IPsec 資料傳輸中加密
使用 NetApp 儲存加密( NSE )或 NetApp Volume Encryption ( NVE )和叢集對等加密(叢集對等加密)等靜態資料加密技術來進行資料複寫流量的客戶、現在可以升級至 ONTAP 9.8 或更新版本並使用、在用戶端和儲存設備之間使用端點對端加密 IPsec :IPsec 提供 NFS 或 SMB/CIFS 加密的替代方案、也是 iSCSI 流量唯一的傳輸中加密選項。
在某些情況下、可能需要保護透過有線(或在線中)傳輸至 ONTAP SVM 的所有用戶端資料。如此可防止在敏感資料傳輸期間對其進行重播和惡意攔截式攻擊。
從 ONTAP 9.8 開始、網際網路傳輸協定安全性( IPsec )可為用戶端和 ONTAP SVM 之間的所有 IP 流量提供端點對端點加密支援。所有IP流量的IPsec資料加密包括NFS、iSCSI及SMB/CIFS傳輸協定。IPsec為iSCSI流量提供唯一的傳輸加密選項。
透過網路提供 NFS 加密是 IPsec 的主要使用案例之一。在 ONTAP 9.8 之前、 NFS 有線加密需要設定和組態 Kerberos 、才能使用 krb5p 來加密執行中的 NFS 資料。在每個客戶環境中、這並不總是簡單或容易達成的。
使用 NetApp 儲存加密( NSE )或 NetApp Volume Encryption ( NVE )和叢集對等加密(叢集對等加密)等靜態資料加密技術來進行資料複寫流量的客戶、現在可以升級至 ONTAP 9.8 或更新版本並使用、在用戶端和儲存設備之間使用端點對端加密 IPsec :
IPsec 是一項 IETF 標準。ONTAP 在傳輸模式中使用 IPsec 。它也運用網際網路金鑰交換( IKE )傳輸協定第 2 版、使用預先共用金鑰( PSK )在用戶端與 ONTAP 之間、以 IPv4 或 IPv6 來交涉金鑰資料。根據預設、 IPsec 使用 Suite B AES-GCM 256 位元加密。也支援採用 256 位元加密的 Suite B AES-GMAC256 和 AES-CBC256 。
雖然必須在叢集上啟用 IPsec 功能、但它會透過使用安全性原則資料庫( SPD )項目、套用至個別 SVM IP 位址。原則( SPD )項目包含用戶端 IP 位址(遠端 IP 子網路)、 SVM IP 位址(本機 IP 子網路)、要使用的加密密碼套件、以及透過 IKEv2 驗證和建立 IPsec 連線所需的預先共用密碼( PSK )。除了 IPsec 原則項目之外、用戶端必須使用相同的資訊(本機和遠端 IP 、 PSK 和密碼套件)進行設定、才能透過 IPsec 連線傳輸流量。從 ONTAP 9.10.1 開始、新增 IPsec 憑證驗證支援。這會移除 IPsec 原則限制、並啟用 Windows 作業系統對 IPsec 的支援。
如果用戶端和 SVM IP 位址之間有防火牆、則必須允許 ESP 和 UDP (連接埠 500 和 4500 )傳輸協定(輸入)和輸出(輸出))、讓 IKEv2 交涉成功、從而允許 IPsec 傳輸。
對於 NetApp SnapMirror 和叢集對等流量加密、仍建議透過 IPsec 使用叢集對等加密( CPe )、以確保有線傳輸的安全。對於這些工作負載而言、 CPE 的效能比 IPsec 更好。您不需要 IPsec 的授權、也不需要任何匯入或匯出限制。
您可以在叢集上啟用 IPsec 、並為單一用戶端和單一 SVM IP 位址建立 SPD 項目、如下列範例所示:
On the Destination Cluster Peer cluster1::> security ipsec config modify -is-enabled true cluster1::> security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 When prompted enter and confirm the pre shared secret (PSK).