5.3. 数据加密选项
加密可让您对数据进行编码,使其在没有所需的加密密钥的情况下无法读取。这种机制可在物理安全漏洞发生时保护您的数据的机密性,导致物理介质退出您的 custody。每个PV 加密还提供对同一 OpenShift Container Platform 集群内其他命名空间的访问保护。当数据写入到磁盘时,数据会被加密,并在从磁盘读取数据时对其进行解密。使用加密的数据可能会对性能产生较小的影响。
使用 Red Hat OpenShift Data Foundation 4.6 或更高版本部署的新集群才支持加密。没有使用外部密钥管理系统(KMS)的现有加密集群无法迁移为使用外部 KMS。
在以前的版本中,HashiCorp Vault 是唯一支持集群范围的 KMS 和持久性卷加密的 KMS。在 OpenShift Data Foundation 4.7.0 和 4.7.1 中,只支持 HashiCorp Vault Key/Value (KV) secret 引擎 API,支持版本 1。从 OpenShift Data Foundation 4.7.2 开始,支持 HashiCorp Vault KV secret engine API、版本 1 和 2。从 OpenShift Data Foundation 4.12 开始,Thales CipherTrust Manager 已作为额外支持的 KMS 提供。
- KMS 是 StorageClass 加密所必需的,对于集群范围的加密是可选的。
- 首先,存储类加密需要有效的 Red Hat OpenShift Data Foundation 高级订阅。如需更多信息,请参阅有关 OpenShift Data Foundation 订阅的知识库文章。
红帽与技术合作伙伴合作,为客户提供本文档作为服务。但是,红帽不为 Hashicorp 产品提供支持。有关此产品的技术协助,请联系 Hashicorp。
5.3.1. 集群范围的加密
Red Hat OpenShift Data Foundation 支持存储集群中所有磁盘和多云对象网关操作的集群范围加密(encryption-at-rest)。OpenShift Data Foundation 使用基于 Linux 统一密钥系统(LUKS)版本 2 的加密,其密钥大小为 512 位,以及 aes-xts-plain64 密码,其中每个设备都有不同的加密密钥。密钥使用 Kubernetes secret 或外部 KMS 存储。两种方法都是互斥的,您不能在方法之间迁移。
对于块存储和文件存储,默认会禁用加密。您可以在部署时为集群启用加密。MultiCloud 对象网关默认支持加密。如需更多信息,请参阅部署指南。
在没有密钥管理系统(KMS)的 OpenShift Data Foundation 4.6 中支持集群范围的加密。从 OpenShift Data Foundation 4.7 开始,它支持使用和不使用 HashiCorp Vault KMS。从 OpenShift Data Foundation 4.12 开始,它支持使用和不使用 HashiCorp Vault KMS 和 Thales CipherTrust Manager KMS。
安全常见实践需要定期加密密钥轮转。Red Hat OpenShift Data Foundation 每周自动轮转 kubernetes secret 中存储的加密密钥。
需要有效的 Red Hat OpenShift Data Foundation 高级订阅。要了解 OpenShift Data Foundation 订阅如何工作,请参阅与 OpenShift Data Foundation 订阅相关的知识库文章。
使用 HashiCorp Vault KMS 进行集群范围加密提供了两种身份验证方法:
- 令牌 :此方法允许使用 vault 令牌进行身份验证。在 openshift-storage 命名空间中创建包含 vault 令牌的 kubernetes secret,用于身份验证。如果选择了此身份验证方法,那么管理员必须提供 vault 中后端路径的 vault 令牌,其中存储了加密密钥。
Kubernetes :此方法允许使用服务账户(serviceaccounts)通过 vault 进行身份验证。如果选择了此身份验证方法,那么管理员必须提供 Vault 中配置的角色名称,以便提供对后端路径的访问,其中存储了加密密钥。然后,此角色的值会添加到
ocs-kms-connection-details配置映射中。此方法可从 OpenShift Data Foundation 4.10 中提供。目前,HashiCorp Vault 是唯一受支持的 KMS。在 OpenShift Data Foundation 4.7.0 和 4.7.1 中,只支持 HashiCorp Vault KV secret 引擎,API 版本 1。从 OpenShift Data Foundation 4.7.2 开始,支持 HashiCorp Vault KV secret engine API、版本 1 和 2。
除了 HashiCorp Vault KMS,IBM Cloud 平台上的 OpenShift Data Foundation 还支持 Hyper Protect Crypto Services (HPCS) Key Management Services (KMS)作为加密解决方案。
红帽与技术合作伙伴合作,为客户提供本文档作为服务。但是,红帽不为 Hashicorp 产品提供支持。有关此产品的技术协助,请联系 Hashicorp。
5.3.2. 存储类加密
您可以使用外部密钥管理系统(KMS)使用存储类加密来加密持久性卷(仅限块)来存储设备加密密钥。持久卷加密仅适用于 RADOS 块设备(RBD)持久卷。请参阅 如何使用持久性卷加密创建存储类。
使用 HashiCorp Vault KMS 的 OpenShift Data Foundation 4.7 或更高版本支持存储类加密。存储类加密在使用 HashiCorp Vault KMS 和 Thales CipherTrust Manager KMS 的 OpenShift Data Foundation 4.12 或更高版本中被支持。
需要有效的 Red Hat OpenShift Data Foundation 高级订阅。要了解 OpenShift Data Foundation 订阅如何工作,请参阅与 OpenShift Data Foundation 订阅相关的知识库文章。
5.3.3. CipherTrust manager
Red Hat OpenShift Data Foundation 版本 4.12 引入了 Thales CipherTrust Manager 作为部署的附加密钥管理系统(KMS)供应商。Thales CipherTrust Manager 提供集中式密钥生命周期管理。CipherTrust Manager 支持密钥管理互操作性协议(KMIP),它允许密钥管理系统之间的通信。
CipherTrust Manager 在部署期间被启用。
5.3.4. 通过 Red Hat Ceph Storage 的 messenger 版本 2 协议(msgr2)传输数据加密。
从 OpenShift Data Foundation 版本 4.14 开始,可以使用 Red Hat Ceph Storage 的 messenger 版本 2 协议来加密转换数据。这为您的基础架构提供了重要的安全要求。
在创建集群时,可以在部署期间启用 in-transit 加密。有关在集群创建过程中启用数据加密的说明,请参阅环境的 部署指南。
msgr2 协议支持两种连接模式:
crc
- 与 cephx 建立连接时,提供强大的初始身份验证。
- 提供 crc32c 完整性检查,以防止 bit flips。
- 不对恶意的中间人攻击提供保护。
- 不要阻止窃听所有认证后流量。
安全
- 与 cephx 建立连接时,提供强大的初始身份验证。
- 提供所有认证后流量的完整加密。
- 提供加密完整性检查。
默认模式是 crc。
