La fonction « Data-at-rest encryption » a été implémentée dans la release du NOS 4.0. Elle permet aux clients Nutanix de pouvoir chiffrer le stockage en utilisant un algorithme de cryptage fort, ne permettant l'accès à ces dites données (en déchiffrement) qu’en présentant des informations d'identification correctes, conformes aux exigences réglementaires de « Data-at-rest encryption ».
Nutanix « Data-at-rest encryption » s'appuie sur la norme FIPS 140-2 Level-2 qui utilise des protocoles standards ouverts KMIP et TCG.
Le « National Institute of Standards and Technology (NIST) » a introduit et publié la norme FIPS 140 Series afin de coordonner les exigences et les normes pour les modules de cryptographie qui comprennent deux composants, matériels et logiciels.
La norme fournit quatre niveaux qualitatifs de sécurité, destinés à couvrir une large gamme d'applications et d'environnements potentiels. Les exigences de sécurité couvrent des domaines liés à la conception et la mise en œuvre sécurisée d'un module cryptographique.
Level 1 : Le niveau de sécurité 1 fournit le niveau de sécurité le plus bas. Les exigences de sécurité de base sont spécifiées pour un module cryptographique (par exemple, il doit implémenter au moins un algorithme approuvé ou une fonction de sécurité approuvée). Aucun mécanisme de sécurité physique spécifique n’est nécessaire dans un module cryptographique de sécurité de sécurité 1, au-delà de l'exigence de base pour les composants de production de qualité.
Level 2 : Par rapport au niveau de sécurité 1 d’un module cryptographique, le niveau de sécurité 2 intègre en plus les mécanismes de sécurité physiques dont les caractéristiques exigent des signes d'altération pour obtenir un accès physique aux clés cryptographiques en clair et aux paramètres de sécurité critiques (CSPs) dans le module.
Pour activer Nutanix Data-at-rest encryption, un serveur de gestion de clés (Key Management Device) est nécessaire. Au moment du lancement, ne sont pris en charge qu’ESXi et les systèmes de gestion de clés cryptographiques KeySecure certifiés SafeNet. D’autres systèmes de gestion des clés peuvent être aussi pris en charge.
Nutanix prend en charge les systèmes de gestion de clés conforme à KMIP 1.0, mais d'autres devraient être certifiés. Le serveur de gestion des clés peut même être une VM sur le cluster Nutanix car le chiffrement automatique entraîne un impact minime sur les performances du cluster.
Par défaut, les Clusters Nutanix n’ont pas la fonctionnalité « data-at-rest encryption » d’activée. C’est à l’administrateur de le faire en passant par l'interface PRISM ou en ligne de commandes « nCLI ». On peut gérer le serveur de gestion des clés et l’autorité de certification de manière très simple au travers de l’interface Prisme.
Chaque nœud Nutanix génère automatiquement un certificat d'authentification et l'ajoute au serveur de gestion de clés. A ce stade, les nœuds auto-génèrent également leur code PIN et le mette respectivement sur leur lecteur FIPS validés SED (Self Encrypting Drives). Le contrôleur Nutanix (CVM) de chaque nœud ajoute alors le code PIN au serveur de gestion de clés.
Il est à noter qu’une fois que le code PIN est enregistré sur un SED, il faudra toujours ce code pour déverrouiller le dispositif (perdre le code PIN égal perdre les données). Le code PIN peut être réinitialisé à l'aide de la primitive « SecureErase » sur un disque/partition « non sécurisé », mais toutes les données existantes seront perdues. C’est pourquoi il est important de bien comprendre ce mode de fonctionnement au cas où vous souhaiteriez déplacer les disques entre des clusters ou des nœuds.
Les ESXi et les partitions de démarrage NTNX ne sont pas cryptées.
Configuration en vidéo
Source de ce document sur ce lien Retrouvez aussi cet article sur le blog de Nutanix