日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp Volume Encryption の設定の概要

寄稿者 netapp-ahibbard netapp-thomi

NetApp Volume Encryption ( NVE )は、一度に 1 ボリュームずつ保管データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージシステムからしかアクセスできないため、基盤のデバイスの転用、返却、置き忘れ、盗難に際してボリュームのデータが読み取られることはありません。

NVE の概要

Snapshot コピーとメタデータの両方が暗号化されます。データへのアクセスには、ボリュームごとに 1 つずつ、一意の XTS-AES-256 キーを使用します。外部キー管理サーバまたはオンボードキーマネージャでノードにキーを提供します。

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、 Key Management Interoperability Protocol ( KMIP )を使用してノードにキーを提供します。外部キー管理サーバは、データとは別のストレージシステムで設定することを推奨します。

  • オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードにキーを提供します。

ONTAP 9.7 以降では、ボリューム暗号化( VE )ライセンスがあり、オンボードキーマネージャまたは外部キーマネージャを使用している場合、アグリゲートとボリューム暗号化がデフォルトで有効になります。外部キー管理ツールまたはオンボードキーマネージャを設定した場合、新しいアグリゲートおよび新しいボリューム用に保存データの暗号化の設定に変更があります。新しいアグリゲートでは、 NetApp Aggregate Encryption ( NAE )がデフォルトで有効になります。NAE アグリゲートに含まれない新しいボリュームでは、 NetApp Volume Encryption ( NVE )がデフォルトで有効になります。マルチテナントキー管理を使用してデータ Storage Virtual Machine ( SVM )を独自のキー管理機能で設定した場合は、その SVM 用に作成されたボリュームに自動的に NVE が設定されます。

新規または既存のボリュームで暗号化を有効にできます。NVE は、重複排除や圧縮など、ストレージ効率化のためのさまざまな機能をサポートしています。

注記

SnapLock を使用している場合は、新しい空の SnapLock ボリュームでのみ暗号化を有効にできます。既存の SnapLock ボリュームで暗号化を有効にすることはできません。

NVE は、アグリゲートのタイプ( HDD 、 SSD 、ハイブリッド、アレイ LUN )や RAID タイプを問わず、サポートされるすべての ONTAP 環境( ONTAP Select を含む)で使用できます。NVE をハードウェアベースの暗号化と併用すれば、自己暗号化ドライブ上のデータを「暗号化」することもできます。

注記

AFF A220 、 AFF A800 、 FAS2720 、 FAS2750 以降のシステムでは、ブートデバイスにコアダンプが格納されます。これらのシステムで NVE を有効にすると、コアダンプも暗号化されます。

アグリゲートレベルの暗号化

通常、暗号化されたすべてのボリュームには一意のキーが割り当てられます。このキーは、ボリュームを削除すると一緒に削除されます。

ONTAP 9.6 以降では、 _NetApp Aggregate Encryption ( NAE ) _ を使用して、暗号化するボリュームの包含アグリゲートにキーを割り当てることができます。暗号化されたボリュームを削除しても、アグリゲートのキーは削除されません。キーが削除され、アグリゲート全体が削除されます。

アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。そうしないと、 NVE でアグリゲートレベルの重複排除がサポートされません。

ONTAP 9.7 以降では、ボリューム暗号化( VE )ライセンスがあり、オンボードキーマネージャまたは外部キーマネージャを使用している場合、アグリゲートとボリューム暗号化がデフォルトで有効になります。

NVE ボリュームと NAE ボリュームは同一アグリゲート内で共存できます。アグリゲートレベルの暗号化で暗号化されたボリュームは、デフォルトで NAE ボリュームになります。このデフォルトの設定は、ボリュームを暗号化するときに無効にすることができます。

volume move コマンドを使用して NVE ボリュームを NAE ボリュームに変換したり、その逆を行うことができます。NAE ボリュームは NVE ボリュームにレプリケートできます。

外部キー管理サーバを使用する状況

オンボードキーマネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合は KMIP サーバを用意する必要があります。

  • 連邦情報処理標準( FIPS ) 140-2 または OASIS KMIP 標準に準拠した暗号化キー管理解決策が必要な場合。

  • 暗号化キーを一元管理するマルチクラスタ解決策が必要です。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

外部キー管理の範囲

外部キー管理のスコープによって、キー管理サーバの保護対象がクラスタ内のすべての SVM になるか、選択した SVM のみになるかが決まります。

  • クラスタ内のすべての SVM に対して外部キー管理を設定するには、 cluster scop を使用します。クラスタ管理者は、サーバに格納されているすべてのキーにアクセスできます。

  • ONTAP 9.6 以降では、 svm scop を使用して、クラスタ内の指定した SVM に外部キー管理を設定できます。各テナントが異なる SVM (または SVM のセット)を使用してデータを提供するマルチテナント環境には、この方法が最適です。特定のテナントの SVM 管理者だけが、そのテナントのキーにアクセスできます。

同じクラスタで両方のスコープを使用できます。1 つの SVM に対してキー管理サーバが設定されている場合、 ONTAP はそれらのサーバのみを使用してキーを保護します。それ以外 ONTAP の場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。

サポートの詳細

次の表に、 NVE のサポートの詳細を示します。

リソースまたは機能

サポートの詳細

プラットフォーム

AES-NI オフロード機能が必要です。ご使用のプラットフォームで NVE と NAE がサポートされていることを確認するには、 Hardware Universe ( HWU )を参照してください。

暗号化

ONTAP 9.7 以降では、ボリューム暗号化( VE )ライセンスを追加し、オンボードキーマネージャまたは外部キーマネージャを設定すると、新しく作成したアグリゲートとボリュームがデフォルトで暗号化されます。暗号化されていないアグリゲートを作成する必要がある場合は、次のコマンドを使用します。

「 storage aggregate create -encrypt-with -aggr-list false 」です

プレーンテキストのボリュームを作成する必要がある場合は、次のコマンドを使用します。

volume create -encrypt false

次の場合、暗号化はデフォルトでは有効になりません。

  • VE ライセンスがインストールされていません。

  • キー管理ツールが設定されていません

  • プラットフォームまたはソフトウェアは暗号化をサポートしていません

  • ハードウェアの暗号化が有効です

ONTAP

すべての ONTAP 実装。ONTAP 9.5 以降では、 ONTAP クラウドがサポートされます。

デバイス

HDD 、 SSD 、ハイブリッド、アレイ LUN

RAID の場合

RAID0 、 RAID 4 、 RAID-DP 、 RAID-TEC のいずれかです。

個のボリューム

データボリュームと既存のルートボリュームSVM ルートボリュームまたは MetroCluster メタデータボリュームのデータは暗号化できません。

アグリゲートレベルの暗号化

ONTAP 9.6 以降では、 NVE でアグリゲートレベルの暗号化( NAE )がサポートされます。

  • アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。

  • アグリゲートレベルで暗号化されたボリュームのキーは変更できません。

  • アグリゲートレベルで暗号化されたボリュームでは、セキュアパージがサポートされません。

  • NAE では、データボリュームに加えて、 SVM ルートボリュームと MetroCluster メタデータボリュームの暗号化がサポートされます。ただし、ルートボリュームの暗号化はサポートされません。

SVM スコープ

ONTAP 9.6 以降では、 NVE で外部キー管理のみを対象に SVM スコープがサポートされます。オンボードキーマネージャに対してはサポートされません。MetroCluster は ONTAP 9.8 以降でサポートされています。

ストレージ効率

重複排除、圧縮、コンパクション、 FlexClone 。クローンでは、親からスプリットしたあとも親と同じキーを使用します。スプリットしたクローンのキーを変更するように警告が表示されます。

レプリケーション

  • ボリュームレプリケーションの場合、デスティネーションボリュームで暗号化が有効になっている必要があります。暗号化は、送信元に対して設定することも、宛先に対して設定解除することもできます。逆も同様です。

  • SVM レプリケーションの場合、デスティネーションボリュームは自動的に暗号化されます。ただし、ボリューム暗号化をサポートするノードがデスティネーションに含まれていない場合、レプリケーションは成功しますが、デスティネーションボリュームは暗号化されません。

  • MetroCluster 構成では、各クラスタが設定されたキーサーバから外部キー管理のキーを取得します。OKM キーは、構成レプリケーションサービスによってパートナーサイトにレプリケートされます。

コンプライアンス

ONTAP 9.2 以降では、新しいボリュームのみを対象に、 SnapLock が Compliance モードと Enterprise モードの両方でサポートされます。既存の SnapLock ボリュームで暗号化を有効にすることはできません。

FlexGroup

ONTAP 9.2 以降では、 FlexGroup がサポートされます。デスティネーションアグリゲートのタイプは、ボリュームレベルまたはアグリゲートレベルのソースアグリゲートと同じである必要があります。ONTAP 9.5 以降では、 FlexGroup ボリュームのキーをインプレースで変更できます。

7-Mode からの移行

7-Mode Transition Tool 3.3 以降では、 7-Mode Transition Tool CLI を使用して、クラスタシステムの NVE 対応デスティネーションボリュームへのコピーベースの移行を実行できます。