ボリュームのデータ整合性とデータセキュリティ
変更を提案
PDF
ボリュームでData Assurance(DA)機能とドライブセキュリティ機能を有効にして使用することができます。これらの機能はプールおよびボリュームグループのレベルで提供されます。
Data Assurance
Data Assurance(DA)はT10 Protection Information(PI)標準を実装しています。I/Oパスでデータが転送される際に発生する可能性のあるエラーをチェックして修正することで、データの整合性が向上します。Data Assurance機能の一般的な用途として、コントローラとドライブ間のI/Oパスがチェックされます。DA機能はプールおよびボリュームグループのレベルで提供されます。
この機能を有効にすると、ストレージアレイはボリューム内の各データブロックにエラーチェックコード(巡回冗長性チェック(CRC)とも呼ばれます)を追加します。データブロックが移動されると、ストレージアレイはこれらのCRCコードを使用して、転送中にエラーが発生したかどうかを判断します。破損している可能性があるデータはディスクに書き込まれず、ホストにも返されません。DA機能を使用する場合は、新しいボリュームの作成時にDA対応のプールまたはボリュームグループ([候補]の表で[DA]が[はい]になっている)を選択します。
ドライブセキュリティ
ドライブセキュリティは、セキュリティ有効ドライブをストレージアレイから取り外す際に、データへの不正アクセスを防止する機能です。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)140-2レベル2に準拠したドライブ(FIPSドライブ)があります。
ドライブレベルでのドライブセキュリティの動作
セキュリティ対応ドライブであるFDEまたはFIPSでは、書き込み時にデータが暗号化され、読み取り時に復号化されます。この暗号化と復号化は、パフォーマンスやユーザのワークフローには影響しません。各ドライブには固有の暗号化キーがあり、ドライブから転送することはできません。
ボリュームレベルでのドライブセキュリティの動作
セキュリティ対応ドライブからプールまたはボリュームグループを作成する場合、そのプールまたはボリュームグループに対してドライブセキュリティを有効にすることもできます。ドライブセキュリティを有効にすると、ドライブとそれに関連付けられているボリュームグループおよびプールがsecure-_enabled_になります。プールまたはボリュームグループにはセキュリティ対応とセキュリティ対応でない両方のドライブを含めることができますが、暗号化機能を使用するには、すべてのドライブがセキュリティ対応である必要があります。
ドライブセキュリティの実装方法
ドライブセキュリティを実装するには、次の手順を実行します。
-
ストレージアレイにセキュリティ対応のFDEドライブまたはFIPSドライブを取り付けます(FIPSのサポートが必要なドライブには、FIPSドライブのみを使用します。ボリュームグループまたはプールにFIPSドライブとFDEドライブが混在している場合、すべてのドライブがFDEドライブとして扱われます。また、FIPSのみのボリュームグループまたはプールでFDEドライブを追加したりスペアとして使用したりすることはできません)。
-
セキュリティキーを作成します。セキュリティキーは、読み取り/書き込みアクセス用にコントローラとドライブで共有される文字列です。コントローラの永続的メモリから内部キーを作成するか、キー管理サーバから外部キーを作成できます。外部キー管理の場合は、キー管理サーバとの間で認証を確立する必要があります。
-
プールおよびボリュームグループに対してドライブセキュリティを有効にします。
-
プールまたはボリュームグループを作成します(受験者テーブルの「Secure Capable 」列で「 Yes」を検索してください)。
-
新しいボリュームを作成するときにプールまたはボリュームグループを選択します(Pool and volume group Candidatesテーブルで、「* SecureCapable 」の横の「 Yes」*を探します)。
ドライブセキュリティ機能を使用する場合、セキュリティ有効ドライブとストレージアレイのコントローラで共有されるセキュリティキーを作成します。ドライブの電源をオフにしてオンにするたびに、コントローラがセキュリティキーを適用するまでセキュリティ有効ドライブはセキュリティロック状態になります。
-