Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

暗号化

共同作成者 netapp-ahibbard netapp-dbagwell netapp-aaron-holt netapp-lenida netapp-thomi netapp-aherbin
PDF

ONTAPは、ストレージ メディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないようにソフトウェア ベースとハードウェア ベースの暗号化テクノロジを提供します。

ONTAPは、すべてのSSL接続について連邦情報処理標準(FIPS)140-2に準拠しています。使用可能な暗号化ソリューションは次のとおりです。

  • ハードウェア ソリューション:

    • NetApp Storage Encryption(NSE)

      NSEは、自己暗号化ドライブ(SED)を使用するハードウェア ソリューションです。

    • NVMe SED

      ONTAPでは、FIPS 140-2認定を取得していないNVMe SEDに対するフル ディスク暗号化が可能です。

  • ソフトウェア ソリューション:

    • NetApp Aggregate Encryption(NAE)

      NetApp Aggregate Encryption(NAE)は、アグリゲートごとに一意のキーを使用して、あらゆるタイプのドライブのあらゆるデータ ボリュームを暗号化できるソフトウェア ソリューションです。

    • NetApp Volume Encryption(NVE)

      NetApp Volume Encryption(NVE)は、ボリュームごとに一意のキーを使用して、あらゆるタイプのドライブのあらゆるデータ ボリュームを暗号化できるソフトウェア ソリューションです。

ソフトウェア(NAEまたはNVE)とハードウェア(NSEまたはNVMe SED)の両方の暗号化ソリューションを使用することで、保存時の二重暗号化を実現できます。NAEまたはNVE暗号化はストレージ効率に影響を与えません。

NetApp Storage Encryption

NetApp Storage Encryption(NSE)は、データを書き込み時に暗号化するSEDをサポートします。ディスクに格納された暗号化キーがないとデータを読み取ることはできず、その暗号化キーには認証されたノードからしかアクセスできません。

I/O要求を受け取ったノードは、外部キー管理サーバまたはオンボード キー マネージャから取得した認証キーを使用してSEDへの認証を行います。

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、Key Management Interoperability Protocol(KMIP)を使用してノードに認証キーを提供します。

  • オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードに認証キーを提供します。

NSEでは、HDDとSSDの自己暗号化ディスクをサポートしています。NetApp Volume EncryptionをNSEとともに使用すれば、NSEドライブのデータを二重に暗号化できます。

メモ Flash Cacheモジュールを搭載したシステムでNSEを使用する場合は、NVEまたはNAEも有効にする必要があります。NSEでは、Flash Cacheモジュール上のデータは暗号化されません。

NVMe自己暗号化ドライブ(SED)

NVMe SED は FIPS 140-2 認定を取得していませんが、これらのディスクは AES 256 ビットの透過的なディスク暗号化を使用して保存データを保護します。

認証キーの生成などのデータ暗号化処理は、内部的に実行されます。認証キーは、ストレージ システムがディスクに初めてアクセスしたときに生成されます。以降、データ処理が要求されるたびにストレージ システム認証が要求されて、ディスク上の保存データが保護されます。

NetApp Aggregate Encryption

NetApp Aggregate Encryption(NAE)は、アグリゲート内のすべてのデータを暗号化するためのソフトウェアベースのテクノロジです。NAEのメリットは、ボリュームはアグリゲートレベルの重複排除の対象になりますが、NVEボリュームは除外される点です。

NAEを有効にすると、アグリゲート内のボリュームをアグリゲート キーで暗号化できるようになります。

ONTAP 9.7 以降では、"NVEライセンス"とオンボードまたは外部のキー管理がある場合、新しく作成されたアグリゲートとボリュームはデフォルトで暗号化されます。

NetApp Volume Encryption

NetApp Volume Encryption(NVE)は、一度に1ボリュームずつ保存データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージ システムからしかアクセスできないため、基盤のデバイスがシステムから分離されている場合、ボリュームのデータが読み取られることはありません。

スナップショットを含むデータとメタデータは暗号化されています。データへのアクセスは、ボリュームごとに1つずつ、固有のXTS-AES-256キーによって許可されます。内蔵のOnboard Key Managerにより、これらのキーはデータと同じシステム上で安全に保管されます。

NVEは、アグリゲートのタイプ(HDD、SSD、ハイブリッド、アレイLUN)やRAIDタイプを問わず、サポートされるすべてのONTAP環境(ONTAP Selectを含む)で使用できます。NVEをNetApp Storage Encryption(NSE)とともに使用して、NSEドライブのデータを二重に暗号化することもできます。

KMIP サーバーを使用する場合 オンボード キー マネージャーを使用する方がコストが安く、通常はより便利ですが、次のいずれかに該当する場合は KMIP サーバーを設定する必要があります:

  • 連邦情報処理標準(FIPS)140-2またはOASIS KMIP標準に準拠した暗号化キー管理ソリューションが必要な場合。

  • マルチクラスタ ソリューションが必要な場合。KMIPサーバでは、複数のクラスタにわたる暗号化キーの一元管理がサポートされます。

    KMIPサーバでは、複数のクラスタにわたる暗号化キーの一元管理がサポートされます。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

    KMIPサーバでは、データとは別に認証キーが格納されます。
関連情報

"FAQ - NetApp ボリューム暗号化とNetApp アグリゲート暗号化"