IBM Cloud Docs
Verschlüsselung bei Übertragung-Mountverbindungen zwischen Dateifreigabe und virtueller Serverinstanz sichern

Verschlüsselung bei Übertragung-Mountverbindungen zwischen Dateifreigabe und virtueller Serverinstanz sichern

Sie können eine verschlüsselte Mountverbindung zwischen der virtuellen Serverinstanz und dem Speichersystem herstellen, indem Sie das IPsec-Sicherheitsprofil und X.509-Zertifikate verwenden. Durch die Aktivierung der Verschlüsselung während der Übertragung erstellen Sie eine sichere End-to-End-Verschlüsselung für Ihre Daten.

Wenn Sie sich für die Verwendung der Verschlüsselung während der Übertragung entscheiden, müssen Sie Ihre Anforderungen auf die Leistung und die erweiterte Sicherheit abwägen. Das Verschlüsseln von Daten während der Übertragung kann aufgrund der Verarbeitung, die zum Verschlüsseln und Entschlüsseln der Daten auf den Endpunkten erforderlich ist, zu Leistungseinbußen führen. Die Auswirkung hängt von den Workloadmerkmalen ab. Workloads, die synchrone Schreibvorgänge ausführen oder das VSI-Caching umgehen, wie z. B. Datenbanken, können erhebliche Auswirkungen auf die Leistung haben, wenn das EIT aktiviert ist. Um die Auswirkungen des ETI auf die Leistung zu ermitteln, bewerten Sie Ihre Arbeitsbelastung mit und ohne ETI.

Auch ohne EIT werden die Daten über ein sicheres Rechenzentrumsnetz übertragen. Weitere Informationen zur Netzsicherheit finden Sie unter Sicherheit in Ihrer VPC und VPC-Infrastrukturservices(Virtual Private Cloud)mit kontextbasierten Einschränkungen schützen.

der Dienst File Storage for VPC gilt nur dann als von Financial Services validierter Dienst, wenn die Verschlüsselung bei der Übertragung aktiviert ist. Weitere Informationen finden Sie unter Was ist ein von Financial Services validierter Dienst?

Übersicht

Mit dieser Funktion können Sie eine sichere End-to-End-Verschlüsselung Ihrer Daten aktivieren, wenn Sie Dateifreigaben mit dem sicherheitsgruppenbasierten Zugriffssteuerungsmodus und Mountziele mit virtuellen Netzschnittstellen verwenden. Wenn ein solches Mountziel zugeordnet und die Freigabe an eine virtuelle Serverinstanz angehängt ist, überprüft die virtuelle Netzschnittstelle die Sicherheitsgruppenrichtlinie, um sicherzustellen, dass nur berechtigte Instanzen mit der Freigabe kommunizieren können. Der Datenverkehr zwischen der berechtigten virtuellen Serverinstanz und der Dateifreigabe kann über IPsec vom Client eingebunden werden.

IPsec ist eine Gruppe von Protokollen, die zusammen verschlüsselte Verbindungen zwischen Einheiten einrichten. Es hilft, Daten, die über öffentliche Netze gesendet werden, sicher zu halten. IPsec verschlüsselt IP-Pakete und authentifiziert die Quelle, aus der die Pakete stammen. Um IPsec auf Ihrer virtuellen Serverinstanz zu konfigurieren, können Sie strongSwan verwenden, eine IPsec-basierte Open-Source-VPN-Lösung. Weitere Informationen über die Funktionsweise von strongSwan finden Sie auch unter Einführung in strongSwan und IPsec Protokoll.

Für die IPsec-Verbindung ist ein X.509-Zertifikat für die Authentifizierung erforderlich. X.509 ist ein internationales Standardformat für Zertifikate für öffentliche Schlüssel, digitale Dokumente, die Verschlüsselungsschlüsselpaare sicher Identitäten wie Websites, Einzelpersonen oder Organisationen zuordnen. Der Metadatendienst wird zur Erstellung der Zertifikate verwendet.

Eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) ist ein Block codierter Texte, die an eine Zertifizierungsstelle (Certificate Authority, CA) weitergeleitet werden, wenn Benutzer ein Zertifikat beantragen. Die Zertifikatssignieranforderung wird auf dem Server erstellt, auf dem das Zertifikat installiert werden soll. CSR enthält Informationen wie Domänenname, Organisationsname, Standort und Land. Die Anforderung enthält außerdem den öffentlichen Schlüssel, der dem generierten Zertifikat zugeordnet ist, und den privaten Schlüssel. Die Zertifizierungsstelle verwendet bei der Erstellung des Zertifikats nur den öffentlichen Schlüssel. Der private Schlüssel muss gespeichert und geheim gehalten werden. Da der private Schlüssel Teil des Schlüsselpaars mit dem öffentlichen Schlüssel ist, funktioniert das Zertifikat nicht, wenn der private Schlüssel verloren geht.

Die Verschlüsselung während der Übertragung wird auf Bare Metal Servers for VPCnicht unterstützt.

Verschlüsselung während der Übertragung konfigurieren

Für die Verwendung des Features müssen die folgenden Voraussetzungen erfüllt sein:

  • Die Dateifreigabe muss auf dem dp2-Profil basieren und mit dem Sicherheitsgruppenzugriffsmodus konfiguriert werden.
  • Das Mountziel muss mit einer virtuellen Netzschnittstelle erstellt werden. Die virtuelle Serverinstanz und das Mountziel müssen Mitglieder derselben Sicherheitsgruppe sein. Weitere Informationen finden Sie unter Dateifreigaben und Mountziele erstellen.
  • Die Datenverschlüsselung während der Übertragung muss aktiviert sein. In der Konsole können Sie die Verschlüsselung während der Übertragung einschalten, wenn Sie das Einhängeziel erstellen. Die API-Eigenschaft transit_encryption akzeptiert den Wert user_managed, um die Funktion zu aktivieren.
  • Der Metadatendienst muss für die virtuelle Serverinstanz aktiviert sein.

Wenn Sie eine Dateifreigabe mit Instanzen verbinden möchten, die in verschiedenen VPCs in einer Zone ausgeführt werden, können Sie mehrere Einhängeziele erstellen. Sie können für jede VPC ein Einhängeziel erstellen.

Host konfigurieren und Zertifikat anfordern

Der Dateiservice IBM Cloud® stellt ein Mount-Helper-Dienstprogramm bereit, um die folgenden Tasks zu automatisieren, die auf der virtuellen Serverinstanz ausgeführt werden.

  1. Wenn Sie die virtuelle Serverinstanz für den Zugang zur Dateifreigabe konfigurieren, müssen Sie IPsec-Transportmodus für die Mountzieladresse konfigurieren. Installieren Sie und konfigurieren Sie den strongSwan-Client.

  2. Rufen Sie die X.509-Zertifikate ab, die für die Authentifizierung erforderlich sind. Dieselben Zertifikate können nicht in mehreren Regionen verwendet werden.

    1. Der folgende Befehl generiert eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) und ein RSA-Schlüsselpaar unter Verwendung von OpenSSL.

      openssl req -sha256 -newkey rsa:4096 -subj '/C=US' -out ./sslcert.csr -keyout file.key -nodes

      Wenn Sie den Befehl ausführen, ersetzen Sie den Landescode US durch Ihren zweistelligen Landescode in '/C=US'.

      OpenSSL ist ein Open-Source-Befehlszeilen-Toolkit, das Sie für die Arbeit mit X.509-Zertifikaten, Certificate Signing Requests (CSRs) und kryptografischen Schlüsseln verwenden können. Weitere Informationen finden Sie in der Dokumentation zuOpenSSL.

      Wenn Sie eine andere Software zum Erstellen des CSR verwenden, werden Sie möglicherweise aufgefordert, Informationen zu Ihrem Standort einzugeben, wie z. B. Landescode (C), Bundesstaat (ST), Lokalität (L), Name Ihrer Organisation (O) und Organisationseinheit (OU). Jedes dieser Namensattribute kann verwendet werden. Alle anderen Namensattribute, wie z. B. der allgemeine Name, werden zurückgewiesen. CSRs mit angegebenem Common Name werden abgelehnt, da das System bei der API-Anforderung Instanz-ID-Werte auf den Common Name des Betreffs für die Instanzidentitätszertifikate anwendet. Kundendienstmitarbeiter mit Erweiterungen werden ebenfalls zurückgewiesen.

    2. Formatieren Sie die Zertifikatssignieranforderung, bevor Sie einen API-Aufruf an den Metadatenservice absetzen, indem Sie den folgenden Befehl verwenden.

      awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' sslcert.csr

  3. Verwenden Sie dann den Metadatendienst, um ein Client-Zertifikat zu erstellen.

    1. Erstellen Sie eine PUT /instance_identity/v1/token-API-Anforderung, um ein Token aus dem Metadatenservice abzurufen, das für nachfolgende Aufrufe verwendet wird. Weitere Informationen finden Sie unter Instanzidentitätszugriffstoken anfordern.
    2. Stellen Sie eine POST /instance_identity/v1/certificates Anfrage und geben Sie das Instanzidentitäts-Token im HTTP Authorization Header an, sowie eine Certificate Signing Request (als csr Eigenschaft) und eine Gültigkeitsdauer (als expires_in Eigenschaft). Der Aufruf gibt ein neues Clientzertifikat und eine temporäre Zertifikatskette zurück, die dem Client den Zugriff auf Dateifreigaben mithilfe der IPsec-Verschlüsselung in Transit ermöglichen. Weitere Informationen finden Sie unter Instanzidentitätszertifikat mithilfe eines Instanzidentitätszugriffstokens generieren. Kopieren Sie die Ausgabe, einschließlich der Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----, und speichern Sie sie in einer Datei mit einem erkennbaren Namen, z. B. ca-cert.pem. Achten Sie darauf, dass die von Ihnen erstellte Datei die Erweiterung .pem hat.

  4. Kopieren Sie das Instanzidentitätszertifikat in das Verzeichnis /etc/ipsec.d/cacerts.

    sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts

  5. Stellen Sie die sichere Verbindung her, indem Sie den strongSwan Client starten.

  6. Mounten Sie Ihre Dateifreigabe.