红帽全球峰会11.3. 数据加密
存在用于实现者在存储于磁盘或通过网络传输时的项目数据,如下方所述的 OpenStack 卷加密功能。这高于用户在将自己的数据发送到其供应商之前对自己的数据进行加密的一般建议。
代表项目加密数据的重要性与攻击者可以访问项目数据的供应商相关风险。在政府中可能要求,以及每个策略、私有合同要求,甚至在与公共云提供商私有合同有关的法律情况下。在选择项目加密策略前,请考虑获取风险评估和法律建议。
每个实例或每个对象加密更为可取,以降序、每个项目、每个主机和每个云聚合使用。本建议消除了实施的复杂性和难度。目前,在某些项目中,即使每个项目也是如此,也无法实施加密。实施者应该考虑加密项目数据。
通常,数据加密通过丢弃密钥,对可靠销毁项目和实例数据的能力进行了积极联系。请注意,在这样做时,以可靠且安全的方式销毁这些密钥非常重要。
为用户加密数据的机会会存在:
- 对象存储对象
- 网络数据
11.3.1. 卷加密
复制链接链接已复制到粘贴板!
OpenStack 中的卷加密功能支持每个项目的隐私。支持以下功能:
- 创建和使用加密卷类型,通过控制面板或命令行界面启动
- 启用加密并选择参数,如加密算法和密钥大小
- iSCSI 数据包中包含的卷数据已被加密
- 支持加密原始卷的加密备份
- 卷加密状态的仪表板表示。包括表示卷已加密,并包含加密参数,如算法和密钥大小
- 使用密钥管理服务接口
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}