日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

転送中のデータ暗号化

11/15/2022 寄稿者

転送中のデータはNASプロトコルレイヤで暗号化でき、Google Cloudネットワーク自体は暗号化されます。これについては、次の項で説明します。

Google Cloudネットワーク

Google Cloudは、に記載されているように、ネットワークレベルでトラフィックを暗号化します "転送中の暗号化" Googleのドキュメントを参照してください。「Cloud Volume サービスアーキテクチャ」セクションで説明したように、Cloud Volumes Service は、ネットアップが管理するPSAプロデューサープロジェクトから提供されます。

CVSソフトウェアの場合、プロデューサーテナントはGoogle VMを実行してサービスを提供します。ユーザーVMとCloud Volumes Service VM間のトラフィックは、Googleによって自動的に暗号化されます。

CVSパフォーマンスのデータパスはネットワークレイヤでは完全に暗号化されていませんが、ネットアップとGoogleでは組み合わせて使用しています "IEEE 802.1AE暗号化（MACSec）"、 "カプセル化" （データ暗号化）、および物理的に制限されたネットワークを使用して、Cloud Volumes Service CVS -パフォーマンスサービスタイプとGoogle Cloudの間で転送されるデータを保護します。

NASプロトコル

NFSおよびSMB NASプロトコルは、プロトコルレイヤでオプションのトランスポート暗号化を提供します。

SMB暗号化

"SMB暗号化" SMBデータをエンドツーエンドで暗号化し、信頼されていないネットワーク上での盗聴からデータを保護します。クライアント/サーバのデータ接続（smb3.x対応クライアントでのみ使用可能）とサーバ/ドメインコントローラの認証の両方に対して暗号化を有効にできます。

SMB暗号化が有効な場合、暗号化をサポートしていないクライアントは共有にアクセスできません。

Cloud Volumes Service は、SMB暗号化でRC4-HMAC、AES-128 - CTS-HMAC-SHA1、およびAES-256 - HMAC-SHA1セキュリティ暗号をサポートしています。SMBは、サーバによってサポートされている最も高い暗号化タイプとネゴシエートします。

NFSv4.1 Kerberos

NFSv4.1のCVSパフォーマンスでは、Kerberos認証を使用できます。を参照してください "RFC7530"。Kerberosはボリューム単位で有効にすることができます。

Kerberosで現在使用可能な最も強力な暗号化タイプは、AES-256、HMAC-SHA1です。NetApp Cloud Volumes Service は、NFS用にAES-256 - HMAC-SHA1、AES-128 - HMAC-SHA1、DES3、およびDESをサポートしています。CIFS / SMBトラフィックではARCFOUR-MHMAC（RC4）もサポートされますが、NFSではサポートされません。

Kerberosでは、NFSマウントに対する3つの異なるセキュリティレベルが提供され、Kerberosセキュリティの強固な設定を選択できます。

RedHatの場合と同様です "Common Mount Options（共通マウントオプション）" マニュアル：

sec=krb5 uses Kerberos V5 instead of local UNIX UIDs and GIDs to authenticate users.
sec=krb5i uses Kerberos V5 for user authentication and performs integrity checking of NFS operations using secure checksums to prevent data tampering.
sec=krb5p uses Kerberos V5 for user authentication, integrity checking, and encrypts NFS traffic to prevent traffic sniffing. This is the most secure setting, but it also involves the most performance overhead.

一般的に、Kerberosセキュリティレベルを高くするほど、クライアントとサーバが送信する各パケットのNFS操作の暗号化と復号化に時間を費やすので、パフォーマンスが低下します。多くのクライアントとNFSサーバは、CPUにAES-NIオフロードをサポートして全体的なエクスペリエンスを向上していますが、Kerberos 5p（完全なエンドツーエンドの暗号化）のパフォーマンスへの影響はKerberos 5（ユーザ認証）の影響よりも大幅に大きくなります。

次の表に、セキュリティとパフォーマンスの各レベルの違いを示します。

セキュリティレベル	セキュリティ	パフォーマンス
NFSv3：sys	最小のセキュリティ。数値のユーザIDまたはグループIDを含むプレーンテキスト UID、GID、クライアントIPアドレス、エクスポートパス、ファイル名を表示できるパケットキャプチャの権限	ほとんどの場合に最適です
NFSv4.x - sys	NFSv3（クライアントID、名前文字列/ドメイン文字列の照合）よりも安全ですが、それでもテキストは表示されません UID、GID、クライアントIPアドレス、名前文字列、ドメインIDを表示できるパケットキャプチャでのエクスポートパス、ファイル名、権限	シーケンシャルワークロード（VM、データベース、大容量ファイルなど）に適しているファイル数が多い/メタデータが多い（30~50%悪化）
NFS—krb5	すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップしますマウントを要求しているユーザは、有効なKerberosチケット（ユーザ名とパスワード、または手動のキータブ交換）を必要とします。チケットは指定した期間が経過すると有効期限が切れ、ユーザはアクセスを再認証する必要があります NFS処理またはmount / portmapper / NLMなどの補助プロトコル（エクスポートパス、IPアドレス、ファイルハンドル、権限、ファイル名を参照可能）の暗号化なしパケットキャプチャのatime / mtime）	ほとんどの場合Kerberosに適しており、AUTH_SYSよりも深刻です
NFS—krb5i	すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップしますマウントを要求しているユーザは、有効なKerberosチケット（ユーザ名/パスワードまたは手動のキータブ交換を使用）を必要とします。チケットは指定した期間が経過すると失効し、ユーザはアクセスを再認証する必要があります NFS処理またはmount / portmapper / NLMなどの補助プロトコル（エクスポートパス、IPアドレス、ファイルハンドル、権限、ファイル名を参照可能）の暗号化なしパケットキャプチャのatime / mtime） Kerberos GSSチェックサムが各パケットに追加されるため、パケットを傍受することはありません。チェックサムが一致する場合は、会話が許可されます。	NFSペイロードは暗号化されないため、krb5pよりも優れています。krb5よりも追加されたオーバーヘッドのみが整合性のチェックサムです。krb5iのパフォーマンスはkrb5よりもそれほど悪くはないが、多少の低下が見られる。
NFS–krb5p	すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップしますマウントを要求しているユーザは、有効なKerberosチケット（ユーザ名とパスワード、または手動のkeytab交換を使用）を必要とします。チケットは指定した期間が経過すると有効期限が切れ、ユーザはアクセスを再認証する必要がありますすべてのNFSパケットペイロードは、GSSラッパーで暗号化されます（パケットキャプチャではファイルハンドル、権限、ファイル名、atime/mtimeを確認できません）。整合性チェックが含まれます。 NFSの処理タイプは表示されます（fsinfo、access、GETATTRなど）。補助プロトコル（マウント、portmap、NLMなど）は暗号化されません-（エクスポートパス、IPアドレスを参照可能）	セキュリティレベルで最悪のパフォーマンス。krb5pは、暗号化や復号化がさらに必要です。 NFSv4.xに加えてkrb5pを使用した方がパフォーマンスが向上し、ファイル数の多いワークロードに対応できます。

セキュリティレベル

セキュリティ

パフォーマンス

NFSv3：sys

最小のセキュリティ。数値のユーザIDまたはグループIDを含むプレーンテキスト
UID、GID、クライアントIPアドレス、エクスポートパス、ファイル名を表示できるパケットキャプチャの権限

ほとんどの場合に最適です

NFSv4.x - sys

NFSv3（クライアントID、名前文字列/ドメイン文字列の照合）よりも安全ですが、それでもテキストは表示されません
UID、GID、クライアントIPアドレス、名前文字列、ドメインIDを表示できるパケットキャプチャでのエクスポートパス、ファイル名、権限

シーケンシャルワークロード（VM、データベース、大容量ファイルなど）に適している
ファイル数が多い/メタデータが多い（30~50%悪化）

NFS—krb5

すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップします
マウントを要求しているユーザは、有効なKerberosチケット（ユーザ名とパスワード、または手動のキータブ交換）を必要とします。チケットは指定した期間が経過すると有効期限が切れ、ユーザはアクセスを再認証する必要があります
NFS処理またはmount / portmapper / NLMなどの補助プロトコル（エクスポートパス、IPアドレス、ファイルハンドル、権限、ファイル名を参照可能）の暗号化なしパケットキャプチャのatime / mtime）

ほとんどの場合Kerberosに適しており、AUTH_SYSよりも深刻です

NFS—krb5i

すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップします
マウントを要求しているユーザは、有効なKerberosチケット（ユーザ名/パスワードまたは手動のキータブ交換を使用）を必要とします。チケットは指定した期間が経過すると失効し、ユーザはアクセスを再認証する必要があります
NFS処理またはmount / portmapper / NLMなどの補助プロトコル（エクスポートパス、IPアドレス、ファイルハンドル、権限、ファイル名を参照可能）の暗号化なしパケットキャプチャのatime / mtime）
Kerberos GSSチェックサムが各パケットに追加されるため、パケットを傍受することはありません。チェックサムが一致する場合は、会話が許可されます。

NFSペイロードは暗号化されないため、krb5pよりも優れています。krb5よりも追加されたオーバーヘッドのみが整合性のチェックサムです。krb5iのパフォーマンスはkrb5よりもそれほど悪くはないが、多少の低下が見られる。

NFS–krb5p

すべてのNFSパケットのクレデンシャルのKerberos暗号化●GSSラッパー内のRPCコールでユーザ/グループのUID/GIDをラップします
マウントを要求しているユーザは、有効なKerberosチケット（ユーザ名とパスワード、または手動のkeytab交換を使用）を必要とします。チケットは指定した期間が経過すると有効期限が切れ、ユーザはアクセスを再認証する必要があります
すべてのNFSパケットペイロードは、GSSラッパーで暗号化されます（パケットキャプチャではファイルハンドル、権限、ファイル名、atime/mtimeを確認できません）。
整合性チェックが含まれます。
NFSの処理タイプは表示されます（fsinfo、access、GETATTRなど）。
補助プロトコル（マウント、portmap、NLMなど）は暗号化されません-（エクスポートパス、IPアドレスを参照可能）

セキュリティレベルで最悪のパフォーマンス。krb5pは、暗号化や復号化がさらに必要です。
NFSv4.xに加えてkrb5pを使用した方がパフォーマンスが向上し、ファイル数の多いワークロードに対応できます。

Cloud Volumes Service では、設定されたActive DirectoryサーバがKerberosサーバおよびLDAPサーバとして使用されます（RFC2307互換スキーマからユーザIDを検索する場合）。それ以外のKerberosサーバまたはLDAPサーバはサポートされません。Cloud Volumes Service では、アイデンティティ管理にLDAPを使用することを強く推奨します。NFS Kerberosがパケットキャプチャにどのように表示されるかについては、を参照してください "「パケットのスニッフィング/トレースに関する考慮事項」"

"次の例：保存データの暗号化"

Creating your file...

転送中のデータ暗号化

Google Cloudネットワーク

NASプロトコル

SMB暗号化

NFSv4.1 Kerberos