Storage-Verschlüsselung
Verwenden Sie zur Sicherung sensibler Daten im Falle einer gestohlenen, zurückgegebenen oder umgewandten Festplatte die hardwarebasierte Storage-Verschlüsselung von NetApp oder die softwarebasierte Volume-Verschlüsselung/NetApp Aggregatverschlüsselung. Beide Mechanismen sind nach FIPS-140-2 validiert. Wenn hardwarebasierte Mechanismen mit softwarebasierten Mechanismen verwendet werden, ist die Lösung für das Commercial Solutions for Classified (CSfC)-Programm qualifiziert. Die Lösung bietet erweiterten Schutz für geheime und streng geheime Daten im Ruhezustand sowohl auf der Hardware- als auch auf der Softwareebene.
Die Verschlüsselung ruhender Daten ist wichtig, um sensible Daten bei Diebstahl, Rückgabe oder neuer Verwendung einer Festplatte zu schützen.
ONTAP 9 bietet drei FIPS 140-2-konforme Verschlüsselungslösungen für Daten im Ruhezustand:
-
NetApp Storage Encryption (NSE) ist eine Hardwarelösung, die Self-Encrypting Drives verwendet.
-
NetApp Volume Encryption (NVE) ist eine Softwarelösung, die die Verschlüsselung beliebiger Daten-Volumes auf jedem Laufwerkstyp ermöglicht, bei dem sie aktiviert wird, mit einem eindeutigen Schlüssel für jedes Volume.
-
NetApp Aggregate Encryption (NAE) ist eine Softwarelösung, die die Verschlüsselung beliebiger Daten-Volumes auf beliebigen Laufwerken ermöglicht, wobei sie mit eindeutigen Schlüsseln für jedes Aggregat aktiviert wird.
NSE, NVE und NAE können entweder externes Verschlüsselungsmanagement oder den Onboard Key Manager (OKM) verwenden. Die Verwendung von NSE, NVE und NAE wirkt sich nicht auf die ONTAP Storage-Effizienzfunktionen aus. NVE Volumes sind jedoch von der Aggregatdeduplizierung ausgeschlossen. NAE Volumes werden in die Aggregatdeduplizierung einbezogen und profitieren von ihnen.
OKM bietet eine eigenständige Verschlüsselungslösung für Daten im Ruhezustand mit NSE, NVE oder NAE.
NVE, NAE und OKM verwenden den ONTAP CryptoMod. CryptoMod ist in der nach FIPS 140-2 validierten CMVP-Modulliste aufgeführt. Siehe "FIPS 140-2 Cert# 4144".
Verwenden Sie zum Starten der OKM-Konfiguration den security key-manager onboard enable
Befehl. Um externe KMIP-Schlüsselmanager (Key Management Interoperability Protocol) zu konfigurieren, verwenden Sie den security key-manager external enable
Befehl. Ab ONTAP 9.6 wird die Mandantenfähigkeit für externe Schlüsselmanager unterstützt. Verwenden Sie den -vserver <vserver name>
Parameter, um das externe Verschlüsselungsmanagement für eine bestimmte SVM zu aktivieren. Vor 9.6 wurde der security key-manager setup
Befehl verwendet, um sowohl OKM als auch externe Schlüsselmanager zu konfigurieren. Für das Onboard-Verschlüsselungsmanagement leitet diese Konfiguration den Bediener oder Administrator durch die Passphrase-Einrichtung und zusätzliche Parameter für die Konfiguration von OKM.
Ein Teil der Konfiguration wird im folgenden Beispiel dargestellt:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. Enter the following commands at any time "help" or "?" if you want to have a question clarified, "back" if you want to change your answers to previous questions, and "exit" if you want to quit the key manager setup wizard. Any changes you made before typing "exit" will be applied. Restart the key manager setup wizard with "security key-manager setup". To accept a default or omit a question, do not enter a value. Would you like to configure onboard key management? {yes, no} [yes]: Enter the cluster-wide passphrase for onboard key management. To continue the configuration, enter the passphrase, otherwise type "exit": Re-enter the cluster-wide passphrase: After configuring onboard key management, save the encrypted configuration data in a safe location so that you can use it if you need to perform a manual recovery operation. To view the data, use the "security key-manager backup show" command.
Ab ONTAP 9.4 können Sie die Option true mit verwenden -enable-cc-mode
security key-manager setup
, um die Eingabe der Passphrase nach einem Neustart durch Benutzer zu verlangen. Für ONTAP 9.6 und höher lautet die Befehlssyntax security key-manager onboard enable -cc-mode-enabled yes
.
Ab ONTAP 9.4 können Sie die Funktion mit erweiterten Berechtigungen verwenden secure-purge
, um Daten auf NVE-fähigen Volumes unterbrechungsfrei zu „Scrub“. Durch das Scrubbing von Daten auf einem verschlüsselten Volume wird sichergestellt, dass sie nicht von den physischen Medien wiederhergestellt werden können. Mit dem folgenden Befehl werden die gelöschten Dateien auf vol1 auf SVM vs1 sicher gelöscht:
cluster1::> volume encryption secure-purge start -vserver vs1 -volume vol1
Ab ONTAP 9.7 sind NAE und NVE standardmäßig aktiviert, wenn die VE-Lizenz vorhanden ist, OKM- oder externe Schlüsselmanager konfiguriert werden und NSE nicht verwendet wird. NAE-Volumes werden auf NAE-Aggregaten standardmäßig erstellt und NVE-Volumes werden standardmäßig auf nicht-NAE-Aggregaten erstellt. Sie können diesen umgehen, indem Sie den folgenden Befehl eingeben:
cluster1::*> options -option-name encryption.data_at_rest_encryption.disable_by_default true
Ab ONTAP 9.6 können Sie mithilfe eines SVM-Umfangs externes Verschlüsselungsmanagement für eine Daten-SVM im Cluster konfigurieren. Dies ist insbesondere für mandantenfähige Umgebungen geeignet, in denen jeder Mandant eine andere SVM (oder einen Satz SVMs) zur Bereitstellung von Daten verwendet. Nur der SVM-Administrator für einen bestimmten Mandanten hat Zugriff auf die Schlüssel für den jeweiligen Mandanten. Weitere Informationen finden Sie unter "Aktivieren Sie das externe Schlüsselmanagement in ONTAP 9.6 und höher" in der ONTAP-Dokumentation.
Ab ONTAP 9.11.1 können Sie die Konnektivität zu geclusterten externen Schlüsselmanagementservern konfigurieren, indem Sie primäre und sekundäre Schlüsselserver auf einer SVM festlegen. Weitere Informationen finden Sie unter "Konfiguration von geclusterten externen Schlüsselservern" in der ONTAP-Dokumentation.
Ab ONTAP 9.13.1 können Sie externe Schlüsselmanager-Server im System Manager konfigurieren. Weitere Informationen finden Sie unter "Management externer Schlüsselmanager" in der ONTAP-Dokumentation.