IPsec传输中数据加密
现在、如果客户对数据复制流量使用NetApp存储加密(NSE)或NetApp卷加密(NVE)和集群对等加密(CPE)等空闲数据加密技术、则可以升级到ONTAP 9.8或更高版本并使用、从而在混合多云Data Fabric中的客户端和存储之间使用端到端加密 IPsec。IPsec提供了NFS或SMB/CCIFS加密的替代方案、并且是iSCSI流量唯一的加密传输中选项。
在某些情况下、可能需要保护通过缆线(或传输中)传输到ONTAP SVM的所有客户端数据。这样可以防止对传输中的敏感数据进行重放和恶意中间人攻击。
从ONTAP 9.8开始、互联网协议安全性(Internet Protocol Security、IPsec)为客户端和ONTAP SVM之间的所有IP流量提供端到端加密支持。所有 IP 流量的 IPsec 数据加密包括 NFS , iSCSI 和 SMB/CIFS 协议。IPsec 为 iSCSI 流量提供了唯一的传输加密选项。
通过缆线提供NFS加密是IPsec的主要用例之一。在ONTAP 9.8之前的版本中、NFS线上加密需要设置和配置Kerberos、才能利用krb5p对传输中的NFS数据进行加密。在每个客户环境中、这并不总是简单或容易实现的。
现在、如果客户对数据复制流量使用NetApp存储加密(NSE)或NetApp卷加密(NVE)和集群对等加密(CPE)等空闲数据加密技术、则可以升级到ONTAP 9.8或更高版本并使用、从而在混合多云Data Fabric中的客户端和存储之间使用端到端加密 IPsec。
IPsec是IETF标准。ONTAP在传输模式下使用IPsec。它还利用Internet密钥交换(Internet Key Exchange、IKE)协议版本2、该协议使用预共享密钥(PSK)在客户端与使用IPv4或IPv6的ONTAP之间协商密钥材料。默认情况下,IPsec使用Suite-B AES-GCM 256位加密。此外、还支持采用256位加密的Suite B AES-GMAC256和AES-CBC256。
尽管必须在集群上启用IPsec功能、但它通过使用安全策略数据库(SPD)条目应用于单个SVM IP地址。策略(SPD)条目包含客户端IP地址(远程IP子网)、SVM IP地址(本地IP子网)、要使用的加密密码套件以及通过IKEv2进行身份验证并建立IPsec连接所需的预共享密钥(PSK)。除了IPsec策略条目之外,还必须为客户端配置相同的信息(本地和远程IP、PSK和密码套件),然后流量才能通过IPsec连接进行传输。从ONTAP 9.10.1开始,增加了对IPsec证书身份验证的支持。这将删除IPsec策略限制并启用Windows操作系统对IPsec的支持。
如果客户端和SVM IP地址之间存在防火墙、则必须允许ESP和UDP (端口500和4500)协议(入站(入站)和出站(出站))、以便成功进行I可 得2协商、从而允许IPsec流量。
对于 NetApp SnapMirror 和集群对等流量加密,仍然建议使用基于 IPsec 的集群对等加密( Cluster peering encryption , CPE ),以便通过线缆安全地进行传输。CPE对这些工作负载的性能优于IPsec。您不需要IPsec许可证,并且没有导入或导出限制。
您可以在集群上启用IPsec、并为单个客户端和单个SVM IP地址创建SPD条目、如以下示例所示:
On the Destination Cluster Peer cluster1::> security ipsec config modify -is-enabled true cluster1::> security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 When prompted enter and confirm the pre shared secret (PSK).