暗号化
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP は、ストレージメディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないようにソフトウェアベースとハードウェアベースの暗号化テクノロジを提供します。
ONTAP は、すべての SSL 接続に対する連邦情報処理標準( FIPS ) 140-2 に準拠しています。次の暗号化ソリューションを使用できます。
-
ハードウェアソリューション:
-
NetApp Storage Encryption ( NSE )
NSE は、 Self-Encrypting Drive ( SED ;自己暗号化ドライブ)を使用するハードウェア解決策です。
-
NVMe SED
ONTAP は、 FIPS 140-2 認定を取得していない NVMe SED の完全なディスク暗号化を提供します。
-
-
ソフトウェアソリューション:
-
NetApp Aggregate Encryption ( NAE )
NAE は、あらゆるドライブタイプのあらゆるデータボリュームを暗号化できるソフトウェア解決策です。 NAE は、アグリゲートごとに固有のキーを使用して有効にします。
-
NetApp Volume Encryption ( NVE )
NVE は、あらゆるドライブタイプのあらゆるデータボリュームを暗号化できるソフトウェア解決策です。ボリュームごとに一意のキーを使用して有効にします。
-
ソフトウェア( NAE または NVE )とハードウェア( NSE または NVMe SED )の両方の暗号化ソリューションを使用して、保存データを二重に暗号化できます。NAE または NVE 暗号化はストレージ効率に影響しません。
NetApp Storage Encryption の略
NetApp Storage Encryption ( NSE )は、データを書き込み時に暗号化する SED をサポートします。ディスクに格納された暗号化キーがないとデータを読み取ることはできません。暗号化キーには認証されたノードからしかアクセスできません。
I/O 要求を受け取ったノードは、外部キー管理サーバまたはオンボードキーマネージャから取得した認証キーを使用して SED への認証を行います。
-
外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、 Key Management Interoperability Protocol ( KMIP )を使用してノードに認証キーを提供します。
-
オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードに認証キーを提供します。
NSE では、 HDD と SSD の自己暗号化ディスクをサポートしています。NetApp Volume Encryption を NSE とともに使用すると、 NSE ドライブのデータを二重に暗号化できます。
Flash Cacheモジュールを搭載したシステムでNSEを使用する場合は、NVEまたはNAEも有効にする必要があります。NSEは、Flash Cacheモジュール上のデータを暗号化しません。 |
NVMe 自己暗号化ドライブ
NVMe SED には FIPS 140-2 認定はありませんが、これらのディスクでは AES 256 ビットの透過的なディスク暗号化を使用して保存データが保護されます。
認証キーの生成などのデータ暗号化処理は内部的に実行されます。認証キーは、ストレージシステムが初めてディスクにアクセスしたときに生成されます。その後、データ処理が要求されるたびにストレージシステム認証が要求されるため、保存データがディスクで保護されます。
NetApp Aggregate Encryption の略
NetApp Aggregate Encryption ( NAE )は、アグリゲート内のすべてのデータを暗号化するためのソフトウェアベースのテクノロジです。NAE のメリットは、ボリュームがアグリゲートレベルの重複排除に含まれているのに対し、 NVE ボリュームは除外されることです。
NAE が有効になっている場合は、アグリゲートキーを使用してアグリゲート内のボリュームを暗号化できます。
ONTAP 9 .7以降では"NVEライセンス"、およびオンボードまたは外部のキー管理を使用している場合、新しく作成したアグリゲートとボリュームはデフォルトで暗号化されます。
NetApp Volume Encryption の略
NetApp Volume Encryption ( NVE )は、一度に 1 ボリュームずつ保管データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージシステムからしかアクセスできないため、基盤のデバイスがシステムから分離されている場合、ボリュームのデータが読み取られることはありません。
Snapshot コピーとメタデータの両方が暗号化されます。データへのアクセスには、ボリュームごとに 1 つずつ、一意の XTS-AES-256 キーを使用します。このキーは、組み込みのオンボードキーマネージャによってデータと同じシステムに安全に保管されます。
NVE は、アグリゲートのタイプ( HDD 、 SSD 、ハイブリッド、アレイ LUN )や RAID タイプを問わず、サポートされるすべての ONTAP 環境( ONTAP Select を含む)で使用できます。NVE を NetApp Storage Encryption ( NSE )と併用して、 NSE ドライブのデータを二重に暗号化することもできます。
*_ KMIP サーバを使用するタイミング _ * オンボードキーマネージャを使用する方が安価で通常は便利ですが、次のいずれかに該当する場合は KMIP サーバをセットアップする必要があります。
|