Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

暗号化

共同作成者
PDF

ONTAPは、ストレージメディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないように、ソフトウェアベースとハードウェアベースの暗号化テクノロジを提供します。

ONTAPは、すべてのSSL接続で連邦情報処理標準(FIPS)140-2に準拠しています。次の暗号化ソリューションを使用できます。

  • ハードウェアソリューション:

    • NetAppストレージ暗号化(NSE)

      NSEは、自己暗号化ドライブ(SED)を使用するハードウェアソリューションです。

    • NVMe SED

      ONTAPは、FIPS 140-2認証を取得していないNVMe SEDに対してFull Disk Encryptionを提供します。

  • ソフトウェアソリューション:

    • NetAppアグリゲート暗号化(NAE)

      NAEは、アグリゲートごとに一意のキーを使用して、あらゆるドライブタイプのあらゆるデータボリュームを暗号化できるソフトウェアソリューションです。

    • NetAppボリューム暗号化(NVE)

      NVEは、あらゆるドライブタイプのあらゆるデータボリュームを暗号化できるソフトウェアソリューションで、ボリュームごとに一意のキーを使用して有効にします。

ソフトウェア(NAEまたはNVE)暗号化ソリューションとハードウェア(NSEまたはNVMe SED)暗号化ソリューションの両方を使用して、保存データを二重に暗号化できます。NAE暗号化またはNVE暗号化は、ストレージ効率に影響しません。

NetAppストレージ暗号化

NetAppストレージ暗号化(NSE)は、データを書き込み時に暗号化するSEDをサポートします。ディスクに保存されている暗号化キーがないと、データを読み取ることはできません。暗号化キーには、認証されたノードだけがアクセスできます。

I/O要求に対して、ノードは外部キー管理サーバまたはオンボードキーマネージャから取得した認証キーを使用してSEDへの認証を行います。

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、Key Management Interoperability Protocol(KMIP)を使用してノードに認証キーを提供します。

  • オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードに認証キーを提供します。

NSEは、自己暗号化HDDとSSDをサポートしています。NetAppボリューム暗号化とNSEを併用すると、NSEドライブのデータを二重に暗号化できます。

メモ Flash Cacheモジュールを搭載したシステムでNSEを使用する場合は、NVEまたはNAEも有効にする必要があります。NSEでは、Flash Cacheモジュール上のデータは暗号化されません。

NVMe自己暗号化ドライブ

NVMe SEDはFIPS 140-2認定を取得していませんが、AES 256ビット透過的ディスク暗号化を使用して保存データを保護します。

認証キーの生成などのデータ暗号化処理は、内部的に実行されます。認証キーは、ストレージシステムが初めてディスクにアクセスしたときに生成されます。その後、データ処理が要求されるたびにストレージシステム認証が要求され、ディスクで保存データが保護されます。

NetAppアグリゲート暗号化

NetAppアグリゲート暗号化(NAE)は、アグリゲートのすべてのデータを暗号化するためのソフトウェアベースのテクノロジです。NAEのメリットは、ボリュームはアグリゲートレベルの重複排除の対象となり、NVEボリュームは除外されることです。

NAEを有効にすると、アグリゲート内のボリュームをアグリゲートキーで暗号化できます。

ONTAP 9 .7以降では"NVEライセンス"、およびオンボードまたは外部のキー管理を使用している場合、新しく作成したアグリゲートとボリュームはデフォルトで暗号化されます。

NetAppボリューム暗号化

NetApp Volume Encryption(NVE)は、一度に1つのボリュームの保存データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージシステムからしかアクセスできないため、基盤となるデバイスがシステムから分離されている場合でもボリュームのデータが読み取られることはありません。

データ(Snapshotコピーを含む)とメタデータの両方が暗号化されます。データへのアクセスには、ボリュームごとに1つの一意のXTS-AES-256キーが使用されます。キーは、組み込みのオンボードキーマネージャによってデータと同じシステムに保護されます。

NVEは、アグリゲートのタイプ(HDD、SSD、ハイブリッド、アレイLUN)やRAIDタイプを問わず、サポートされているONTAP環境(ONTAP Selectを含む)で使用できます。NVEをNetApp Storage Encryption(NSE)とともに使用して、NSEドライブのデータを二重に暗号化することもできます。

*_ KMIP サーバを使用するタイミング _ * オンボードキーマネージャを使用する方が安価で通常は便利ですが、次のいずれかに該当する場合は KMIP サーバをセットアップする必要があります。

  • 暗号化キー管理ソリューションが、Federal Information Processing Standards(FIPS;連邦情報処理標準)140-2またはOASIS KMIP標準に準拠している必要があります。

  • マルチクラスタソリューションが必要です。KMIPサーバでは、複数のクラスタの暗号化キーの一元管理がサポートされます。

    KMIPサーバでは、複数のクラスタの暗号化キーの一元管理がサポートされます。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

    KMIPサーバでは、データとは別に認証キーが格納されます。
関連情報

"FAQ - NetApp Volume EncryptionおよびNetApp Aggregate Encryption"