Cette section décrit les différentes couches de chiffrement dans le stockage. Appliance Google Distributed Cloud (GDC) isolée Le stockage backend Netapp ONTAP Select (OTS) chiffre tout le contenu client stocké au repos et en transit, sans aucune action de votre part, à l'aide d'un ou de plusieurs mécanismes de chiffrement. Les sections suivantes décrivent les mécanismes permettant de chiffrer les données client au repos et en transit dans la couche de stockage de l'appliance GDC isolée.
Chiffrement au repos
L'appliance GDC air-gapped fournit différentes couches de chiffrement des données au repos. OTS est le système backend utilisé par le cluster pour stocker les données. OTS fournit un data store, une réplication et un rééquilibrage des données.
Nous fournissons une assistance pour les HSM externes afin que le client puisse connecter ses propres appareils HSM au cluster bare metal. Si le client fournit un HSM, le mécanisme de chiffrement intégré à OTS, Netapp Volume Encryption (https://www.netapp.com/media/19767-ds-3899-1117.pdf), est utilisé pour chiffrer les données au repos. Les clés sont gérées en interne entre le service de transfert d'objets et le dispositif HSM via le protocole d'interopérabilité de gestion des clés (KMIP, Key Management Interoperability Protocol).
Si le client ne fournit aucun appareil externe pour la gestion des clés, le cluster appliquera le chiffrement LUKS sur sa couche Bare Metal et chiffrera toutes les données sur les disques. Remarque : Les deux méthodes de chiffrement sont appliquées exclusivement pour éviter le chiffrement en double.
Chiffrement en transit
Les données en transit sont chiffrées à l'aide d'IPsec pour deux types de trafic OTS :
- Trafic externe entre les hôtes Bare Metal et les machines virtuelles (SVM) de stockage OTS.
- Trafic interne entre les nœuds de calcul OTS.
L'IPsec sur les deux types de trafic est implémenté par la bibliothèque tierce strongSwan (https://strongswan.org/). Le trafic interne OTS est créé avec le tunnel OpenVSwitch vxlan et utilise également strongSwan pour chiffrer le flux de données sous la couche.