本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密传输中数据
本主题说明了在文件系统和连接的客户端之间传输文件数据时,可用于FSx对ONTAP文件数据进行加密的不同选项。它还提供指导,帮助您选择最适合您的工作流程的加密方法。
流经 Amazon 全球 Amazon Web Services 区域 网络的所有数据在离开 Amazon 安全设施之前,都会在物理层自动加密。可用区之间的所有流量都是加密的。其他加密层(包括本节中列出的加密层)会提供额外保护。有关如何为流经可用区域和实例的数据 Amazon 提供保护的更多信息 Amazon Web Services 区域,请参阅《适用于 Linux 实例的 Amazon Elastic Compute Cloud 用户指南》中的传输中加密。
Amazon FSx for NetApp ONTAP 支持以下方法对ONTAP文件系统和连接FSx的客户端之间传输的数据进行加密:
所有支持的传输中数据加密方法都使用行业标准的 AES -256 加密算法,这些算法提供企业级加密。
主题
选择加密传输中数据的方法
本节提供的信息可以帮助您确定哪种支持的传输中加密方法最适合您的工作流程。您可以在探索以下各节中详细介绍的支持选项时重新参阅本节。
在选择如何加密ONTAP文件系统和连接的客户端之间传输的数据时,FSx需要考虑几个因素。这些因素包括:
你 Amazon Web Services 区域 的 ONTAP f FSx or 文件系统正在运行的。
客户端运行的实例类型。
客户端访问文件系统的位置。
网络性能要求。
您要加密的数据协议。
如果你使用的是微软 Active Directory。
- Amazon Web Services 区域
您的文件系统的运行状态决定了您是否可以使用基于 Amazon Nitro 的加密。 Amazon Web Services 区域 有关更多信息,请参阅 使用 Amazon Nitro 系统对传输中的数据进行加密。
- 客户端实例类型
如果访问您的文件系统的客户端运行在任何支持的亚马逊 EC2 Mac、Linux 或 Windows 实例类型上,并且您的工作流程满足使用基于 Nitro 的加密的所有其他要求,则可以使用基于 Amazon Nitro 的加密。使用 Kerberos 或IPsec加密没有任何客户端实例类型要求。
- 客户端位置
-
客户端访问数据的位置相对于文件系统的位置会影响可以使用的传输中加密方法。如果客户端和文件系统位于同一位置,则可以使用任何支持的加密方法VPC。如果客户端和文件系统位于对等状态VPCs,只要流量不通过虚拟网络设备或服务(例如传输网关),情况也是如此。如果客户端不在同一个或对等状态,或者流量通过虚拟网络设备或服务VPC,则基于 Nitro 的加密不是一个可用的选项。
- 网络性能
-
使用基于 Amazon Nitro 的加密技术对网络性能没有影响。这是因为支持的 Amazon EC2 实例利用底层 Nitro System 硬件的卸载功能来自动加密实例之间的传输流量。
使用 Kerberos 或IPsec加密会影响网络性能。这是因为这两种加密方法都是基于软件的加密,需要客户端和服务器使用计算资源来加密和解密传输中的流量。
- 数据协议
-
您可以将基于 Amazon Nitro 的IPsec加密和加密与所有支持的协议 — NFS SMB、和 i SCSI 一起使用。您可以将 Kerberos 加密与NFS和SMB协议(使用 Active Directory)一起使用。
- Active Directory
如果你正在使用 Microsoft Active Directory,你可以通过NFS和SMB协议使用 Kerberos 加密。
利用下图来帮助您决定使用哪种传输中加密方法。
IPsec当以下所有条件都适用于您的工作流程时,加密是唯一可用的选项:
您正在使用NFSSMB、或 i SCSI 协议。
您的工作流程不支持使用基于 Amazon Nitro 的加密。
你没有使用 Microsoft 活动目录域。
使用 Amazon Nitro 系统对传输中的数据进行加密
使用基于 Nitro 的加密,当访问您的文件系统的客户端运行在支持的 Amazon EC2 Linux 或 Windows 实例类型上时,传输中的数据会自动加密。
使用基于 Amazon Nitro 的加密对网络性能没有影响。这是因为支持的 Amazon EC2 实例利用底层 Nitro System 硬件的卸载功能来自动加密实例之间的传输流量。
当支持的客户端实例类型与文件系统处于相同VPC或相同或对 Amazon Web Services 区域 等状态时,将自动启用基于 Nitr VPC o 的加密。VPC此外,如果客户端处于对等互连状态VPC,则数据无法通过虚拟网络设备或服务(例如传输网关),从而自动启用基于 Nitro 的加密。有关基于 Nitro的加密的更多信息,请参阅适用于 Linux 或 Windows 实例类型的亚马逊EC2用户指南的传输中加密部分。
下表详细介绍了基 Amazon Web Services 区域 于 Nitro 的加密可用的内容。
支持基于 Nitro 的加密 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 生成 | 部署类型 | Amazon Web Services 区域 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 第一代文件系统 1 | 单可用区 1 多可用区 1 | 美国东部(弗吉尼亚北部)、美国东部(俄亥俄州)、美国西部(俄勒冈)、欧洲(爱尔兰) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 第二代文件系统 | 单可用区 2 多可用区 2 | 美国东部(弗吉尼亚北部)、美国东部(俄亥俄州)、美国西部(加利福尼亚北部)、美国西部(俄勒冈)、欧洲(法兰克福)、欧洲(爱尔兰)、亚太地区(悉尼) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1 在 2022 年 11 月 28 日当天或之后创建的第一代文件系统支持列出的基于 Nitro的传输中加密。 Amazon Web Services 区域
有关 Amazon Web Services 区域 何处FSx可用的更多信息,请参阅 Amazon FSx 的定 NetApp ONTAP价
有关ONTAP文件系统性能规格的FSx更多信息,请参见吞吐能力对性能的影响。
使用基于 Kerberos 的加密进行传输中数据加密
如果你正在使用 Microsoft Active Directory,你可以通过NFS和SMB协议使用基于 Kerberos 的加密来加密已加入 Microsoft Active Directory 的子卷的SVMs传输数据。
使用 Kerberos 对传输中的数据NFS进行加密
和协议支持使用 Kerberos 对传输中的数据进行NFSv3加密。NFSv4要使用 Kerberos 为NFS协议启用传输中的加密,请参阅将 Kerberos 与结合使用NFS以获得强大的
使用 Kerberos 对传输中的数据SMB进行加密
在支持SMB协议 3.0 或更高版本的计算实例上映射的文件共享支持对通过SMB协议传输的数据进行加密。这包括所有 Microsoft Windows 来自微软 Windows Server 2012 及更高版本以及微软 Windows 8 及更高版本。启用后,FSxfor 将在您访问文件系统时使用SMB加密功能ONTAP自动加密传输中的数据,而无需修改应用程序。
FSxfo ONTAP SMB r 支持 128 位和 256 位加密,这由客户端会话请求决定。有关不同加密级别的描述,请参阅 “管理SMB” 的 “设置SMB服务器最低身份验证安全级别” 部分,CLI在
注意
客户端决定加密算法。两者NTLM和 Kerberos 身份验证均可使用 128 位和 256 位加密。f FSx or ONTAP SMB Server 接受所有标准的 Windows 客户端请求,精细控制由 Microsoft 组策略或注册表设置处理。
你用 ONTAP CLI管理 for ONTAP SVMs 和 volumes FSx 的传输中加密设置。要访问 NetApp ONTAP CLI,在传输设置中建立要对其SVM进行加密的SSH会话,如中所述使用 CLI 管理 SVM ONTAP。
有关如何在SVM或卷上启用SMB加密的说明,请参阅启用SMB传输中数据的加密。
使用加密对传输中的数据进行IPsec加密
FSxfor ONTAP 支持在传输模式下使用该IPsec协议,以确保数据在传输过程中持续保持安全和加密。IPsec为所有支持的 IP 流量(、i SCSI 和FSxSMB协议)提供对客户端之间以及ONTAP文件系统之间传输的数据进行 end-to-end加密。NFS通过IPsec加密,可以在ONTAPSVM配置FSx为IPsec启用的 for 与在连接的IPsec客户端上运行的客户端访问数据之间建立IPsec隧道。
我们建议您在从不支持 Nitro 加密的客户端访问数据时 NFSSMB,以及如果您的客户端未加入基于 Kerberos 的加密所必需的 Active Directory,SVMs则使用IPsec、和 i SCSI 协议对传输的数据进行加密。IPsec当你的 i SCSI 客户端不支持基于 Nitro的加密时,加密是唯一可用于加密传输中的i SCSI 流量数据的选项。
要进行IPsec身份验证,您可以使用预共享密钥 (PSKs) 或证书。如果您使用的是PSK,则您使用的IPsec客户端必须支持 Internet Key Exchange 版本 2 (IKEv2) 和PSK。在客户端ONTAP和客户端上配置IPsec加密的高级步骤如下:FSx
IPsec在您的文件系统上启用和配置。
在您的客户端IPsec上安装和配置
配置IPsec多客户端访问权限
有关如何IPsec使用进行配置的更多信息PSK,请参阅中的通过线路加密配置 IP 安全 (IPsec)
有关如何IPsec使用证书进行配置的更多信息,请参阅IPsec使用证书身份验证进行配置。