ドライブ セキュリティ機能の仕組み

ドライブ セキュリティは、Full Disk Encryption(FDE)ドライブまたは連邦情報処理標準(FIPS)ドライブを使用してセキュリティを強化するストレージ アレイの機能です。これらのドライブにドライブ セキュリティ機能を使用すると、データにアクセスする際にセキュリティ キーが要求されるようになります。ドライブをアレイから物理的に取り外した場合、別のアレイに取り付けるまでは動作しなくなり、取り付けたあとも正しいセキュリティ キーが提供されないかぎりセキュリティ ロック状態になります。

ドライブ セキュリティを実装する方法

ドライブ セキュリティを実装するには、次の手順を実行します。
  1. ストレージ アレイにセキュリティ対応のFDEドライブまたはFIPSドライブを取り付けます(FIPSのサポートが必要なドライブには、FIPSドライブのみを使用します。ボリューム グループまたはプールにFIPSドライブとFDEドライブが混在している場合、すべてのドライブがFDEドライブとして扱われます。また、FIPSドライブのみを含むボリューム グループまたはプールでFDEドライブを追加したりスペアとして使用したりすることはできません)。
  2. セキュリティ キーを作成します。セキュリティ キーは、読み取り / 書き込みアクセス用にコントローラとドライブで共有される文字列です。コントローラの永続的メモリから内部キーを作成するか、またはキー管理サーバから外部キーを作成することができます。外部でキーを管理する場合、キー管理サーバとの間に認証を確立する必要があります。
  3. プールおよびボリューム グループに対してドライブ セキュリティを有効にします。
    • プールまたはボリューム グループを作成します([候補]の表で[セキュリティ対応]列が[はい]になっていることを確認します)。
    • 新しいボリュームの作成時にプールまたはボリューム グループ(プールとボリューム グループの[候補]の表で[セキュリティ対応][はい]になっている)を選択します。

ドライブ レベルでのドライブ セキュリティの動作

セキュリティ対応ドライブ(FDEまたはFIPS)では、書き込み時にデータが暗号化され、読み取り時に復号化されます。この暗号化と復号化は、パフォーマンスやユーザのワークフローには影響しません。ドライブごとにそれぞれ一意の暗号化キーがあり、このキーをドライブ外に転送することはできません。

ドライブ セキュリティ機能は、セキュリティ対応ドライブを使用して保護を強化します。セキュリティ対応ドライブを使用するボリューム グループまたはプールをドライブ セキュリティの対象として選択すると、ドライブはセキュリティ キーを確認してからドライブ内のデータへのアクセスを許可するようになります。プールおよびボリューム グループのドライブ セキュリティはいつでも有効にすることができ、ドライブ上の既存データへの影響はありません。ただし、ドライブ セキュリティを無効にするときは、ドライブ上のすべてのデータを消去する必要があります。

ストレージ アレイ レベルでのドライブ セキュリティの動作

ドライブ セキュリティ機能を使用する場合、セキュリティ有効ドライブとストレージ アレイのコントローラで共有されるセキュリティ キーを作成します。ドライブの電源をオフにしてオンにするたびに、コントローラによってセキュリティ キーが適用されるまでセキュリティ有効ドライブはセキュリティ ロック状態となります。

セキュリティ有効ドライブをストレージ アレイから取り外して別のストレージ アレイに取り付けると、ドライブはセキュリティ ロック状態になります。再配置したドライブ上のデータに再びアクセスするにはセキュリティ キーが必要になります。データのロックを解除するには、ソース ストレージ アレイからセキュリティ キーを適用します。再配置したドライブのロック解除が成功すれば、以降はターゲット ストレージ アレイにすでに格納されているセキュリティ キーが使用されるため、インポートしたセキュリティ キー ファイルは不要です。

注: 内部でキーを管理する場合、実際のセキュリティ キーはコントローラ上のアクセスできない場所に格納されます。キーは人間には判読できない形式で記述されており、ユーザがアクセスすることもできません。

ボリューム レベルでのドライブ セキュリティの動作

セキュリティ対応ドライブからプールまたはボリューム グループを作成するときに、そのプールまたはボリューム グループに対してドライブ セキュリティを有効にすることもできます。ドライブ セキュリティを有効にした場合は、ドライブとそれに関連付けられているボリューム グループおよびプールがセキュリティ有効になります。

セキュリティ有効のボリューム グループおよびプールを作成する際は、次のガイドラインに注意してください。