Planejando a camada de nuvem transparente
Planejar a camada de nuvem transparente envolve comprar uma função licenciada e, em seguida, ativar a função no sistema.
A camada de nuvem transparente é uma função licenciada que permite que dados de volume sejam copiados e transferidos para o armazenamento em nuvem. O sistema suporta a criação de conexões com provedores de serviço de nuvem para armazenar cópias de dados do volume em armazenamento em nuvem privada ou pública.
Com a camada de nuvem transparente, os administradores podem mover dados mais antigos para o armazenamento em nuvem para liberar capacidade no sistema. Capturas instantâneas pontuais de dados podem ser criadas no sistema e, em seguida, copiadas e armazenadas no armazenamento em nuvem. Um provedor de serviço em nuvem externo gerencia o armazenamento em nuvem, o que reduz custos de armazenamento para o sistema. Antes que os dados possam ser copiados para o armazenamento em nuvem, uma conexão com o provedor de serviço de nuvem deve ser criada a partir do sistema.
Uma conta de nuvem é um objeto no sistema que representa uma conexão com um provedor de serviço em nuvem usando um conjunto de credenciais específico. Essas credenciais são diferentes dependendo do tipo de provedor de serviço de nuvem que está sendo especificado. A maioria dos provedores de serviço de nuvem requerer o nome do host do provedor de serviço de nuvem e uma senha associada, e alguns provedores de serviço de nuvem também requerem certificados para autenticar usuários do armazenamento em nuvem. As nuvens públicas usam certificados que são assinados por autoridades de certificação conhecidas. Os provedores de serviço de nuvem privada podem usar um certificado autoassinado ou um certificado que é assinado por uma autoridade de certificação confiável. Essas credenciais são definidas no provedor de serviço de nuvem e são transmitidas para o sistema por meio dos administradores do provedor de serviço de nuvem.
Depois que o sistema for autenticado, ele poderá, então, acessar o armazenamento em nuvem para ou copiar dados para o armazenamento em nuvem ou restaurar dados que são copiados para o armazenamento em nuvem de volta para o sistema. O sistema suporta uma conta de nuvem para um único provedor de serviço de nuvem. A migração entre provedores não é suportada.
Cada provedor de serviço de nuvem divide o armazenamento em nuvem em segmentos para cada cliente que usa o armazenamento em nuvem. Esses objetos armazenam apenas dados específicos para esse cliente. Os nomes dos objetos começam com um prefixo que pode ser especificado quando você cria a conta para o sistema. Um prefixo define conteúdo específico do sistema que o objeto armazena e suporta diversos sistemas independentes para armazenar dados em uma única conta de nuvem. Cada provedor de serviço de nuvem usa uma terminologia diferente para esses objetos de armazenamento.
- Assegure-se de ter um contrato de serviço com um provedor de serviço de nuvem suportado.
- Obtenha a licença para a camada de nuvem transparente para o seu sistema.
- Assegure que um servidor DNS esteja configurado no sistema. Durante a configuração da conta de nuvem, o assistente solicitará
a criação de um servidor DNS, se um ainda não estiver configurado. O Sistema de Nomes de Domínio (DNS) converte endereços IP em nomes de host, que são usados pelos provedores de serviço de nuvem. O sistema requer um Sistema de Nomes de Domínio (DNS) para converter esses nomes de host em endereços IP para estabelecer uma conta de nuvem ou para conectar-se ao armazenamento baseado em nuvem.
Antes de criar uma conexão com um provedor de serviço de nuvem ou se conectar ao armazenamento em nuvem, assegure-se de especificar pelo menos um servidor DNS para gerenciar nomes de host. É possível ter até dois servidores DNS que estão configurados no sistema. Para configurar o DNS para o sistema, insira um endereço IP e um nome válidos para cada servidor. Os formatos de endereços IPv4 e IPv6 são suportados.
- Determine se a criptografia é necessária para sua conexão com a conta de nuvem. Se você estiver acessando uma solução de nuvem pública, a criptografia protege os dados contra ataque durante transferências para os provedores de serviço em nuvem externos. Para criptografar dados que são enviados ao provedor de serviço de nuvem, a criptografia deve ser ativada no sistema.
Considerações de segurança para contas de nuvem
Sempre que o sistema acessa redes externas, o potencial para exposição não intencional ou intencional de dados sensíveis é um risco. Quando você está conectando o sistema a um provedor de serviço de nuvem por meio de uma rede pública, é possível usar criptografia para proteger dados que são transferidos para o provedor de serviço de nuvem.
O primeiro nível de segurança baseada em criptografia fornece comunicações seguras entre o sistema e o provedor de serviço de nuvem. O protocolo padrão, Transport Layer Security (TLS), protege essas conexões criptografando dados que são transferidos entre o sistema e o provedor de serviço de nuvem. Comunicações seguras são obrigatórias para essas conexões e requerem que certificados públicos sejam trocados entre o provedor de serviço de nuvem e o sistema. Para configurar certificados para comunicações seguras na GUI de gerenciamento, acesse . É possível também usar o comando chsystemcert para criar certificados do sistema. Com comunicações seguras, os dados são criptografados enquanto são transferidos para a nuvem, mas podem ser armazenados na nuvem na forma decriptografada. Cada provedor de serviço de nuvem tem suas próprias medidas de segurança para proteger os dados depois que eles estão localizados no armazenamento de nuvem; no entanto, violações ainda podem ocorrer e os dados podem ser comprometidos. Os clientes que usam provedores de serviço em nuvem podem incluir métodos de criptografia extras para proteger seus dados após eles serem armazenados na nuvem.
Como o sistema suporta criptografia de dados em repouso, é possível, opcionalmente, configurar o gerenciamento de chave de criptografia para proteger ainda mais os dados que estão armazenados no armazenamento em nuvem. Se o gerenciamento de chave for configurado no sistema, os dados serão criptografados antes de saírem do sistema e, em seguida, armazenados na nuvem. O sistema suporta gerenciamento de chaves por meio de uma unidade flash USB ou de um servidor de chaves de criptografia. Quando a criptografia é configurada, uma chave mestra de criptografia é criada e armazenada separadamente em uma unidade flash USB ou em um servidor de chaves. Ao criar capturas instantâneas de dados para enviar para o provedor de serviços de nuvem configurado, cada volume e cada conta de nuvem possuem chaves de criptografia separadas. A chave de criptografia que é usada pela conta de nuvem protege as chaves de criptografia para os volumes. A chave mestra de criptografia protege a chave de criptografia que é usada pela conta de nuvem. Como a chave mestra de criptografia está fisicamente presente na unidade flash USB ou no servidor de chaves, deve-se assegurar que as medidas de segurança sejam implementadas para proteger a chave mestra de criptografia contra roubo ou perda. Quando os dados são transmitidos entre o sistema e o provedor de serviço de nuvem, eles também são criptografados por certificados que são configurados para comunicações seguras. A chave mestra de criptografia também protege os dados que estiverem em trânsito, no entanto, esses dados permanecem criptografados enquanto estiverem armazenados na nuvem. Os dados também permanecem criptografados com a chave mestra de criptografia quando são transferidos de volta para o sistema a partir da nuvem durante as operações de restauração. Por fim, os dados podem ser decriptografados quando chegarem ao sistema ou podem ser armazenados em um volume criptografado no sistema.
Quando uma conexão com um provedor de serviço de nuvem é configurada, deve-se decidir se deseja criptografar ou não dados inativos na nuvem para esta conta. Depois de decidir, a configuração de criptografia para a conta não pode ser mudada sem restaurar todos os dados da nuvem, reconfigurando a conta e recriando capturas instantâneas de nuvem para os dados.