ボリュームのデータ整合性とデータ セキュリティ

ボリュームでData Assurance(DA)機能とドライブ セキュリティ機能を有効にして使用することができます。System Managerでは、これらの機能はプールおよびボリューム グループのレベルで提供されます。

Data Assurance

Data Assurance(DA)はT10 Protection Information(PI)標準を実装しています。I/Oパスでデータが転送される際に発生する可能性のあるエラーをチェックして修正することで、データの整合性が向上します。Data Assurance機能の一般的な用途として、コントローラとドライブ間のI/Oパスがチェックされます。System Managerでは、DA機能はプールおよびボリューム グループのレベルで提供されます。

この機能を有効にすると、ボリューム内の各データ ブロックに巡回冗長検査(CRC)と呼ばれるエラー チェック用のコードが付加されます。データ ブロックが移動されると、このCRCコードを使用して、転送中にエラーが発生したかどうかが判断されます。破損している可能性があるデータはディスクに書き込まれず、ホストにも返されません。DA機能を使用する場合は、新しいボリュームの作成時にDA対応のプールまたはボリューム グループ([候補]の表でDAが[はい]になっている)を選択します。

これらのDA対応ボリュームは、必ずDAに対応したI/Oインターフェイスを使用しているホストに割り当ててください。DAに対応したI/Oインターフェイスには、Fibre Channel、SAS、iSCSI over TCP/IP、NVMe/FC、NVMe/IB、NVME/RoCE、iSER over InfiniBand(iSCSI Extensions for RDMA/IB)があります。SRP over InfiniBandではDAはサポートされていません。

ドライブ セキュリティ

ドライブ セキュリティは、セキュリティ有効ドライブをストレージ アレイから取り外したときに、そのドライブ上のデータへの不正アクセスを防止する機能です。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)140-2レベル2に準拠したドライブ(FIPSドライブ)があります。

ドライブ レベルでのドライブ セキュリティの動作

セキュリティ対応ドライブ(FDEまたはFIPS)では、書き込み時にデータが暗号化され、読み取り時に復号化されます。この暗号化と復号化は、パフォーマンスやユーザのワークフローには影響しません。ドライブごとにそれぞれ一意の暗号化キーがあり、このキーをドライブ外に転送することはできません。

ボリューム レベルでのドライブ セキュリティの動作

セキュリティ対応ドライブからプールまたはボリューム グループを作成するときに、そのプールまたはボリューム グループに対してドライブ セキュリティを有効にすることもできます。ドライブ セキュリティを有効にした場合は、ドライブとそれに関連付けられているボリューム グループおよびプールがセキュリティ有効になります。プールやボリューム グループにはセキュリティ対応とセキュリティ対応でないドライブの両方を含めることができますが、暗号化機能を使用するためにはすべてのドライブがセキュリティ対応である必要があります。

ドライブ セキュリティを実装する方法

ドライブ セキュリティを実装するには、次の手順を実行します。

  1. ストレージ アレイにセキュリティ対応のFDEドライブまたはFIPSドライブを取り付けます(FIPSのサポートが必要なドライブには、FIPSドライブのみを使用します。ボリューム グループまたはプールにFIPSドライブとFDEドライブが混在している場合、すべてのドライブがFDEドライブとして扱われます。また、FIPSドライブのみを含むボリューム グループまたはプールでFDEドライブを追加したりスペアとして使用したりすることはできません)。
  2. セキュリティ キーを作成します。セキュリティ キーは、読み取り / 書き込みアクセス用にコントローラとドライブで共有される文字列です。コントローラの永続的メモリから内部キーを作成するか、またはキー管理サーバから外部キーを作成することができます。外部でキーを管理する場合、キー管理サーバとの間に認証を確立する必要があります。
  3. プールおよびボリューム グループに対してドライブ セキュリティを有効にします。
    • プールまたはボリューム グループを作成します([候補]の表で[セキュリティ対応]列が[はい]になっていることを確認します)。
    • 新しいボリュームの作成時にプールまたはボリューム グループ(プールとボリューム グループの[候補]の表で[セキュリティ対応][はい]になっている)を選択します。

ドライブ セキュリティ機能を使用する場合、セキュリティ有効ドライブとストレージ アレイのコントローラで共有されるセキュリティ キーを作成します。ドライブの電源をオフにしてオンにするたびに、コントローラによってセキュリティ キーが適用されるまでセキュリティ有効ドライブはセキュリティ ロック状態となります。