Nesta seção, descrevemos as diferentes camadas de criptografia no armazenamento. O appliance isolado do Google Distributed Cloud (GDC) O armazenamento de back-end do Netapp ONTAP Select (OTS) criptografa todo o conteúdo do cliente armazenado em repouso e em trânsito, sem que você precise fazer nada, usando um ou mais mecanismos de criptografia. As seções a seguir descrevem os mecanismos para criptografar dados de clientes em repouso e em trânsito na camada de armazenamento do appliance isolado do GDC.
Criptografia em repouso
O dispositivo isolado do GDC oferece diferentes camadas de criptografia de dados em repouso. O OTS é o sistema de back-end que o cluster usa para armazenar dados. O OTS oferece um repositório de dados, replicação de dados e rebalanceamento.
Oferecemos suporte a HSMs externos para que o cliente conecte os próprios dispositivos ao cluster bare metal. Se o cliente fornecer um HSM, o mecanismo de criptografia integrado do OTS, a criptografia de volume da Netapp (https://www.netapp.com/media/19767-ds-3899-1117.pdf) será usado para criptografar dados em repouso. As chaves são gerenciadas internamente entre o OTS e o dispositivo HSM pelo protocolo de interoperabilidade de gerenciamento de chaves (KMIP, na sigla em inglês).
Se o cliente não fornecer dispositivos externos para gerenciamento de chaves, o cluster vai aplicar a criptografia LUKS na camada bare metal e criptografar todos os dados nos discos. Observação: os dois métodos de criptografia são aplicados exclusivamente para evitar a duplicação.
Criptografia em trânsito
Os dados em trânsito são criptografados usando IPsec em dois tipos de tráfego OTS:
- Tráfego externo entre hosts bare metal e máquinas virtuais de armazenamento (SVMs) do OTS.
- Tráfego interno entre nós de trabalho do OTS.
O IPsec em ambos os tráfegos é implementado pela biblioteca de terceiros strongSwan (https://strongswan.org/). O tráfego interno do OTS é criado com o túnel vxlan do OpenVSwitch e também usa o strongSwan para criptografar o fluxo de dados na camada.