Esta secção descreve as diferentes camadas de encriptação no armazenamento. Dispositivo isolado do Google Distributed Cloud (GDC) O armazenamento de back-end Netapp ONTAP Select (OTS) encripta todo o conteúdo do cliente armazenado em repouso e em trânsito, sem qualquer ação da sua parte, através de um ou mais mecanismos de encriptação. As secções seguintes descrevem os mecanismos para encriptar os dados dos clientes em repouso e em trânsito na camada de armazenamento do dispositivo isolado do GDC.
Encriptação em repouso
Existem diferentes camadas de encriptação de dados em repouso que o dispositivo isolado do GDC oferece. O OTS é o sistema de back-end que o cluster usa para armazenar dados. O OTS oferece um arquivo de dados, replicação de dados e reequilíbrio.
Oferecemos compatibilidade com HSM externo para o cliente ligar os seus próprios dispositivos HSM ao cluster bare metal. Se o cliente fornecer um HSM, o mecanismo de encriptação incorporado do OTS, a encriptação de volumes da Netapp (https://www.netapp.com/media/19767-ds-3899-1117.pdf), é usado para encriptar os dados em repouso. As chaves são geridas internamente entre o OTS e o dispositivo HSM através do Key Management Interoperability Protocol (KMIP).
Se o cliente não fornecer dispositivos externos para a gestão de chaves, o cluster aplica a encriptação LUKS na respetiva camada de hardware e encripta todos os dados nos discos. Nota: os dois métodos de encriptação são aplicados exclusivamente para evitar a encriptação duplicada.
Encriptação em trânsito
Os dados em trânsito são encriptados através do IPsec em dois tipos de tráfego OTS:
- Tráfego externo entre anfitriões bare metal e máquinas virtuais de armazenamento (SVMs) do OTS.
- Tráfego interno entre nós de trabalho do OTS.
O IPsec em ambos os tráfegos é implementado pela biblioteca de terceiros strongSwan (https://strongswan.org/). O tráfego interno do OTS é criado com o túnel vxlan do OpenVSwitch e também usa o strongSwan para encriptar o fluxo de dados na camada inferior.