日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

暗号化

寄稿者 netapp-thomi

ONTAP は、ストレージメディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないようにソフトウェアベースとハードウェアベースの暗号化テクノロジを提供します。

ONTAP は、すべての SSL 接続に対する連邦情報処理標準( FIPS ) 140-2 に準拠しています。次の暗号化ソリューションを使用できます。

  • ハードウェアソリューション:

    • NetApp Storage Encryption ( NSE )

      NSE は、 Self-Encrypting Drive ( SED ;自己暗号化ドライブ)を使用するハードウェア解決策です。

    • NVMe SED

      ONTAP は、 FIPS 140-2 認定を取得していない NVMe SED の完全なディスク暗号化を提供します。

  • ソフトウェアソリューション:

    • NetApp Aggregate Encryption ( NAE )

      NAE は、あらゆるドライブタイプのあらゆるデータボリュームを暗号化できるソフトウェア解決策です。 NAE は、アグリゲートごとに固有のキーを使用して有効にします。

    • NetApp Volume Encryption ( NVE )

      NVE は、あらゆるドライブタイプのあらゆるデータボリュームを暗号化できるソフトウェア解決策です。ボリュームごとに一意のキーを使用して有効にします。

ソフトウェア( NAE または NVE )とハードウェア( NSE または NVMe SED )の両方の暗号化ソリューションを使用して、保存データを二重に暗号化できます。NAE または NVE 暗号化はストレージ効率に影響しません。

NetApp Storage Encryption の略

NetApp Storage Encryption ( NSE )は、データを書き込み時に暗号化する SED をサポートします。ディスクに格納された暗号化キーがないとデータを読み取ることはできません。暗号化キーには認証されたノードからしかアクセスできません。

I/O 要求を受け取ったノードは、外部キー管理サーバまたはオンボードキーマネージャから取得した認証キーを使用して SED への認証を行います。

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、 Key Management Interoperability Protocol ( KMIP )を使用してノードに認証キーを提供します。

  • オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードに認証キーを提供します。

NSE では、 HDD と SSD の自己暗号化ディスクをサポートしています。NetApp Volume Encryption を NSE とともに使用すると、 NSE ドライブのデータを二重に暗号化できます。

NVMe 自己暗号化ドライブ

NVMe SED には FIPS 140-2 認定はありませんが、これらのディスクでは AES 256 ビットの透過的なディスク暗号化を使用して保存データが保護されます。

認証キーの生成などのデータ暗号化処理は内部的に実行されます。認証キーは、ストレージシステムが初めてディスクにアクセスしたときに生成されます。その後、データ処理が要求されるたびにストレージシステム認証が要求されるため、保存データがディスクで保護されます。

NetApp Aggregate Encryption の略

NetApp Aggregate Encryption ( NAE )は、アグリゲート内のすべてのデータを暗号化するためのソフトウェアベースのテクノロジです。NAE のメリットは、ボリュームがアグリゲートレベルの重複排除に含まれているのに対し、 NVE ボリュームは除外されることです。

NAE が有効になっている場合は、アグリゲートキーを使用してアグリゲート内のボリュームを暗号化できます。

ONTAP 9.7 以降では、 NVE ライセンスでオンボードまたは外部キー管理を使用すれば、新しく作成したアグリゲートとボリュームがデフォルトで暗号化されます。

NetApp Volume Encryption の略

NetApp Volume Encryption ( NVE )は、一度に 1 ボリュームずつ保管データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージシステムからしかアクセスできないため、基盤のデバイスがシステムから分離されている場合、ボリュームのデータが読み取られることはありません。

Snapshot コピーとメタデータの両方が暗号化されます。データへのアクセスには、ボリュームごとに 1 つずつ、一意の XTS-AES-256 キーを使用します。このキーは、組み込みのオンボードキーマネージャによってデータと同じシステムに安全に保管されます。

NVE は、アグリゲートのタイプ( HDD 、 SSD 、ハイブリッド、アレイ LUN )や RAID タイプを問わず、サポートされるすべての ONTAP 環境( ONTAP Select を含む)で使用できます。NVE を NetApp Storage Encryption ( NSE )と併用して、 NSE ドライブのデータを二重に暗号化することもできます。

*_ KMIP サーバを使用するタイミング _ * オンボードキーマネージャを使用する方が安価で通常は便利ですが、次のいずれかに該当する場合は KMIP サーバをセットアップする必要があります。

  • 連邦情報処理標準( FIPS ) 140-2 または OASIS KMIP 標準に準拠した暗号化キー管理解決策が必要な場合。

  • マルチクラスタ解決策が必要な場合。KMIP サーバでは、複数のクラスタの暗号化キーの一元管理がサポートされます。

    KMIP サーバでは、複数のクラスタの暗号化キーの一元管理がサポートされます。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

    KMIP サーバでは、データとは別に認証キーが格納されます。