可通过云密钥管理服务在 GCP 中生成和管理。 "了解更多信息。"

ONTAP 病毒扫描

您可以在 ONTAP 系统上使用集成的防病毒功能来保护数据免受病毒或其他恶意代码的攻击。

称为 Vscan 的 ONTAP 病毒扫描将同类最佳的第三方防病毒软件与 ONTAP 功能相结合,让您可以灵活地控制扫描哪些文件以及何时扫描。

有关 Vscan 支持的供应商,软件和版本的信息,请参见 "NetApp 互操作性表"

有关如何在 ONTAP 系统上配置和管理防病毒功能的信息,请参见 "《 ONTAP 9 防病毒配置指南》"

勒索软件保护

勒索软件攻击可能会耗费业务时间,资源和声誉。您可以通过 Cloud Manager 实施 NetApp 解决方案 for 勒索软件,它可以提供有效的工具来实现可见性,检测和补救。

  • Cloud Manager 可识别不受 Snapshot 策略保护的卷,并允许您在这些卷上激活默认 Snapshot 策略。

    Snapshot 副本为只读副本,可防止勒索软件损坏。它们还可以提供创建单个文件副本或完整灾难恢复解决方案映像的粒度。

  • Cloud Manager 还支持您通过启用 ONTAP 的 FPolicy 解决方案来阻止常见的勒索软件文件扩展名。

屏幕截图显示了在工作环境中提供的 " 勒索软件保护 " 页面。此屏幕将显示没有 Snapshot 策略的卷数量以及阻止勒索软件文件扩展的功能。