Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetAppボリューム暗号化の設定の概要

共同作成者
PDF

NetApp Volume Encryption(NVE)は、一度に1つのボリュームの保存データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージシステムからしかアクセスできないため、デバイスの転用、返却、置き忘れ、盗難に際してボリュームのデータが読み取られることはありません。

NVEの概要

NVEでは、メタデータとデータ(Snapshotコピーを含む)の両方が暗号化されます。データへのアクセスには、ボリュームごとに1つの一意のXTS-AES-256キーが使用されます。外部キー管理サーバまたはオンボードキーマネージャ(OKM)がノードにキーを提供します。

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、Key Management Interoperability Protocol(KMIP)を使用してノードにキーを提供します。外部キー管理サーバは、データとは別のストレージシステムに設定することを推奨します。

  • オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードにキーを提供します。

ONTAP 9 .7以降では、Volume Encryption(VE)ライセンスがあり、オンボードまたは外部のキー管理ツールを使用している場合、アグリゲートとボリュームの暗号化がデフォルトで有効になります。VEライセンスはに含まれてい"ONTAP One"ます。外部キーマネージャまたはオンボードキーマネージャが設定されている場合は、新しいアグリゲートおよび新しいボリュームに対する保存データの暗号化の設定方法が変更されます。新しいアグリゲートでは、NetAppアグリゲート暗号化(NAE)がデフォルトで有効になります。NAEアグリゲートに含まれていない新しいボリュームでは、デフォルトでNetApp Volume Encryption(NVE)が有効になります。マルチテナントキー管理を使用してデータStorage Virtual Machine(SVM)に独自のキー管理機能が設定されている場合、そのSVM用に作成されたボリュームには自動的にNVEが設定されます。

新規または既存のボリュームで暗号化を有効にできます。NVEは、重複排除や圧縮など、さまざまなStorage Efficiency機能をサポートしています。ONTAP 9 .14.1以降では、この機能を既存のSVMルートボリュームでNVEを有効にする使用できます。

メモ SnapLockを使用している場合は、新しい空のSnapLockでのみ暗号化を有効にできます。既存のSnapLockボリュームで暗号化を有効にすることはできません。

NVEは、アグリゲートのタイプ(HDD、SSD、ハイブリッド、アレイLUN)やRAIDタイプを問わず、サポートされているONTAP環境(ONTAP Selectを含む)で使用できます。NVE をハードウェアベースの暗号化と併用すれば、自己暗号化ドライブ上のデータを「暗号化」することもできます。

NVEを有効にすると、コアダンプも暗号化されます。

アグリゲートレベルの暗号化

通常、暗号化されたすべてのボリュームには一意のキーが割り当てられます。このキーは、ボリュームを削除すると一緒に削除されます。

ONTAP 9.6 以降では、 _NetApp Aggregate Encryption ( NAE ) _ を使用して、暗号化するボリュームの包含アグリゲートにキーを割り当てることができます。暗号化されたボリュームを削除しても、アグリゲートのキーは削除されません。このキーは、アグリゲート全体を削除すると削除されます。

アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。そうしないと、NVEでアグリゲートレベルの重複排除がサポートされません。

ONTAP 9.7以降では、Volume Encryption(VE)ライセンスがあり、オンボード / 外部キー マネージャを使用している場合、アグリゲートとボリュームの暗号化がデフォルトで有効になります。

NVEボリュームとNAEボリュームは同一アグリゲート内で共存できます。アグリゲートレベルの暗号化で暗号化されたボリュームは、デフォルトでNAEボリュームになります。このデフォルトの設定は、ボリュームを暗号化するときに無効にすることができます。

コマンドを使用して、NVEボリュームをNAEボリュームに(またはその逆に)変換できます volume move。NAEボリュームはNVEボリュームにレプリケートできます。

NAEボリュームではコマンドを使用できません secure purge

外部キー管理サーバを使用する状況

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合はKMIPサーバを用意する必要があります。

  • 暗号化キー管理ソリューションが、Federal Information Processing Standards(FIPS;連邦情報処理標準)140-2またはOASIS KMIP標準に準拠している必要があります。

  • 暗号化キーを一元管理できるマルチクラスタソリューションが必要です。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

外部キー管理の範囲

外部キー管理の範囲によって、キー管理サーバがクラスタ内のすべてのSVMを保護するか、選択したSVMのみを保護するかが決まります。

  • クラスタ内のすべての SVM に対して外部キー管理を設定するには、 cluster scop を使用します。クラスタ管理者は、サーバに格納されているすべてのキーにアクセスできます。

  • ONTAP 9.6 以降では、 svm scop を使用して、クラスタ内の指定した SVM に外部キー管理を設定できます。これは、各テナントが異なるSVM(または一連のSVM)を使用してデータを提供するマルチテナント環境に最適です。特定のテナントのSVM管理者のみが、そのテナントのキーにアクセスできます。

  • ONTAP 9 .10.1以降では、を使用してNVEキーを保護できるのAzure Key Vault と Google Cloud KMSはデータSVMのみです。これは、9.12.0以降のAWS KMSで利用できるようになりました。

同じクラスタで両方のスコープを使用できます。1つのSVMに対してキー管理サーバが設定されている場合は、それらのサーバのみを使用してキーが保護されます。そうでない場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。

検証済みの外部キー管理ツールのリストはにあり"NetApp Interoperability Matrix Tool(IMT)"ます。この一覧は、 IMT の検索機能に「キー管理ツール」という用語を入力すると表示されます。

サポートの詳細

次の表に、NVEのサポートの詳細を示します。

リソースまたは機能

サポートの詳細

プラットフォーム

AES-NIオフロード機能が必要です。ご使用のプラットフォームでNVEとNAEがサポートされていることを確認するには、Hardware Universe(HWU)を参照してください。

暗号化

ONTAP 9 .7以降では、Volume Encryption(VE)ライセンスを追加し、オンボードまたは外部のキー管理ツールを設定している場合、新しく作成したアグリゲートとボリュームはデフォルトで暗号化されます。暗号化されていないアグリゲートを作成する必要がある場合は、次のコマンドを使用します。

storage aggregate create -encrypt-with-aggr-key false

プレーンテキストボリュームを作成する必要がある場合は、次のコマンドを使用します。

volume create -encrypt false

次の場合、暗号化はデフォルトでは有効になりません。

  • VEライセンスがインストールされていません。

  • キー管理ツールが設定されていません。

  • プラットフォームまたはソフトウェアが暗号化をサポートしていません。

  • ハードウェア暗号化が有効になっています。

ONTAP

すべてのONTAP実装。ONTAP 9.5以降では、ONTAP Cloudがサポートされます。

デバイス

HDD、SSD、ハイブリッド、アレイLUN。

RAID

RAID0、RAID4、RAID-DP、RAID-TEC。

ボリューム

データボリュームと既存のSVMルートボリューム。MetroClusterメタデータボリュームのデータは暗号化できません。9.14.1より前のバージョンのONTAPでは、NVEを使用してSVMルートボリュームのデータを暗号化できません。ONTAP 9 .14.1以降では、ONTAPはをサポートしていSVMルートボリュームのNVEます。

アグリゲートレベルの暗号化

ONTAP 9 .6以降では、NVEでアグリゲートレベルの暗号化(NAE)がサポートされます。

  • アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。

  • アグリゲートレベルで暗号化されたボリュームのキーは変更できません。

  • アグリゲートレベルで暗号化されたボリュームでは、セキュア パージがサポートされません。

  • NAEでは、データ ボリュームに加えて、SVMルート ボリュームとMetroClusterメタデータ ボリュームの暗号化がサポートされます。ただし、ルート ボリュームの暗号化はサポートされません。

SVMスコープ

ONTAP 9.6以降では、NVEで外部キー管理のみを対象にSVMスコープがサポートされます。オンボード キー マネージャに対してはサポートされません。MetroClusterはONTAP 9.8以降でサポートされます。

Storage Efficiency

重複排除、圧縮、コンパクション、FlexClone。

クローンでは、親からスプリットしたあとも親と同じキーを使用します。スプリットクローンでを実行する必要があり `volume move`ます。この場合、スプリットクローンには別のキーが割り当てられます。

レプリケーション

  • ボリューム レプリケーションでは、ソース ボリュームとデスティネーション ボリュームで異なる暗号化設定を使用できます。ソースに対して暗号化を設定し、デスティネーションに対して暗号化の設定を解除できます(その逆も可能です)。

  • SVMレプリケーションの場合、デスティネーション ボリュームは自動的に暗号化されます。ただし、ボリューム暗号化をサポートするノードがデスティネーションに含まれていない場合、レプリケーションは成功しますが、デスティネーション ボリュームは暗号化されません。

  • MetroCluster構成では、各クラスタが設定されたキー サーバから外部キー管理のキーを取得します。OKM(オンボード キー マネージャ)のキーは、設定レプリケーション サービスによってパートナー サイトにレプリケートされます。

コンプライアンス

ONTAP 9.2以降では、新しいボリュームのみを対象に、SnapLockがComplianceモードとEnterpriseモードの両方でサポートされます。既存のSnapLockボリュームで暗号化を有効にすることはできません。

FlexGroup

ONTAP 9.2以降では、FlexGroupがサポートされます。デスティネーション アグリゲートは、ソース アグリゲートと同じタイプ(ボリュームレベルまたはアグリゲートレベル)でなければなりません。ONTAP 9.5以降では、FlexGroupボリュームのキーをインプレースで変更できます。

7-Modeからの移行

7-Mode Transition Tool 3.3以降では、7-Mode Transition Tool CLIを使用して、クラスタ システムのNVE対応デスティネーション ボリュームへのコピーベースの移行を実行できます。
関連情報

"FAQ - NetApp Volume EncryptionおよびNetApp Aggregate Encryption"