In diesem Abschnitt werden die verschiedenen Verschlüsselungsebenen im Speicher beschrieben. Google Distributed Cloud (GDC) Air-Gap-Appliance Der NetApp ONTAP Select-Backend-Speicher (OTS) verschlüsselt alle Kundeninhalte, die inaktiv sind und während der Übertragung gespeichert werden, mit einem oder mehreren Verschlüsselungsmechanismen, ohne dass Sie etwas unternehmen müssen. In den folgenden Abschnitten werden die Mechanismen zum Verschlüsseln von ruhenden Kundendaten und Kundendaten, die übertragen werden, in der Speicherebene der GDC-Appliance mit Air Gap beschrieben.
Verschlüsselung inaktiver Daten
Die Air-Gap-Appliance von GDC bietet verschiedene Ebenen der Verschlüsselung ruhender Daten. OTS ist das Backend-System, in dem der Cluster Daten speichert. OTS bietet einen Datenspeicher, Datenreplikation und Lastenausgleich.
Wir bieten Unterstützung für externe HSMs, damit der Kunde seine eigenen HSM-Geräte mit dem Bare-Metal-Cluster verbinden kann. Wenn der Kunde ein HSM bereitstellt, wird der integrierte Verschlüsselungsmechanismus von OTS, Netapp Volume Encryption (https://www.netapp.com/media/19767-ds-3899-1117.pdf), zum Verschlüsseln inaktiver Daten verwendet. Die Schlüssel werden intern zwischen dem OTS und dem HSM-Gerät über das Key Management Interoperability Protocol (KMIP) verwaltet.
Wenn der Client keine externen Geräte für die Schlüsselverwaltung bereitstellt, wendet der Cluster die LUKS-Verschlüsselung auf der Bare-Metal-Ebene an und verschlüsselt alle Daten auf den Festplatten. Hinweis: Die beiden Verschlüsselungsmethoden werden ausschließlich angewendet, um eine doppelte Verschlüsselung zu vermeiden.
Verschlüsselung während der Übertragung
Daten bei der Übertragung werden mit IPsec für zwei Arten von OTS-Traffic verschlüsselt:
- Externer Traffic zwischen Bare-Metal-Hosts und OTS-Speicher-VMs (SVMs).
- Interner Traffic zwischen OTS-Worker-Knoten.
IPsec für beide Arten von Traffic wird von der Drittanbieterbibliothek strongSwan (https://strongswan.org/) implementiert. Der interne OTS-Traffic wird mit dem OpenVSwitch-VXLAN-Tunnel erstellt und verwendet außerdem strongSwan, um den Datenfluss unter der Schicht zu verschlüsseln.