ASA R2ストレージシステム上の保存データの暗号化
保存データを暗号化すると、ストレージメディアの転用、返却、置き忘れ、盗難に際してデータを読み取ることができません。ONTAP System Managerを使用してデータをハードウェアレベルとソフトウェアレベルで暗号化し、デュアルレイヤ保護を実現できます。
NetAppストレージ暗号化(NSE)は、自己暗号化ドライブ(SED)を使用したハードウェア暗号化をサポートしています。SEDはデータを書き込み時に暗号化します。各SEDには一意の暗号化キーが含まれています。SEDに保存されている暗号化されたデータは、SEDの暗号化キーなしでは読み取ることができません。SEDから読み取るノードは、SEDの暗号化キーにアクセスするために認証される必要があります。ノードの認証では、キー管理ツールから認証キーを取得し、その認証キーをSEDに提供します。認証キーが有効な場合、SEDはノードに格納されたデータにアクセスするための暗号化キーをノードに付与します。
ASA R2のオンボードキーマネージャまたは外部キーマネージャを使用して、ノードに認証キーを提供します。
NSEに加えて、ソフトウェア暗号化を有効にしてデータのセキュリティを強化することもできます。
-
System Managerで、*[クラスタ]>[設定]*を選択します。
-
セクションの[暗号化]で、[設定]*を選択します。
-
キー管理ツールを設定します。
オプション 手順 オンボードキーマネージャの設定
-
[オンボードキーマネージャ]*を選択してキーサーバを追加します。
-
パスフレーズを入力します。
外部キー管理ツールを設定する
-
[外部キーマネージャ]*を選択してキーサーバを追加します。
-
キーサーバを追加する場合に選択します。
-
KMIPサーバCA証明書を追加します。
-
KMIPクライアント証明書を追加します。
-
-
[デュアルレイヤ暗号化]*を選択して、ソフトウェア暗号化を有効にします。
-
[ 保存( Save ) ] を選択します。
保存データの暗号化が完了したので、NVMe/TCPプロトコルを使用している場合は"ネットワーク経由で送信されるすべてのデータを暗号化"、NVMe/TCPホストとASA R2システムの間でデータを暗号化できます。
オンボードキーマネージャから外部キーマネージャ(またはその逆)に切り替える必要がある場合は、を参照してください"キー管理ツール間でONTAPデータ暗号化キーを移行する"。