日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティ

Cloud Volumes ONTAP は、データ暗号化をサポートし、ウィルスやランサムウェアからの保護を提供します。

保存データの暗号化

Cloud Volumes ONTAP は、次の暗号化テクノロジをサポートしています。

  • ネットアップの暗号化ソリューション( NVE および NAE )

  • AWS Key Management Service の略

  • Azure Storage Service Encryption の略

  • Google Cloud Platform のデフォルトの暗号化

ネットアップの暗号化ソリューションは、クラウドプロバイダがネイティブに暗号化することでハイパーバイザーレベルでデータを暗号化します。これにより、機密性の高いデータには二重の暗号化が必要になる場合があります。暗号化されたデータにアクセスすると、暗号化されていないデータがハイパーバイザーレベルで 2 回(クラウドプロバイダのキーを使用)暗号化されてから、ネットアップの暗号化ソリューションを再度使用して(外部キー管理ツールのキーを使用)暗号化されます。

ネットアップの暗号化ソリューション( NVE および NAE )

Cloud Volumes ONTAP はをサポートします "NetApp Volume Encryption ( NVE )および NetApp Aggregate Encryption ( NAE )"。NVE と NAE は、( FIPS ) 140-2 に準拠したボリュームの保管データ暗号化を可能にするソフトウェアベースのソリューションです。NVE と NAE はいずれも AES 256 ビット暗号化を使用します。

  • NVE は、一度に 1 ボリュームずつ保管データを暗号化する。各データボリュームには、一意の暗号化キーがあります。

  • NAE は NVE の拡張機能です。 NVE は各ボリュームのデータを暗号化し、ボリュームはアグリゲート全体でキーを共有します。NAE では、アグリゲート内のすべてのボリュームの共通ブロックも重複排除できます。

NVE と NAE はどちらも外部キー管理機能でサポートされています。

新しいアグリゲートでは、外部キー管理ツールの設定後に NetApp Aggregate Encryption ( NAE )がデフォルトで有効になります。NAE アグリゲートに含まれない新しいボリュームでは、 NetApp Volume Encryption ( NVE )がデフォルトで有効になります(たとえば、外部キー管理ツールを設定する前に作成された既存のアグリゲートがある場合)。

サポートされているキー管理ツールをセットアップするだけで済みます。セットアップ手順については、を参照してください "ネットアップの暗号化ソリューションによるボリュームの暗号化"

AWS Key Management Service の略

AWS で Cloud Volumes ONTAP システムを起動する場合、を使用してデータ暗号化を有効にできます "AWS Key Management Service ( KMS ;キー管理サービス)"。Cloud Manager は、 Customer Master Key ( CMK )を使用してデータキーを要求します。

ヒント Cloud Volumes ONTAP システムの作成後に AWS のデータ暗号化方式を変更することはできません。

この暗号化オプションを使用する場合は、 AWS KMS が適切に設定されていることを確認する必要があります。詳細については、を参照してください "AWS KMS のセットアップ"

Azure Storage Service Encryption の略

データは、を使用して Azure の Cloud Volumes ONTAP で自動的に暗号化されます "Azure Storage Service Encryption の略" Microsoft が管理するキーを使用する場合:

Google Cloud Platform のデフォルトの暗号化

"Google Cloud Platform の保存データ暗号化機能" Cloud Volumes ONTAP ではデフォルトで有効になっています。セットアップは必要ありません。

Google Cloud Storage では常にデータが暗号化されてからディスクに書き込まれますが、 Cloud Manager API を使用して、 _cuser-managed 暗号化キー _ を使用する Cloud Volumes ONTAP システムを作成できます。これらは、 Cloud Key Management Service を使用して GCP で生成および管理するキーです。 "詳細はこちら。"

ONTAP のウィルススキャン

ONTAP システムの統合アンチウイルス機能を使用すると、データがウイルスやその他の悪意のあるコードによって危険にさらされるのを防ぐことができます。

ONTAP ウィルススキャン( _vscan )は、クラス最高のサードパーティ製ウィルス対策ソフトウェアと ONTAP 機能を組み合わせたもので、どのファイルをスキャンするか、いつスキャンするかを柔軟に制御できます。

Vscan でサポートされるベンダー、ソフトウェア、およびバージョンについては、を参照してください "NetApp Interoperability Matrix を参照してください"

ONTAP システムでウィルス対策機能を設定および管理する方法については、を参照してください "ONTAP 9 ウィルス対策構成ガイド"

ランサムウェアからの保護

ランサムウェア攻撃は、ビジネス時間、リソース、評判を低下させる可能性があります。Cloud Manager では、ランサムウェアに対応したネットアップソリューションを実装できます。これにより、可視化、検出、修復のための効果的なツールが提供されます。

  • Cloud Manager は、 Snapshot ポリシーで保護されていないボリュームを特定し、それらのボリュームのデフォルトの Snapshot ポリシーをアクティブ化できます。

    Snapshot コピーは読み取り専用であり、ランサムウェアによる破損を防止します。単一のファイルコピーまたは完全なディザスタリカバリソリューションのイメージを作成する際の単位を提供することもできます。

  • Cloud Manager では、 ONTAP の FPolicy ソリューションを有効にすることで、一般的なランサムウェアのファイル拡張子をブロックすることもできます。

作業環境内から利用できる「ランサムウェア対策」ページを示すスクリーンショット画面には、 Snapshot ポリシーが適用されていないボリュームの数と、ランサムウェアのファイル拡張子をブロックする機能が表示されます。