Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de datos en Amazon FSx para NetApp ONTAP
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en Amazon FSx for NetApp ONTAP. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabajas con Amazon FSx u otra Servicios de AWS empresa mediante la consola, la API o AWS SDKs. AWS CLI Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
## El cifrado de datos es FSx para ONTAP
Amazon FSx for NetApp ONTAP admite el cifrado de datos en reposo y el cifrado de datos en tránsito. El cifrado de los datos en reposo se activa automáticamente al crear un sistema de FSx archivos de Amazon. Amazon FSx for NetApp ONTAP admite el cifrado basado en Kerberos en tránsito a través de los protocolos NFS y SMB si accede a los datos de una máquina virtual de almacenamiento (SVM) que está unida a un Active Directory o a un dominio mediante el Protocolo ligero de acceso a directorios (LDAP).
### Cuando utilizar el cifrado
Si su organización está sujeta a políticas corporativas o reglamentarias que exigen el cifrado de los datos y metadatos en reposo, sus datos se cifran automáticamente en reposo. También le recomendamos que habilite el cifrado de los datos en tránsito montando su sistema de archivos mediante el cifrado de los datos en tránsito.
Para obtener más información sobre el cifrado de datos con Amazon FSx para NetApp ONTAP, consulte [Cifrado de datos en reposo](encryption-at-rest.md) y[Cifrado de datos en tránsito](encryption-in-transit.md).
# Cifrado de datos en reposo
Todos los sistemas de archivos y copias de seguridad de Amazon FSx for NetApp ONTAP están cifrados en reposo con claves gestionadas mediante AWS Key Management Service (AWS KMS). Los datos se cifran de manera automática antes de escribirse en el sistema de archivos y se descifran de la misma manera a medida que se leen. Todas las copias de seguridad se cifran automáticamente al crearlas y se descifran automáticamente cuando se restaura la copia de seguridad en un volumen nuevo. Amazon gestiona estos procesos de forma transparente FSx, por lo que no tienes que modificar tus aplicaciones.
Amazon FSx utiliza un algoritmo de cifrado AES-256 estándar del sector para cifrar los FSx datos y metadatos de Amazon en reposo. Para obtener más información, consulte los [Conceptos básicos de la criptografía](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) en la *Guía del desarrollador de AWS Key Management Service *.
**nota**
La infraestructura de administración de AWS claves utiliza algoritmos criptográficos aprobados por la norma federal de procesamiento de información (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.
## Cómo FSx usa Amazon AWS KMS
Amazon FSx se integra AWS KMS para la gestión de claves. Amazon FSx utiliza claves de KMS para cifrar el sistema de archivos y cualquier copia de seguridad de volumen. Usted elige la clave de KMS que se utiliza para cifrar y descifrar los sistemas de archivos y copias de seguridad del volumen (tanto de datos como de metadatos). Puede habilitar, deshabilitar o revocar concesiones en esta clave de KMS. Esta clave de KMS puede ser de uno de los dos siguientes tipos:
+ **clave de KMS gestionada por AWS**: Esta es la clave de KMS por defecto y su uso es gratuito.
+ **clave de KMS gestionada por el cliente**: se trata de la clave de KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información sobre la creación de claves de KMS, consulte [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para AWS Key Management Service desarrolladores*.
**importante**
Amazon solo FSx acepta claves KMS de cifrado simétrico. No puedes usar claves KMS asimétricas con Amazon FSx.
Si utiliza una clave de KMS gestionada por el cliente como clave de KMS para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave de KMS. Para más información, consulte la sección sobre [Rotar AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) y [ Habilitar y deshabilitar claves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) en la * Guía del desarrollador de AWS Key Management Service *.
## Políticas FSx clave de Amazon para AWS KMS
Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Para obtener más información sobre las políticas de claves, consulte [Uso de las políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la * Guía para desarrolladores de AWS Key Management Service . *En la siguiente lista se describen todos los permisos AWS KMS relacionados que Amazon admite FSx para copias de seguridad y sistemas de archivos cifrados en reposo:
+ **kms:Encrypt** - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.
+ **kms: Decrypt** - (obligatorio): descifra texto cifrado. El texto cifrado es texto plano que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.
+ **kms: ReEncrypt** — (opcional) Cifra los datos del lado del servidor con uno nuevo AWS KMS key, sin exponer el texto sin formato de los datos del lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obligatorio) Devuelve una clave de cifrado de datos cifrada con una clave KMS. Este permiso está incluido en la política de claves predeterminada en **kms: GenerateDataKey \$1**.
+ **kms: CreateGrant** — (Obligatorio) Añade una concesión a una clave para especificar quién puede utilizarla y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte [Uso de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS Key Management Service *. Este permiso está incluido en la política de claves predeterminada.
+ **kms: DescribeKey** — (Obligatorio) Proporciona información detallada sobre la clave KMS especificada. Este permiso está incluido en la política de claves predeterminada.
+ **kms: ListAliases** — (opcional) Muestra todos los alias clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista de claves KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.
# Cifrado de datos en tránsito
En este tema se explican las diferentes opciones disponibles para cifrar los datos de los archivos mientras están en tránsito entre un FSx sistema de archivos de ONTAP y los clientes conectados. También se proporciona orientación para ayudarlo a elegir el método de cifrado que mejor se adapte al flujo de trabajo.
Todos los datos que circulan Regiones de AWS por la red AWS global se cifran automáticamente en la capa física antes de salir de las AWS instalaciones seguras. Se cifra todo el tráfico entre las zonas de disponibilidad. Las capas adicionales de cifrado, incluidas las que aparecen en esta sección, pueden proporcionar una protección adicional. Para obtener más información sobre cómo se AWS protege el flujo de datos entre Regiones de AWS las zonas disponibles y las instancias, consulte [Encryption in transit en](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) la Guía del usuario de Amazon Elastic Compute Cloud para instancias de Linux.
Amazon FSx for NetApp ONTAP admite los siguientes métodos para cifrar los datos en tránsito entre los sistemas de archivos FSx de ONTAP y los clientes conectados:
+ Cifrado automático basado en Nitro en todos los protocolos y clientes compatibles que se ejecutan en los tipos de instancias de Amazon EC2 de [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) y [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) compatibles.
+ Cifrado basado en Kerberos mediante protocolos NFS y SMB.
+ IPseccifrado basado en protocolos NFS, iSCSI y SMB
Todos los métodos compatibles para cifrar los datos en tránsito utilizan algoritmos criptográficos AES-256 estándar del sector que proporcionan un cifrado de nivel empresarial.
**Topics**
+ [Elección de un método para cifrar datos en tránsito](#choosing-encryption-in-transit)
+ [Cifrar los datos en tránsito con AWS Nitro System](#nitro-encryption)
+ [Cifrado de los datos en tránsito con un cifrado basado en Kerberos](#kerberos-encryption)
+ [Cifrar los datos en tránsito con cifrado IPsec](#ipsec-encryption)
+ [Habilitar el cifrado SMB de datos en tránsito](enable-smb-encryption.md)
+ [Configuración mediante autenticación PSK IPsec](config-ipsec-psk-auth.md)
+ [Configuración IPsec mediante autenticación mediante certificado](config-ipsec-ca-auth.md)
## Elección de un método para cifrar datos en tránsito
En esta sección se proporciona información que puede ayudarle a decidir cuál de los métodos de cifrado en tránsito admitidos es el mejor para su flujo de trabajo. Vuelva a consultar esta sección para explorar las opciones compatibles que se describen en detalle en las secciones siguientes.
Hay varios factores que se deben tener en cuenta a la hora de elegir cómo se van a cifrar los datos en tránsito entre el sistema de archivos de ONTAP y FSx los clientes conectados. Estos factores incluyen:
+ El sistema de archivos en el Región de AWS que se FSx ejecuta tu sistema de archivos para ONTAP.
+ Tipo de instancia en la que se ejecuta el cliente.
+ La ubicación del cliente que accede al sistema de archivos.
+ Requisitos de rendimiento de red.
+ El protocolo de datos que desea cifrar.
+ Si usa Microsoft Active Directory.
**Región de AWS**
El sistema de archivos en el Región de AWS que se ejecuta determina si puede utilizar o no el cifrado basado en Amazon Nitro. Para obtener más información, consulte [Cifrar los datos en tránsito con AWS Nitro System](#nitro-encryption).
**Tipo de instancia del cliente**
Puede utilizar el cifrado basado en Amazon Nitro si el cliente que accede a su sistema de archivos se ejecuta en alguno de los tipos de instancias de Amazon EC2 para Mac, [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) o [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) compatibles y su flujo de trabajo cumple todos los demás requisitos para utilizar el [cifrado basado en Nitro](#nitro-encryption). No hay ningún requisito de tipo de instancia de cliente para usar Kerberos o IPsec el cifrado.
**Ubicación del cliente**
La ubicación del cliente que accede a los datos con respecto a la ubicación del sistema de archivos influye en los métodos de cifrado en tránsito disponibles para su uso. Puede usar cualquiera de los métodos de cifrado compatibles si el cliente y el sistema de archivos están ubicados en la misma VPC. Lo mismo ocurre si el cliente y el sistema de archivos están ubicados en dispositivos interconectados VPCs, siempre que el tráfico no pase a través de un dispositivo o servicio de red virtual, como una puerta de enlace de tránsito. El cifrado basado en Nitro no está disponible si el cliente no está en la misma VPC o en una VPC emparejada, o si el tráfico pasa a través de un dispositivo o servicio de red virtual.
**Rendimiento de la red**
El uso del cifrado basado en Amazon Nitro no tiene impacto en el rendimiento de la red. Esto se debe a que las instancias de Amazon EC2 compatibles utilizan las capacidades de descarga del hardware de Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias.
El uso de Kerberos o el IPsec cifrado tiene un impacto en el rendimiento de la red. Esto se debe a que ambos métodos de cifrado están basados en software, lo que requiere que el cliente y el servidor utilicen recursos de computación para cifrar y descifrar el tráfico en tránsito.
**Protocolo de datos**
Puede utilizar el cifrado basado en Amazon Nitro y el IPsec cifrado con todos los protocolos compatibles: NFS, SMB e iSCSI. Puede utilizar el cifrado de Kerberos con los protocolos NFS y SMB (con un Active Directory).
**Active Directory**
Si utiliza Microsoft Active Directory, puede utilizar el [cifrado de Kerberos](#kerberos-encryption) a través de los protocolos NFS y SMB.
Utilice el siguiente diagrama como ayuda para decidir qué método de cifrado en tránsito debe utilizar.
![\[Diagrama de flujo que muestra qué método de cifrado en tránsito utilizar en función de cinco puntos de decisión.\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec el cifrado es la única opción disponible cuando se cumplen todas las condiciones siguientes a su flujo de trabajo:
+ Está utilizando el protocolo NFS, SMB o iSCSI.
+ Su flujo de trabajo no admite el uso del cifrado basado en Amazon Nitro.
+ No está utilizando un dominio de Microsoft Active Directory.
## Cifrar los datos en tránsito con AWS Nitro System
Con el cifrado basado en Nitro, los datos en tránsito se cifran automáticamente cuando los clientes que acceden a sus sistemas de archivos utilizan tipos Regiones de AWS de instancias Amazon [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit), Linux [o](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows compatibles, siempre que estén disponibles para FSx ONTAP.
El uso del cifrado basado en Amazon Nitro no tiene impacto en el rendimiento de la red. Esto se debe a que las instancias de Amazon EC2 compatibles utilizan las capacidades de descarga del hardware de Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias.
El cifrado basado en Nitro se habilita automáticamente cuando los tipos de instancias de cliente compatibles se encuentran en la misma Región de AWS y en la misma VPC o en una VPC emparejada con la VPC del sistema de archivos. Además, si el cliente se encuentra en una VPC emparejada, los datos no pueden atravesar un dispositivo o servicio de red virtual (como una puerta de enlace de tránsito) para que el cifrado basado en Nitro se habilite automáticamente. Para obtener más información sobre el cifrado basado en Nitro, consulte la sección Cifrado en tránsito de la Guía del usuario de Amazon EC2 para tipos de instancia de Linux[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) o [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit).
En la siguiente tabla se detalla en qué se encuentra disponible el Regiones de AWS cifrado basado en Nitro.
**Compatibilidad con el cifrado basado en Nitro**
| Generación | Tipos de implementación | Región de AWS |
| --- | --- | --- |
| Sistemas de archivos de primera generación1 | Single-AZ 1 Multi-AZ 1 | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
| Sistema de archivos de segunda generación | Single-AZ 2 Multi-AZ 2 | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Norte de California), Oeste de EE. UU. (Oregón), Europa (Fráncfort), Europa (Irlanda), Asia-Pacífico (Sídney) |
1 Los sistemas de archivos de primera generación creados el 28 de noviembre de 2022 o después admiten el cifrado en tránsito basado en Nitro que se indica en las Regiones de AWS enumeradas.
Para obtener más información sobre Regiones de AWS dónde FSx está disponible ONTAP, consulta los precios de [Amazon FSx for NetApp ONTAP](https://aws.amazon.com/fsx/netapp-ontap/pricing/).
Para obtener más información sobre las especificaciones de rendimiento de los sistemas de FSx archivos ONTAP, consulte. [Impacto de la capacidad de rendimiento en el rendimiento](performance.md#impact-throughput-cap-performance)
## Cifrado de los datos en tránsito con un cifrado basado en Kerberos
Si utiliza Microsoft Active Directory, puede utilizar el cifrado basado en Kerberos a través de los protocolos NFS y SMB para cifrar los datos en tránsito de los volúmenes secundarios que [SVMs estén unidos](ad-integration-ontap.md) a un Microsoft Active Directory.
### Cifrar los datos en tránsito a través de NFS mediante Kerberos
Se admite el cifrado de los datos en tránsito mediante Kerberos y sus protocolos. NFSv3 NFSv4 Para habilitar el cifrado en tránsito mediante Kerberos para el protocolo NFS, consulte [Uso de Kerberos con NFS para una mayor seguridad](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf) en el Centro de documentación de NetApp ONTAP.
### Cifrar los datos en tránsito a través de SMB mediante Kerberos
El cifrado de los datos en tránsito a través del protocolo SMB se admite en los archivos compartidos que están mapeados en una instancia de procesamiento que admite el protocolo SMB 3.0 o posterior. Esto incluye todas las versiones de Microsoft Windows desde Microsoft Windows Server 2012 y versiones posteriores, así como y Microsoft Windows 8 y versiones posteriores. Cuando está activado, FSx ONTAP cifra automáticamente los datos en tránsito mediante el cifrado SMB al acceder al sistema de archivos sin necesidad de modificar las aplicaciones.
FSx para ONTAP, SMB admite el cifrado de 128 y 256 bits, que viene determinado por la solicitud de sesión del cliente. Para obtener descripciones de los diferentes niveles de cifrado, consulte la sección *Establecer el nivel de seguridad de autenticación mínimo del servidor SMB* de [Gestionar SMB con la CLI](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf) en el Centro de documentación de NetApp ONTAP.
**nota**
El cliente determina el algoritmo de cifrado. Tanto la autenticación de NTLM como la de Kerberos funcionan con el cifrado de 128 y 256 bits. El servidor SMB FSx para ONTAP acepta todas las solicitudes estándar de los clientes de Windows y los controles detallados los gestiona la política de grupo o la configuración del registro de Microsoft.
La ONTAP CLI se utiliza para gestionar la configuración de cifrado en tránsito de ONTAP SVMs y los volúmenes. FSx Para acceder a la CLI de NetApp ONTAP, establezca una sesión SSH en la SVM en la que está realizando la configuración de cifrado en tránsito, como se describe en [Administración de SVM con la CL de ONTAP](managing-resources-ontap-apps.md#vsadmin-ontap-cli).
Para obtener instrucciones acerca de cómo habilitar el cifrado de SMB en una SVM o un volumen, consulte [Habilitar el cifrado SMB de datos en tránsito](enable-smb-encryption.md).
## Cifrar los datos en tránsito con cifrado IPsec
FSx para ONTAP, es compatible con el uso del IPsec protocolo en modo transporte para garantizar que los datos estén protegidos y cifrados de forma continua mientras están en tránsito. IPsec ofrece el end-to-end cifrado de los datos en tránsito entre los clientes y FSx para los sistemas de archivos ONTAP para todo el tráfico IP compatible: protocolos NFS, iSCSI y SMB. Con el IPsec cifrado, se establece un IPsec túnel entre un FSx SVM de ONTAP configurado con IPsec activado y un cliente que se ejecuta en el IPsec cliente conectado y accede a los datos.
Le recomendamos que lo utilice IPsec para cifrar los datos en tránsito a través de los protocolos NFS, SMB e iSCSI cuando acceda a sus datos desde clientes que no admiten el [cifrado basado en Nitro](#nitro-encryption), y si su cliente y yo no SVMs estamos unidos a un Active Directory, que es necesario para el cifrado basado en Kerberos. IPsec el cifrado es la única opción disponible para cifrar los datos en tránsito para el tráfico iSCSI cuando el cliente iSCSI no admite el cifrado basado en Nitro.
Para la IPsec autenticación, puede usar claves previamente compartidas () o certificados. PSKs Si utiliza un PSK, el IPsec cliente que utilice debe ser compatible con la versión 2 (IKEv2) de Internet Key Exchange con un PSK. Los pasos básicos para configurar el IPsec cifrado tanto FSx en ONTAP como en el cliente son los siguientes:
1. Actívelo y IPsec configúrelo en su sistema de archivos.
1. Instálelo y IPsec configúrelo en su cliente
1. Configure IPsec para el acceso de varios clientes
Para obtener más información sobre cómo configurar IPsec mediante PSK, consulte [Configurar la seguridad IP (IPsec) mediante cifrado por cable](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) en el centro de NetApp ONTAP documentación.
Para obtener más información sobre cómo configurar el IPsec uso de certificados, consulte[Configuración IPsec mediante autenticación mediante certificado](config-ipsec-ca-auth.md).
# Habilitar el cifrado SMB de datos en tránsito
De forma predeterminada, al crear un SVM, el cifrado SMB está desactivado. Puede habilitar el cifrado SMB, que se requiere en los recursos compartidos individuales, o bien en una SVM, que lo activa para todos los recursos compartidos de la SVM.
**nota**
Cuando el cifrado SMB obligatorio está habilitado en una SVM o recurso compartido, los clientes SMB que no admiten el cifrado no pueden conectarse a esa SVM o recurso compartido.
**Cómo requerir el cifrado SMB para el tráfico SMB entrante en una SVM**
Utilice el siguiente procedimiento para requerir el cifrado SMB en una SVM mediante la CLI de NetApp ONTAP.
1. Para conectarse al punto de conexión de gestión de la SVM con SSH, utilice el nombre de usuario `vsadmin` y la contraseña de vsadmin que estableció al crear la SVM. Si no estableció una contraseña de vsadmin, utilice el nombre de usuario `fsxadmin` y la contraseña fsxadmin. Puede acceder mediante SSH a la SVM desde un cliente que esté en la misma VPC que el sistema de archivos, mediante la dirección IP del punto de conexión de gestión o el nombre DNS.
```
ssh vsadmin@svm-management-endpoint-ip-address
```
El comando con valores de muestra:
```
ssh vsadmin@198.51.100.10
```
El comando SSH utilizando el nombre DNS del punto de conexión de gestión:
```
ssh vsadmin@svm-management-endpoint-dns-name
```
El comando SSH con un nombre DNS de ejemplo:
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. Use el comando de la CLI de NetApp ONTAP [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html) para requerir el cifrado SMB para el tráfico SMB entrante a la SVM.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. Para dejar de requerir el cifrado SMB para el tráfico SMB entrante, utilice el siguiente comando.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. Para ver la configuración actual de `is-smb-encryption-required` en una SVM, use el comando de la CLI de NetApp ONTAP [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html):
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
Para obtener más información sobre la gestión del cifrado SMB en una SVM, consulte [Configurar el cifrado SMB necesario en los servidores SMB para las transferencias de datos a través de SMB](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html) en el Centro de documentación de NetApp ONTAP.
**Cómo habilitar el cifrado SMB en un volumen**
Utilice el siguiente procedimiento para requerir el cifrado SMB en una SVM mediante la CLI de NetApp ONTAP.
1. Establezca una conexión Secure Shell (SSH) al punto de conexión de gestión de la SVM, tal y como se describe en [Administración de SVM con la CL de ONTAP](managing-resources-ontap-apps.md#vsadmin-ontap-cli).
1. Utilice el siguiente comando CLI NetApp ONTAP para crear un nuevo recurso compartido SMB y requerir el cifrado SMB al acceder a este recurso compartido.
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
Para obtener más información, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html) en las páginas del comando CLI de NetApp ONTAP.
1. Para requerir el cifrado SMB en un recurso compartido de SMB existente, utilice el siguiente comando.
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Para obtener más información, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html) en las páginas del comando CLI de NetApp ONTAP.
1. Para desactivar el cifrado SMB en un recurso compartido SMB existente, utilice el siguiente comando.
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Para obtener más información, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html) en las páginas del comando CLI de NetApp ONTAP.
1. Para ver la configuración actual de `is-smb-encryption-required` de un recurso compartido SMB, utilice el siguiente comando CLI de NetApp ONTAP:
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
Si una de las propiedades devueltas por el comando es la propiedad `encrypt-data`, dicha propiedad especifica que se debe utilizar el cifrado SMB al acceder a este recurso compartido.
Para obtener más información, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html) en las páginas del comando CLI de NetApp ONTAP.
# Configuración mediante autenticación PSK IPsec
Si utiliza PSK para la autenticación, los pasos para configurar el IPsec cifrado tanto FSx en ONTAP como en el cliente son los siguientes:
1. Actívelo y configúrelo IPsec en su sistema de archivos.
1. Instálelo y IPsec configúrelo en su cliente
1. Configure IPsec para el acceso de varios clientes
Para obtener más información sobre la configuración IPsec mediante PSK, consulte [Configurar la seguridad IP (IPsec) mediante cifrado por cable](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) en el centro de NetApp ONTAP documentación.
# Configuración IPsec mediante autenticación mediante certificado
En los temas siguientes se proporcionan instrucciones para configurar el IPsec cifrado mediante la autenticación mediante certificados en un sistema de archivos FSx compatible con ONTAP y en un cliente que ejecute IPsec Libreswan. Esta solución utiliza AWS Certificate Manager y AWS Private Certificate Authority crea una entidad de certificación privada y genera los certificados.
Los pasos generales para configurar el IPsec cifrado mediante la autenticación mediante certificados FSx para los sistemas de archivos de ONTAP y los clientes conectados son los siguientes:
1. Disponga de una autoridad de certificación para emitir certificados.
1. Genere y exporte certificados de CA para el sistema de archivos y el cliente.
1. Instale el certificado y configúrelo IPsec en la instancia del cliente.
1. Instale el certificado y IPsec configúrelo en su sistema de archivos.
1. Defina la base de datos de políticas de seguridad (SPD).
1. Configure IPsec para el acceso de varios clientes.
## Creación e instalación del certificado para una CA
Para la autenticación de certificados, debe generar e instalar los certificados de una autoridad de certificación en el sistema de archivos de ONTAP y de los clientes que accederán a los datos de su sistema de archivos. FSx En el siguiente ejemplo, AWS Private Certificate Authority se configura una entidad de certificación privada y se generan los certificados que se van a instalar en el sistema de archivos y en el cliente. Con AWS Private Certificate Authorityél, puede crear una jerarquía completamente AWS alojada de autoridades de certificación raíz y subordinadas (CAs) para uso interno de su organización. Este proceso consta de cinco pasos:
1. Cree una autoridad de certificación (CA) privada mediante AWS Private CA
1. Emita e instale el certificado raíz en la CA privada
1. Solicite un certificado privado AWS Certificate Manager para su sistema de archivos y sus clientes
1. Exporte el certificado para el sistema de archivos y los clientes.
Para obtener más información, consulte [Administración de una CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) en la Guía del AWS Private Certificate Authority usuario.
**Cómo crear la CA privada raíz**
1. Al crear una CA, debe especificar la configuración de la CA en un archivo que suministre. El siguiente comando utiliza el editor de texto Nano para crear el archivo `ca_config.txt`, que especifica la siguiente información:
+ El nombre del algoritmo
+ El tipo de algoritmo de firma que la CA utiliza para firmar
+ La información del sujeto de X.500
```
$ > nano ca_config.txt
```
Aparece el editor de texto.
1. Edite el archivo con las especificaciones de su CA.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Guarde el archivo y salga del editor de texto. Para obtener más información, consulte [el Procedimiento para crear una CA](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html) en la Guía del AWS Private Certificate Authority usuario.
1. Utilice el comando [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) AWS Private CA CLI para crear una CA privada.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**Cómo crear e instalar un certificado para su CA raíz privada (AWS CLI)**
1. Genere una solicitud de firma de certificado (CSR) mediante el comando [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
El archivo resultante `ca.csr`, un archivo PEM codificado en formato base64, tiene el siguiente aspecto.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Para obtener más información, consulte [Instalación de un certificado de CA raíz](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot) en la Guía del AWS Private Certificate Authority usuario.
1. Utilice el [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI comando para emitir e instalar el certificado raíz en su CA privada.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. Descargue el certificado raíz mediante el [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI comando.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. Instale el certificado raíz en su CA privada mediante el [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI comando.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**Genere y exporte el sistema de archivos y el certificado de cliente**
1. Use el [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI comando para solicitar un AWS Certificate Manager certificado para usarlo en su sistema de archivos y sus clientes.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Si la solicitud se realiza correctamente, se devuelve el ARN del certificado emitido.
1. Por motivos de seguridad, debe asignar una contraseña a la clave privada al exportarla. Cree una contraseña y guárdela en un archivo llamado `passphrase.txt`
1. Utilice el [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI comando para exportar el certificado privado emitido anteriormente. El archivo exportado contiene el certificado, la cadena de certificados y la clave RSA privada cifrada de 2048 bits asociada a la clave pública que está incrustada en el certificado. Por motivos de seguridad, debe asignar una contraseña a la clave privada al exportarla. A continuación se muestra un ejemplo para una instancia EC2 Linux.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. Utilice los siguientes comandos `jq` para extraer la clave privada y el certificado de la respuesta en formato JSON.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Utilice los siguientes comandos `openssl` para descifrar la clave privada de la respuesta en formato JSON. Después de introducir el comando, se le solicitará la contraseña.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Instalación y configuración de Libreswan IPsec en un cliente de Amazon Linux 2
En las siguientes secciones se proporcionan instrucciones para instalar y configurar Libreswan IPsec en una instancia de Amazon EC2 que ejecute Amazon Linux 2.
**Cómo instalar y configurar Libreswan**
1. Conéctese a la instancia EC2 mediante SSH. Para obtener instrucciones específicas sobre cómo hacerlo, consulte [Conectarse a la instancia de Linux mediante un cliente SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) en la Guía del usuario de Amazon Elastic Compute Cloud para las instancias de Linux.
1. Ejecute el siguiente comando para instalar `libreswan`:
```
$ sudo yum install libreswan
```
1. (Opcional) Al realizar la verificación IPsec en un paso posterior, es posible que estas propiedades se marquen sin estos ajustes. Le sugerimos que primero pruebe la configuración sin estas configuraciones. Si tiene problemas de conexión, vuelva a este paso y realice los siguientes cambios.
Una vez completada la instalación, utilice el editor de texto que prefiera para añadir las siguientes entradas al archivo `/etc/sysctl.conf`.
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Guarde el archivo y salga del editor de texto.
1. Implemente los cambios:
```
$ sudo sysctl -p
```
1. Compruebe la configuración. IPsec
```
$ sudo ipsec verify
```
Compruebe que la versión de `Libreswan` que ha instalado se esté ejecutando.
1. Inicialice la base de datos IPsec NSS.
```
$ sudo ipsec checknss
```
**Cómo instalar los archivos de certificado en el cliente**
1. Copie el [certificado que generó](#generate-certificate) para el cliente en el directorio de trabajo de la instancia EC2. You
1. Exporte el certificado generado anteriormente a un formato compatible con`libreswan`.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Importe la clave reformateada y proporcione la contraseña cuando se le solicite.
```
$ sudo ipsec import certkey.p12
```
1. Cree un archivo IPsec de configuración con el editor de texto preferido.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Agregue lo siguiente al archivo de configuración:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Empezará IPsec en el cliente después de realizar la configuración IPsec en su sistema de archivos.
## Configuración IPsec en su sistema de archivos
En esta sección se proporcionan instrucciones sobre la instalación y configuración IPsec del certificado en el sistema de archivos de ONTAP. FSx
**Cómo instalar el certificado en su sistema de archivos**
1. Copie los archivos del certificado raíz (`rootCA.pem)`), el certificado de cliente (`cert.pem`) y la clave descifrada (`decrypted.key`) en su sistema de archivos. Necesitará saber la contraseña del certificado.
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilice **cat** en un cliente (no en su sistema de archivos) para mostrar el contenido de los archivos `rootCA.pem`, `cert.pem` y `decrypted.key` de forma que pueda copiar el resultado de cada archivo y pegarlo cuando se le solicite en los siguientes pasos.
```
$ > cat cert.pem
```
Copie el contenido del certificado.
1. Debe instalar todos los certificados de CA utilizados durante la autenticación mutua, incluidos los del lado de ONTAP y del lado del cliente, en la gestión de ONTAP certificados CAs, a menos que ya estén instalados (como es el caso de una CA raíz autofirmada de ONTAP).
Use el comando `security certificate install` NetApp CLI de la siguiente manera para instalar el certificado de cliente:
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Pegue el contenido del archivo `cert.pem` que copió anteriormente y pulse Entrar.
```
Please enter Private Key: Press when done
```
Pegue el contenido del archivo `decrypted.key` y pulse Entrar.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Introduzca `n` para completar la introducción del certificado de cliente.
1. Cree e instale un certificado para que lo utilice la SVM. La CA emisora de este certificado ya debe estar instalada ONTAP y agregada a IPsec.
Utilice el siguiente comando para instalar el certificado raíz.
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Pegue el contenido del archivo `rootCA.pem` y pulse Entrar.
1. Para asegurarse de que la CA instalada esté dentro de la ruta de búsqueda de la IPsec CA durante la autenticación, añada la administración de ONTAP certificados CAs al IPsec módulo mediante el comando «security ipsec ca-certificate add».
Introduzca el siguiente comando para instalar el certificado raíz.
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. Introduzca el siguiente comando para crear la IPsec política requerida en la base de datos de políticas de seguridad (SPD).
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Utilice el siguiente comando para mostrar la IPsec política que debe confirmar el sistema de archivos.
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## Comience IPsec en el cliente
Ahora IPsec que está configurado tanto en el sistema FSx de archivos de ONTAP como en el cliente, puede empezar IPsec en el cliente.
1. Conéctese al sistema cliente mediante SSH.
1. Empezar IPsec.
```
$ sudo ipsec start
```
1. Compruebe el estado de IPsec.
```
$ sudo ipsec status
```
1. Monte un volumen en el sistema de archivos.
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. Compruebe la IPsec configuración mostrando la conexión cifrada en el sistema de archivos FSx de ONTAP.
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Configuración IPsec para varios clientes
Cuando un número reducido de clientes necesita aprovechar el potencial IPsec, basta con utilizar una única entrada de SPD para cada cliente. Sin embargo, cuando cientos o incluso miles de clientes necesiten aprovecharlo IPsec, le recomendamos que utilice una configuración de IPsec varios clientes.
FSx ya que ONTAP admite la conexión de varios clientes de muchas redes a una única dirección IP de SVM si está habilitada IPsec . Para ello, puede utilizar la configuración `subnet` o la configuración `Allow all clients`, que se explican en los siguientes procedimientos:
**Para configurarlo IPsec para varios clientes mediante una configuración de subred**
Para permitir que todos los clientes de una subred concreta (192.168.134.0/24, por ejemplo) se conecten a una única dirección IP de SVM mediante una única entrada de política de SPD, debe especificar el `remote-ip-subnets` en forma de subred. Además, debe especificar el campo `remote-identity` con la identidad correcta del lado del cliente.
**importante**
Al usar la autenticación por certificado, cada cliente puede usar su propio certificado único o un certificado compartido para autenticarse. FSx para ONTAP, IPsec comprueba la validez del certificado en función del certificado CAs instalado en su almacén de confianza local. FSx for ONTAP también admite la comprobación de la lista de certificados revocados (CRL).
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilice el comando `security ipsec policy create` NetApp ONTAP CLI de la siguiente manera, sustituyendo los *sample* valores por sus valores específicos.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**Para configurar IPsec para varios clientes mediante una configuración que permita a todos los clientes**
Para permitir que cualquier cliente, independientemente de su dirección IP de origen, se conecte a la dirección IP IPsec habilitada para SVM, utilice el `0.0.0.0/0` comodín al especificar el `remote-ip-subnets` campo.
Además, debe especificar el campo `remote-identity` con la identidad correcta del lado del cliente. Para la autenticación de certificados, puede introducir `ANYTHING`.
Además, cuando se utiliza el comodín 0.0.0.0/0, debe configurar un número de puerto local o remoto específico para usarlo. Por ejemplo, el puerto NFS 2049.
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilice el comando `security ipsec policy create` NetApp ONTAP CLI de la siguiente manera, sustituyendo los *sample* valores por sus valores específicos.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```