Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

查看 StorageGRID 加密方法

贡献者

StorageGRID 提供了多种数据加密选项。您应查看可用的方法,以确定哪些方法符合数据保护要求。

下表简要总结了 StorageGRID 中可用的加密方法。

加密选项 工作原理 适用场景

网格管理器中的密钥管理服务器( KMS )

您可以为 StorageGRID 站点配置密钥管理服务器( * 配置 * > * 安全性 * > * 密钥管理服务器 * ),并为设备启用节点加密。然后,设备节点将连接到 KMS 以请求密钥加密密钥( Key Encryption Key , KEK )。此密钥用于对每个卷上的数据加密密钥( DEK )进行加密和解密。

安装期间启用了 * 节点加密 * 的设备节点。设备上的所有数据均可防止物理丢失或从数据中心删除。

备注 只有存储节点和服务设备才支持使用KMS管理加密密钥。

SANtricity System Manager 中的驱动器安全性

如果为存储设备启用了驱动器安全功能,则可以使用 SANtricity 系统管理器创建和管理安全密钥。要访问受保护驱动器上的数据,需要使用此密钥。

具有全磁盘加密( Full Disk Encryption , FDE )驱动器或联邦信息处理标准( Federal Information Processing Standard , FIPS )驱动器的存储设备。安全驱动器上的所有数据均可防止物理丢失或从数据中心中删除。不能用于某些存储设备或任何服务设备。

存储对象加密网格选项

可以在网格管理器中启用 * 存储对象加密 * 选项( * 配置 * > * 系统 * > * 网格选项 * )。启用后,任何未在存储分段级别或对象级别加密的新对象都会在载入期间进行加密。

新载入的 S3 和 Swift 对象数据。

现有存储对象未加密。对象元数据和其他敏感数据未加密。

S3 存储分段加密

问题描述 PUT 分段加密请求以对分段启用加密。任何未在对象级别加密的新对象都会在载入期间进行加密。

仅新载入的 S3 对象数据。

必须为存储分段指定加密。现有存储分段对象未加密。对象元数据和其他敏感数据未加密。

S3 对象服务器端加密( SS3 )

您可以问题描述 S3 请求以存储对象,并包含 x-AMZ-server-side encryption request 标头。

仅新载入的 S3 对象数据。

必须为对象指定加密。对象元数据和其他敏感数据未加密。

StorageGRID 负责管理密钥。

使用客户提供的密钥( SSI-C )进行 S3 对象服务器端加密

您可以问题描述 S3 请求以存储一个对象并包含三个请求标头。

  • x-AMZ-server-side encrypt-customer-encryption

  • x-AMZ-server-side encrypt-customer-key

  • x-AMZ-server-side encrypt-customer-key-md5

仅新载入的 S3 对象数据。

必须为对象指定加密。对象元数据和其他敏感数据未加密。

密钥在 StorageGRID 之外进行管理。

外部卷或数据存储库加密

如果您的部署平台支持,则可以在 StorageGRID 外部使用加密方法对整个卷或数据存储库进行加密。

所有对象数据,元数据和系统配置数据,假设每个卷或数据存储库都已加密。

外部加密方法可以更严格地控制加密算法和密钥。可以与列出的其他方法结合使用。

StorageGRID 外部的对象加密

在将对象数据和元数据载入 StorageGRID 之前,您可以在 StorageGRID 外部使用加密方法对这些数据和元数据进行加密。

仅限对象数据和元数据(系统配置数据不加密)。

外部加密方法可以更严格地控制加密算法和密钥。可以与列出的其他方法结合使用。

使用多种加密方法

根据您的要求,您一次可以使用多种加密方法。例如:

  • 您可以使用 KMS 来保护设备节点,也可以使用 SANtricity 系统管理器中的驱动器安全功能在同一设备中的自加密驱动器上 " d 进行灵活加密 " 数据。

  • 您可以使用 KMS 来保护设备节点上的数据安全,也可以使用存储对象加密网格选项在载入所有对象时对其进行加密。

如果只有一小部分对象需要加密,请考虑在存储分段或单个对象级别控制加密。启用多个级别的加密会产生额外的性能成本。