ボリュームのデータ整合性と データ セキュリティ
ボリュームでData Assurance(DA)機能とドライブセキュリティ機能を有効にして使用することができます。System Managerでは、これらの機能はプールおよびボリュームグループのレベルで提供されます。
Data Assurance
Data Assurance(DA)はT10 Protection Information(PI)標準を実装しています。I/Oパスでデータが転送される際に発生する可能性のあるエラーをチェックして修正することで、データの整合性が向上します。Data Assurance機能の一般的な用途として、コントローラとドライブ間のI/Oパスがチェックされます。System Managerでは、DA機能はプールおよびボリュームグループのレベルで提供されます。
この機能を有効にすると、ボリューム内の各データブロックに巡回冗長検査(CRC)と呼ばれるエラーチェック用のコードが付加されます。データブロックが移動されると、ストレージアレイはこれらのCRCコードを使用して、転送中にエラーが発生したかどうかを判断します。破損している可能性があるデータはディスクに書き込まれず、ホストにも返されません。DA機能を使用する場合は、新しいボリュームを作成するときにDAに対応したプールまたはボリュームグループを選択します(プールとボリュームグループの候補の表で「DA」の横の「はい」を探します)。
これらのDA対応ボリュームは、必ずDAに対応したI/Oインターフェイスを使用しているホストに割り当ててください。DAに対応したI/Oインターフェイスには、ファイバチャネル、SAS、iSCSI over TCP/IP、NVMe/FC、NVMe/IB、 NVMe/RoCEとiSER over InfiniBand(iSCSI Extensions for RDMA/IB):SRP over InfiniBandではDAはサポートされていません。
ドライブセキュリティ
ドライブセキュリティは、セキュリティ有効ドライブをストレージアレイから取り外したときに、そのドライブ上のデータへの不正アクセスを防止する機能です。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)140-2レベル2に準拠したドライブ(FIPSドライブ)があります。
ドライブレベルでのドライブセキュリティの動作
セキュリティ対応ドライブであるFDEまたはFIPSでは、書き込み時にデータが暗号化され、読み取り時に復号化されます。この暗号化と復号化は、パフォーマンスやユーザのワークフローには影響しません。ドライブごとに固有の暗号化キーがあり、このキーをドライブから転送することはできません。
ボリュームレベルでのドライブセキュリティの動作
セキュリティ対応ドライブからプールまたはボリュームグループを作成する場合、そのプールまたはボリュームグループに対してドライブセキュリティを有効にすることもできます。ドライブセキュリティを有効にすると、ドライブとそれに関連付けられているボリュームグループおよびプールがsecure-_enabled_になります。プールまたはボリュームグループにはセキュリティ対応とセキュリティ対応でないドライブの両方を含めることができますが、暗号化機能を使用するためにはすべてのドライブがセキュリティ対応である必要があります。
ドライブセキュリティを実装する方法
ドライブセキュリティを実装するには、次の手順を実行します。
-
ストレージアレイにセキュリティ対応のFDEドライブまたはFIPSドライブを取り付けます(FIPSのサポートが必要なドライブには、FIPSドライブのみを使用します。ボリュームグループまたはプールにFIPSドライブとFDEドライブが混在している場合、すべてのドライブがFDEドライブとして扱われます。また、FIPSドライブのみを含むボリュームグループまたはプールでは、FDEドライブを追加したりスペアとして使用したりすることはできません)。
-
セキュリティキーを作成します。セキュリティキーは、読み取り/書き込みアクセス用にコントローラとドライブで共有される文字列です。コントローラの永続的メモリから内部キーを作成するか、キー管理サーバから外部キーを作成することができます。外部キー管理の場合、キー管理サーバとの間に認証を確立する必要があります。
-
プールおよびボリュームグループに対してドライブセキュリティを有効にします。
-
プールまたはボリュームグループを作成します(受験者テーブルの「Secure Capable 」列で「 Yes」を検索してください)。
-
新しいボリュームを作成するときにプールまたはボリュームグループを選択します(Pool and volume group Candidatesテーブルで、「* SecureCapable 」の横の「 Yes」*を探します)。
-
ドライブセキュリティ機能を使用する場合、セキュリティ有効ドライブとストレージアレイのコントローラで共有されるセキュリティキーを作成します。ドライブの電源をオフにしてオンにするたびに、コントローラによってセキュリティキーが適用されるまでセキュリティ有効ドライブはセキュリティロック状態になります。