Planejando a camada de nuvem transparente
Planejar a camada de nuvem transparente envolve comprar uma função licenciada e, em seguida, ativar a função no sistema.
A camada de nuvem transparente é uma função licenciada que permite que dados de volume sejam copiados e transferidos para o armazenamento em nuvem. O sistema suporte criar conexões com provedores de serviço de nuvem para armazenar cópias de dados de volume no armazenamento de nuvem privada ou pública.
Com a camada de nuvem transparente, os administradores podem mover dados mais antigos para o armazenamento em nuvem para liberar capacidade no sistema. Capturas instantâneas pontuais de dados podem ser criadas no sistema e, em seguida, copiadas e armazenadas no armazenamento em nuvem. Um provedor de serviço de nuvem externo gerencia o armazenamento em nuvem, o que reduz os custos de armazenamento para o sistema. Antes que os dados possam ser copiados para o armazenamento em nuvem, uma conexão com o provedor de serviço de nuvem deve ser criada a partir do sistema. Uma conta de nuvem é um objeto no sistema que representa uma conexão com um provedor de serviço de nuvem usando um conjunto particular de credenciais. Essas credenciais são diferentes dependendo do tipo de provedor de serviço de nuvem que está sendo especificado. A maioria dos provedores de serviço de nuvem requerer o nome do host do provedor de serviço de nuvem e uma senha associada, e alguns provedores de serviço de nuvem também requerem certificados para autenticar usuários do armazenamento em nuvem. As nuvens públicas usam certificados que são assinados por autoridades de certificação conhecidas. Os provedores de serviço de nuvem privada podem usar o certificado autoassinado ou um certificado que seja assinado por uma autoridade de certificação confiável. Essas credenciais são definidas no provedor de serviço de nuvem e transmitidas ao sistema por meio dos administradores do provedor de serviço de nuvem. Uma conta de nuvem define se o sistema pode se comunicar com êxito e autenticar com o provedor de serviço de nuvem usando as credenciais da conta. Se o sistema estiver autenticado, ele poderá, então, acessar o armazenamento de nuvem para copiar dados para o armazenamento em nuvem ou restaurar dados que são copiados para o armazenamento em nuvem de volta ao sistema. O sistema suporta uma conta de nuvem para um único provedor de serviço de nuvem. A migração entre provedores não é suportada.
Cada provedor de serviço de nuvem divide o armazenamento em nuvem em segmentos para cada cliente que usa o armazenamento em nuvem. Esses objetos armazenam apenas dados específicos para esse cliente. Os nomes dos objetos começam com um prefixo que pode ser especificado quando você cria a conta para o sistema. Um prefixo define o conteúdo específico do sistema que o objeto armazena e suporta vários sistemas independentes para armazenar dados em uma única conta de nuvem. Cada provedor de serviço de nuvem usa uma terminologia diferente para esses objetos de armazenamento.
- Assegure-se de ter um contrato de serviço com um provedor de serviço de nuvem suportado.
- Obtenha a licença para a camada de nuvem transparente para o seu sistema.
- Assegure que um servidor DNS esteja configurado no sistema. Durante a configuração da conta de nuvem, o assistente solicitará
a criação de um servidor DNS, se um ainda não estiver configurado. Todos os provedores de serviço de nuvem pública usam nomes de host para identificá-los
ao longo da rede pública. O sistema requer que um
Sistema de Nomes de Domínio (DNS) converta esses nomes do host em endereços IP para estabelecer uma conta de nuvem.O Sistema de Nomes de Domínio (DNS) converte endereços IP em
nomes dos hosts.
Antes de criar uma conexão com um provedor de serviço de nuvem, assegure-se de especificar pelo menos um servidor DNS para gerenciar nomes dos hosts. Será possível ter até 2 servidores DNS que estiverem configurados no sistema. Para configurar o DNS para o sistema, insira um endereço IP válido e o nome para cada servidor. Os formatos de endereço IPv4 e IPv6 são suportados.
- Determine se a criptografia é necessária para sua conexão com a conta de nuvem. Se você estiver acessando uma solução de nuvem pública, a criptografia protegerá os dados contra ataques durante as transferências para os provedores de serviço de nuvem externa. Para criptografar dados que são enviados ao provedor de serviço de nuvem, a criptografia deve ser ativada no sistema.
Considerações de segurança para contas de nuvem
Sempre que o sistema acessa redes externas, o potencial para exposição não intencional ou intencional de dados sensíveis é um risco. Quando você está conectando o sistema a um provedor de serviço de nuvem por meio de uma rede pública, é possível usar criptografia para proteger dados que são transferidos para o provedor de serviço de nuvem.
O primeiro nível de segurança baseada em criptografia fornece comunicações seguras entre o sistema e o provedor de serviço de nuvem. O protocolo padrão, Segurança da Camada de Transporte, protege essas conexões criptografando dados que são transferidos entre o sistema e o provedor de serviço de nuvem. Comunicações seguras são obrigatórias para essas conexões e requerem que certificados públicos sejam trocados entre o provedor de serviço de nuvem e o sistema. Para configurar certificados para comunicações seguras na GUI de gerenciamento, acesse . É possível também usar o comando chsystemcert para criar certificados do sistema. Com comunicações seguras, os dados são criptografados enquanto são transferidos para a nuvem, mas podem ser armazenados na nuvem na forma decriptografada. Cada provedor de serviço de nuvem tem suas próprias medidas de segurança para proteger os dados depois que eles estão localizados no armazenamento de nuvem; no entanto, violações ainda podem ocorrer e os dados podem ser comprometidos. Os clientes que usam provedores de serviço em nuvem podem incluir métodos de criptografia extras para proteger seus dados após eles serem armazenados na nuvem.
Como o sistema suporta criptografia de dados inativos, é possível, opcionalmente, configurar gerenciamento de chave de criptografia para proteger ainda mais os dados que são transferidos para o armazenamento em nuvem. Se o gerenciamento de chave for configurado no sistema, os dados serão criptografados antes de saírem do sistema e, em seguida, armazenados na nuvem. O sistema suporta gerenciamento de chaves por meio de uma unidade flash USB ou de um servidor de chaves de criptografia. Quando a criptografia é configurada, a chave mestra de criptografia é criada e armazenada separadamente em uma unidade flash USB ou em um servidor de chaves. Ao criar capturas instantâneas de dados para enviar para o provedor de serviços de nuvem configurado, cada volume e cada conta de nuvem possuem chaves de criptografia separadas. A chave de criptografia que é usada pela conta de nuvem protege as chaves de criptografia para os volumes. A chave mestra de criptografia protege a chave de criptografia que é usada pela conta de nuvem. Como a chave mestra de criptografia está presente fisicamente na unidade flash USB ou no servidor de chaves, assegure-se de que medidas de segurança sejam implementadas para proteger a chave mestra de criptografia contra roubo ou perda. Quando os dados são transmitidos entre o sistema e o provedor de serviço de nuvem, eles também são criptografados por certificados que são configurados para comunicações seguras. A chave mestra de criptografia também protege os dados que estiverem em trânsito, no entanto, esses dados permanecem criptografados enquanto estiverem armazenados na nuvem. Os dados também permanecem criptografados com a chave mestra de criptografia quando são transferidos de volta para o sistema a partir da nuvem durante as operações de restauração. Por fim, os dados podem ser decriptografados quando chegarem ao sistema ou podem ser armazenados em um volume criptografado no sistema.
Quando uma conexão com um provedor de serviço de nuvem é configurada, deve-se decidir se deseja criptografar ou não dados inativos na nuvem para esta conta. Depois de decidir, a configuração de criptografia para a conta não pode ser mudada sem restaurar todos os dados da nuvem, reconfigurando a conta e recriando capturas instantâneas de nuvem para os dados.