什么可以加密?支持什么配置?在哪一层数据是加密的?哪一层加密更安全?
Nutanix提供了三个数据加密选择:
- 及时的数据加密- 自加密驱动器(SED) - 集群的本机或外部KMS用于仅软件加密。
- 如果控制器VM无法从密钥管理服务器(KMS)获取正确的键,则无法访问驱动器上的数据。
- 如果重新安装驱动器,则将锁定。
- 如果驱动器被盗,则没有kek(键连接键)(无法从驱动器获得)的数据无法访问。如果节点被盗,则密钥管理服务器可以撤销节点证书,以确保它们不能用于访问任何驱动器上的数据。
- 及时的数据加密- 仅软件
- 对于AHV,可以在A上加密数据簇等级。这适用于具有现有数据的空群集或群集。
- 对于ESXI和Hyper-V,可以在A上加密数据群集或容器等级。群集或容器可以为空或包含现有数据。对于容器级加密,在启用加密后,管理员需要为每个新容器启用加密。
- 数据始终加密。
- 如果发生驱动器或节点盗窃,数据是无法访问的。
- 驱动器上的数据可以牢固地破坏。
- 双重加密。双重加密使用仅使用SED和仅软件加密保护簇上的数据。外部密钥管理器用于存储双重加密的键,不支持本机KMS。
及时的数据加密功能需要最终许可。
进一步阅读配置步骤,先决条件和受支持的密钥管理服务器,请参见安全指南5.11:及格加密。