Cifrado en tránsito-Protección de conexiones de montaje entre la compartición de archivos y la instancia de servidor virtual
Puede establecer una conexión de montaje cifrada entre la instancia de servidor virtual y el sistema de almacenamiento utilizando el perfil de seguridad IPsec (Internet Security Protocol) y los certificados X.509. Al habilitar el cifrado en tránsito, crea un cifrado de extremo a extremo seguro para los datos.
Si opta por utilizar el cifrado en tránsito, debe equilibrar los requisitos entre el rendimiento y la seguridad mejorada. El cifrado de datos en tránsito puede tener cierto impacto en el rendimiento debido al proceso necesario para cifrar y descifrar los datos en los puntos finales. El impacto depende de las características de la carga de trabajo. Las cargas de trabajo que realizan grabaciones síncronas o que omiten el almacenamiento en memoria caché de VSI, como las bases de datos, pueden tener un impacto sustancial en el rendimiento cuando el EIT está habilitado. Para determinar el impacto en el rendimiento del EIT, evalúe su carga de trabajo con y sin EIT.
Incluso sin EIT, los datos se mueven a través de una red de centro de datos segura. Para obtener más información sobre la seguridad de red, consulte Seguridad en la VPC y Protección de los servicios de infraestructura de Virtual Private Cloud(VPC)con restricciones basadas en contexto.
File Storage for VPC se considera un servicio validado por Servicios Financieros sólo cuando está activado el cifrado en tránsito. Para más información, consulte qué es un servicio validado por Servicios Financieros.
Visión general
Con esta característica, puede habilitar el cifrado de extremo a extremo seguro de los datos cuando utilice las comparticiones de archivos con la modalidad de control de acceso basada en grupos de seguridad y los destinos de montaje con interfaces de red virtuales. Cuando se conecta un destino de montaje de este tipo y la compartición se monta en una instancia de servidor virtual, la interfaz de red virtual comprueba la política de grupo de seguridad para asegurarse de que sólo las instancias autorizadas pueden comunicarse con la compartición. El cliente puede encapsular el tráfico entre la instancia de servidor virtual autorizado y la compartición de archivos.
IPsec es un grupo de protocolos que juntos configuran conexiones cifradas entre dispositivos. Ayuda a mantener seguros los datos enviados a través de redes públicas. IPsec cifra los paquetes IP y autentica el origen de origen de los paquetes. Para configurar IPsec en su instancia de servidor virtual, puede utilizar strongSwan, que es una solución VPN de código abierto basada en IPsec. Para obtener más información sobre cómo funciona strongSwan, consulte también Introducción a strongSwan y Protocolo IPsec.
La conexión IPsec requiere que tenga un certificado X.509 para la autenticación. X.509 es un formato estándar internacional para certificados de clave pública, documentos digitales que asocian de forma segura pares de claves criptográficas con identidades como sitios web, personas u organizaciones. El servicio de metadatos se utiliza para crear los certificados.
Una solicitud de firma de certificado (CSR) es un bloque de textos codificados que se reenvían a una entidad emisora de certificados (CA) cuando los usuarios solicitan un certificado. CSR se crea en el servidor donde se va a instalar el certificado. CSR incluye información como, por ejemplo, el nombre de dominio, el nombre de organización, la localidad y el país. La solicitud también contiene la clave pública, que está asociada con el certificado que se genera, y la clave privada. La CA sólo utiliza la clave pública cuando se crea el certificado. La clave privada debe guardarse y mantenerse en secreto. Como la clave privada forma parte del par de claves con la clave pública, y el certificado no funciona si se pierde la clave privada.
El cifrado en tránsito no está soportado en Bare Metal Servers for VPC.
Configuración del cifrado en tránsito
Para utilizar la característica, es necesario cumplir los siguientes requisitos:
- La compartición de archivos debe basarse en el perfil de
dp2
y configurarse con la modalidad de acceso de grupo de seguridad. - El destino de montaje debe crearse con una interfaz de red virtual. La instancia de servidor virtual y el destino de montaje deben ser miembros del mismo grupo de seguridad. Para obtener más información, consulte Creación de comparticiones de archivos y destinos de montaje.
- El cifrado de datos en tránsito debe estar habilitado. En la consola, puedes activar el cifrado en tránsito al crear el destino de montaje. La propiedad
transit_encryption
de la API acepta el valoruser_managed
para habilitar la característica. - El servicio de metadatos debe estar activado para la instancia de servidor virtual.
Si desea conectar un archivo compartido a instancias que se ejecutan en distintas VPC de una zona, puede crear varios destinos de montaje. Puede crear un objetivo de montaje para cada VPC.
Configurar el host y obtener un certificado
El servicio de archivos IBM Cloud® proporciona un programa de utilidad Mount Helper para automatizar las tareas siguientes que se realizan en la instancia de servidor virtual.
-
Cuando configura la instancia de servidor virtual para acceder a la compartición de archivos, debe configurar la Modalidad de transporte IPsec para la dirección de destino de montaje. Instale y configure el cliente strongSwan.
-
Obtenga los certificados X.509 necesarios para la autenticación. Los mismos certificados no se pueden utilizar en varias regiones.
-
El mandato siguiente genera una Solicitud de firma de certificado (CSR) y un Par de claves RSA utilizando openssl.
openssl req -sha256 -newkey rsa:4096 -subj '/C=US' -out ./sslcert.csr -keyout file.key -nodes
Cuando ejecute el mandato, sustituya el código de país
US
por el código de país de dos dígitos en'/C=US'
.OpenSSL es un conjunto de herramientas de línea de comandos de código abierto que puede utilizar para trabajar con certificados X.509, solicitudes de firma de certificado (CSR) y claves criptográficas. Para obtener más información, consulte Documentación deOpenSSL.
Si está utilizando un software diferente para crear la CSR, es posible que se le solicite que especifique información sobre su ubicación como, por ejemplo, el código de país (C), el estado (ST), la localidad (L), el nombre de la organización (O) y la unidad organizativa (OU). Se puede utilizar cualquiera de estos atributos de denominación. Cualquier otro atributo de denominación, como el nombre común, se rechaza. Las CSR con el nombre común especificado se rechazan porque, al realizar la solicitud de API, el sistema aplica valores de ID de instancia al nombre común del asunto para los certificados de identidad de instancia. También se rechazan los CSR con extensiones.
-
Formatee el csr antes de realizar una llamada de API al servicio de metadatos utilizando el mandato siguiente.
awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' sslcert.csr
-
-
A continuación, utilice el servicio de metadatos para crear un certificado de cliente.
- Realice una solicitud de API de
PUT /instance_identity/v1/token
para obtener una señal del servicio de metadatos que se utilizará para llamadas posteriores. Para obtener más información, consulte Adquisición de una señal de acceso de identidad de instancia. - Realice una solicitud
POST /instance_identity/v1/certificates
y especifique el token de identidad de la instancia en la cabecera HTTP Authorization, además de una solicitud de firma de certificado (como propiedadcsr
) y una duración de validez (como propiedadexpires_in
). La llamada devuelve un nuevo certificado de cliente y una cadena de certificados intermedia que permite al cliente acceder a las comparticiones de archivos utilizando el cifrado IPsec en tránsito. Para obtener más información, consulte Generación de un certificado de identidad de instancia utilizando una señal de acceso de identidad de instancia. Copie la salida, incluidas las líneas-----BEGIN CERTIFICATE-----
y-----END CERTIFICATE-----
, y guárdela en un archivo con un nombre reconocible, comoca-cert.pem
. Asegúrate de que el archivo que crees tenga la extensión.pem
.
- Realice una solicitud de API de
-
Copie el certificado de identidad de la instancia en el directorio
/etc/ipsec.d/cacerts
.sudo cp /tmp/ca-cert.pem /etc/ipsec.d/cacerts
-
Establezca la conexión segura iniciando el cliente strongSwan.
-
Monta tu archivo compartido.