檢閱StorageGRID 功能加密方法
建議變更
PDF
提供許多加密資料的選項。StorageGRID您應該檢閱可用的方法、以判斷哪些方法符合您的資料保護需求。
下表提供StorageGRID 有關支援的加密方法的高階摘要。
| 加密選項 | 運作方式 | 適用於 | ||
|---|---|---|---|---|
Grid Manager中的金鑰管理伺服器(KMS) |
您可以為StorageGRID 該站台設定金鑰管理伺服器(組態>*安全性*>*金鑰管理伺服器*)、並為該應用裝置啟用節點加密。然後、應用裝置節點會連線至KMS、以要求金鑰加密金鑰(KEK)。此金鑰會加密及解密每個Volume上的資料加密金鑰(DEK)。 |
安裝期間啟用*節點加密*的應用裝置節點。應用裝置上的所有資料都能受到保護、避免資料中心的實體遺失或移除。
|
||
在《支援資料保護系統》中提升安全性SANtricity |
如果儲存應用裝置已啟用磁碟機安全功能、您可以使用SANtricity 「支援系統管理程式」來建立及管理安全金鑰。存取受保護磁碟機上的資料需要金鑰。 |
具有完整磁碟加密(FDE)磁碟機或聯邦資訊處理標準(FIPS)磁碟機的儲存設備。安全磁碟機上的所有資料都能受到保護、避免實體遺失或從資料中心移除。無法與部分儲存設備或任何服務應用裝置搭配使用。 |
||
儲存的物件加密網格選項 |
您可以在Grid Manager中啟用*儲存的物件加密*選項(組態>*系統*>*網格選項*)。啟用時、任何未在儲存區層級或物件層級加密的新物件、都會在擷取期間加密。 |
|||
S3儲存區加密 |
您發出一個「放入庫位」加密要求、以啟用庫位加密。任何未在物件層級加密的新物件、都會在擷取期間加密。 |
|||
S3物件伺服器端加密(SSe) |
您發出S3要求來儲存物件、並附上「x-amz-server端加密」要求標頭。 |
|||
S3物件伺服器端加密、使用客戶提供的金鑰(SSE-C) |
您發出S3要求以儲存物件、並包含三個要求標頭。
|
|||
外部Volume或資料存放區加密 |
如果StorageGRID 您的部署平台支援、您可以使用不屬於支援的加密方法來加密整個磁碟區或資料存放區。 |
所有物件資料、中繼資料和系統組態資料、假設每個磁碟區或資料存放區都已加密。 外部加密方法可更嚴密地控制加密演算法和金鑰。可與其他列出的方法結合使用。 |
||
物件加密不StorageGRID 包括在內 |
您可以在StorageGRID 物件資料和中繼資料被擷取到StorageGRID 資料之前、使用非功能性的加密方法來加密物件資料和中繼資料。 |
僅限物件資料和中繼資料(系統組態資料未加密)。 外部加密方法可更嚴密地控制加密演算法和金鑰。可與其他列出的方法結合使用。 |
使用多種加密方法
視您的需求而定、您一次可以使用多種加密方法。例如:
-
您可以使用KMS來保護應用裝置節點、也可以使用SANtricity 支援系統管理程式中的磁碟機安全功能、在同一個應用裝置中的自我加密磁碟機上「雙重加密」資料。
-
您可以使用KMS來保護應用裝置節點上的資料安全、也可以使用「儲存的物件加密」網格選項、在擷取所有物件時加密所有物件。
如果只有一小部分物件需要加密、請考慮改為在儲存區或個別物件層級控制加密。啟用多層加密會增加效能成本。