Skip to main content
12.5
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティ

共同作成者
PDF

SolidFire オールフラッシュストレージシステムを使用すると、業界標準のセキュリティプロトコルでデータが保護されます。

保存データの暗号化(ハードウェア)

ストレージノード内のドライブはいずれも、ドライブレベルの暗号化機能で AES 256 ビット暗号化を利用できます。各ドライブには、ドライブが最初に初期化されたときに作成される独自の暗号化キーがあります。暗号化機能を有効にすると、クラスタ全体のパスワードが作成され、複数のチャンクとしてクラスタ内のすべてのノードに配信されます。どのノードにもパスワード全体が格納されることはありません。このパスワードを使用して、ドライブへのすべてのアクセスが保護されます。ドライブのロックを解除するにはパスワードが必要です。ドライブの電源がオフになっているかドライブがロックされている場合以外は、パスワードは必要ありません。

"保存データのハードウェア暗号化機能の有効化"クラスタのパフォーマンスや効率には影響しません。Element API または Element UI を使用してクラスタの設定から暗号化が有効なドライブまたはノードを削除すると、保存データの暗号化がドライブで無効になります。削除したドライブは、APIメソッドを使用して完全消去できます SecureEraseDrives。物理ドライブまたはノードが強制的に削除された場合でも、データはクラスタ全体のパスワードおよびドライブごとの暗号化キーによって引き続き保護されます。

保存データの暗号化(ソフトウェア)

保存データを暗号化するソフトウェア暗号化機能のもう 1 つのタイプを使用すると、ストレージクラスタ内の SSD に書き込まれるすべてのデータを暗号化できます。"有効になっている場合"は、書き込まれたすべてのデータを暗号化し、ソフトウェアで自動的に読み取られたすべてのデータを復号化します。保存データのソフトウェア暗号化は、 SED (自己暗号化ドライブ)のハードウェアへの実装を反映して、 SED がない場合にデータセキュリティを提供します。

警告 SolidFire オールフラッシュストレージクラスタの場合、クラスタ作成時に保存データのソフトウェア暗号化を有効にし、クラスタ作成後に無効にすることはできません。

ソフトウェアベースとハードウェアベースの保存データの暗号化機能は、どちらも単独で使用することも、相互に組み合わせて使用することもできます。

外部キー管理

サードパーティの KMIP 準拠キー管理サービス( KMS )を使用してストレージクラスタの暗号化キーを管理するように Element ソフトウェアを設定できます。この機能を有効にすると、ストレージクラスタ全体のドライブアクセスパスワード暗号化キーが KMS によって指定した値で管理されます。

Element では、次のキー管理サービスを使用できます。

  • Gemalto SafeNet KeySecure の各コマンドを入力します

  • SafeNet at KeySecure の指定

  • HyTrust KeyControl の略

  • Vormetric データセキュリティ Manager の略

  • IBM Security Key Lifecycle Manager の略

外部キー管理の設定の詳細については、ドキュメントを参照して"外部キー管理の概要"ください。

多要素認証

多要素認証( MFA )を使用することで、ログイン時に NetApp Element Web UI またはストレージノード UI で認証するためのさまざまな種類の証拠をユーザに提示する必要があります。既存のユーザ管理システムおよびアイデンティティプロバイダと統合されたログインに対して多要素認証のみを受け入れるように Element を設定できます。Element を既存の SAML 2.0 アイデンティティプロバイダと統合するように設定できます。これにより、パスワードとテキストメッセージ、パスワードと E メールメッセージ、その他の方法など、複数の認証方式を適用できます。

多要素認証を、 Microsoft Active Directory Federation Services ( ADFS )や Shibboleth など、 SAML 2.0 対応の一般的なアイデンティティプロバイダ( IdP )とペアリングできます。

MFAを設定するには、のドキュメントを参照して"多要素認証の有効化"ください。

HTTPS 向けの FIPS 140-2 と保存データ暗号化

NetApp SolidFire ストレージクラスタでは、暗号モジュールに関する Federal Information Processing Standard ( FIPS ;連邦情報処理標準) 140-2 の要件に準拠した暗号化がサポートされています。SolidFire クラスタで HTTPS 通信とドライブ暗号化の両方に対して FIPS 140-2 準拠を有効にすることができます。

クラスタで FIPS 140-2 動作モードを有効にすると、クラスタは NetApp Cryptographic Security Module ( NCSM )をアクティブ化し、 NetApp Element UI および API との HTTPS を介したすべての通信に FIPS 140-2 レベル 1 認定の暗号化を利用します。Element APIで fips`パラメータを使用して `EnableFeature、FIPS 140-2 HTTPS暗号化を有効にします。FIPS対応のハードウェアを搭載したストレージクラスタでは、Element APIでパラメータを指定して FipsDrives、保存データに対してFIPSドライブ暗号化を有効にすることもできます EnableFeature

新しいストレージクラスタでFIPS 140-2暗号化を使用する準備の詳細については、を参照してください"FIPS ドライブをサポートするクラスタを作成します"

準備が完了した既存のクラスタでFIPS 140-2を有効にする方法の詳細については、を参照してください"EnableFeature Element API"

詳細情報