SANtricity ソフトウェアのボリュームのデータ整合性とデータセキュリティについて学ぶ
変更を提案
PDF
ボリュームを有効にすることで、データ保証(DA)機能とドライブセキュリティ機能を利用できるようになります。これらの機能は、プールおよびボリューム グループのレベルで表示されます。
Data Assurance
Data Assurance(DA)はT10 Protection Information(PI)標準を実装しています。I/Oパスでデータが転送される際に発生する可能性のあるエラーをチェックして修正することで、データの整合性が向上します。Data Assurance機能の一般的な用途として、コントローラとドライブ間のI/Oパスがチェックされます。DA機能はプールおよびボリューム グループのレベルで提供されます。
この機能を有効にすると、ボリューム内の各データ ブロックに巡回冗長検査(CRC)と呼ばれるエラー チェック用のコードが付加されます。データ ブロックが移動されると、このCRCコードを使用して、転送中にエラーが発生したかどうかが判断されます。破損している可能性があるデータはディスクに書き込まれず、ホストにも返されません。DA機能を使用する場合は、新しいボリュームの作成時にDA対応のプールまたはボリューム グループ([候補]の表でDAが[はい]になっている)を選択します。
ドライブ セキュリティ
ドライブ セキュリティは、セキュリティ有効ドライブをストレージ アレイから取り外したときに、そのドライブ上のデータへの不正アクセスを防止する機能です。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)140-2レベル2に準拠したドライブ(FIPSドライブ)があります。
ドライブ レベルでのドライブ セキュリティの動作
セキュリティ機能を備えたドライブ(FDEまたはFIPSのいずれか)は、書き込み時にデータを暗号化し、読み取り時にデータを復号化します。この暗号化および復号化は、パフォーマンスやユーザのワークフローに影響を与えません。各ドライブには独自の暗号化キーがあり、これはドライブから転送することは決してできません。
ボリューム レベルでのドライブ セキュリティの動作
セキュリティ機能を備えたドライブからプールまたはボリュームグループを作成する場合、それらのプールまたはボリュームグループに対してドライブセキュリティを有効にすることもできます。ドライブセキュリティオプションを使用すると、ドライブおよび関連するボリュームグループとプールがセキュリティ_対応_になります。プールまたはボリュームグループには、セキュリティ機能を備えたドライブとセキュリティ機能を備えていないドライブの両方を含めることができますが、暗号化機能を使用するには、すべてのドライブがセキュリティ機能を備えている必要があります。
ドライブ セキュリティを実装する方法
ドライブセキュリティを実装するには、次の手順を実行します。
-
ストレージアレイには、FDEドライブまたはFIPSドライブのいずれか、セキュリティ機能を備えたドライブを搭載してください。(FIPSサポートが必要なボリュームには、FIPSドライブのみを使用してください。ボリュームグループまたはプール内でFIPSドライブとFDEドライブを混在させると、すべてのドライブがFDEドライブとして扱われます。また、FDEドライブは、FIPS準拠のボリュームグループまたはプールに追加したり、スペアとして使用したりすることはできません。)
-
セキュリティキーを作成します。これは、読み取り / 書き込みアクセス用にコントローラとドライブで共有される文字列です。コントローラの永続メモリから内部キーを作成するか、キー管理サーバから外部キーを作成するかのいずれかを選択できます。外部キー管理の場合、キー管理サーバとの認証を確立する必要があります。
-
プールおよびボリュームグループのドライブセキュリティを有効にする:
-
プールまたはボリューム グループを作成します(候補テーブルの セキュリティ対応 列で はい を探してください)。
-
新しいボリュームを作成する際に、プールまたはボリュームグループを選択してください(プールおよびボリュームグループの候補テーブルで、*Secure-capable*の横に*Yes*が表示されていることを確認してください)。
ドライブセキュリティ機能を使用すると、ストレージアレイ内のセキュリティ対応ドライブとコントローラ間で共有されるセキュリティキーを作成できます。ドライブへの電源がオフオンされるたびに、セキュリティ対応ドライブは、コントローラがセキュリティキーを適用するまで、セキュリティロック状態になります。
-