安全性
建议更改
PDF
Cloud Volumes ONTAP 支持数据加密,并提供防病毒和勒索软件保护。
空闲数据加密
Cloud Volumes ONTAP 支持以下加密技术:
-
NetApp 卷加密(从 Cloud Volumes ONTAP 9.5 开始)
-
AWS 密钥管理服务
-
Azure 存储服务加密
-
Google Cloud Platform 默认加密
您可以将 NetApp 卷加密与原生 AWS , Azure 或 GCP 加密结合使用,以便在虚拟机管理程序级别对数据进行加密。
NetApp 卷加密
NetApp 卷加密( NVE )是一种基于软件的技术,用于一次对一个卷上的空闲数据进行加密。数据, Snapshot 副本和元数据已加密。数据访问由一个唯一的 XTS-AES-256 密钥提供,每个卷一个。
Cloud Volumes ONTAP 通过外部密钥管理服务器支持 NetApp 卷加密。不支持板载密钥管理器。您可以在中找到支持的密钥管理器 "NetApp 互操作性表工具" 在 * 密钥管理器 * 解决方案下。
您可以使用 CLI 或 System Manager 在新卷或现有卷上启用 NetApp 卷加密。Cloud Manager 不支持 NetApp 卷加密。有关说明,请参见 "使用 NetApp 卷加密对卷进行加密"。
AWS 密钥管理服务
在 AWS 中启动 Cloud Volumes ONTAP 系统时,您可以使用启用数据加密 "AWS 密钥管理服务( KMS )"。Cloud Manager 使用客户主密钥( CMK )请求数据密钥。
|
创建 Cloud Volumes ONTAP 系统后,您无法更改 AWS 数据加密方法。 |
如果要使用此加密选项,则必须确保正确设置 AWS KMS 。有关详细信息,请参见 "设置 AWS KMS"。
Azure 存储服务加密
"Azure 存储服务加密" 默认情况下, Azure 中的 Cloud Volumes ONTAP 数据会启用空闲数据。无需设置。
|
Cloud Volumes ONTAP 不支持客户管理的密钥。 |
Google Cloud Platform 默认加密
"Google Cloud Platform 空闲数据加密" 默认情况下, Cloud Volumes ONTAP 处于启用状态。无需设置。
虽然 Google Cloud Storage 始终会在数据写入磁盘之前对数据进行加密,但您可以使用 Cloud Manager API 创建使用 customer-managed encryption keys 的 Cloud Volumes ONTAP 系统。这些密钥可通过云密钥管理服务在 GCP 中生成和管理。
请参见 "API 开发人员指南" 有关使用 GCP 加密参数的详细信息。
ONTAP 病毒扫描
您可以在 ONTAP 系统上使用集成的防病毒功能来保护数据免受病毒或其他恶意代码的攻击。
称为 Vscan 的 ONTAP 病毒扫描将同类最佳的第三方防病毒软件与 ONTAP 功能相结合,让您可以灵活地控制扫描哪些文件以及何时扫描。
有关 Vscan 支持的供应商,软件和版本的信息,请参见 "NetApp 互操作性表"。
有关如何在 ONTAP 系统上配置和管理防病毒功能的信息,请参见 "《 ONTAP 9 防病毒配置指南》"。
勒索软件保护
勒索软件攻击可能会耗费业务时间,资源和声誉。您可以通过 Cloud Manager 实施 NetApp 解决方案 for 勒索软件,它可以提供有效的工具来实现可见性,检测和补救。
-
Cloud Manager 可识别不受 Snapshot 策略保护的卷,并允许您在这些卷上激活默认 Snapshot 策略。
Snapshot 副本为只读副本,可防止勒索软件损坏。它们还可以提供创建单个文件副本或完整灾难恢复解决方案映像的粒度。
-
Cloud Manager 还支持您通过启用 ONTAP 的 FPolicy 解决方案来阻止常见的勒索软件文件扩展名。
