Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp Volume Encryption の設定の概要

共同作成者

NetApp Volume Encryption ( NVE )は、一度に 1 ボリュームずつ保管データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージシステムからしかアクセスできないため、基盤のデバイスの転用、返却、置き忘れ、盗難に際してボリュームのデータが読み取られることはありません。

NVE の概要

NVEでは、メタデータとデータ(Snapshotコピーを含む)の両方が暗号化されます。データへのアクセスには、ボリュームごとに 1 つずつ、一意の XTS-AES-256 キーを使用します。外部キー管理サーバまたはオンボードキーマネージャ(OKM)がノードにキーを提供します。

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、 Key Management Interoperability Protocol ( KMIP )を使用してノードにキーを提供します。外部キー管理サーバは、データとは別のストレージシステムで設定することを推奨します。

  • オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードにキーを提供します。

ONTAP 9.7 以降では、ボリューム暗号化( VE )ライセンスがあり、オンボードキーマネージャまたは外部キーマネージャを使用している場合、アグリゲートとボリューム暗号化がデフォルトで有効になります。外部キー管理ツールまたはオンボードキーマネージャを設定した場合、新しいアグリゲートおよび新しいボリューム用に保存データの暗号化の設定に変更があります。新しいアグリゲートでは、 NetApp Aggregate Encryption ( NAE )がデフォルトで有効になります。NAE アグリゲートに含まれない新しいボリュームでは、 NetApp Volume Encryption ( NVE )がデフォルトで有効になります。マルチテナントキー管理を使用してデータ Storage Virtual Machine ( SVM )を独自のキー管理機能で設定した場合は、その SVM 用に作成されたボリュームに自動的に NVE が設定されます。

新規または既存のボリュームで暗号化を有効にできます。NVE は、重複排除や圧縮など、ストレージ効率化のためのさまざまな機能をサポートしています。ONTAP 9.14.1以降では、次のことが可能です。 既存のSVMルートボリュームでNVEを有効にする

メモ SnapLock を使用している場合は、新しい空の SnapLock ボリュームでのみ暗号化を有効にできます。既存の SnapLock ボリュームで暗号化を有効にすることはできません。

NVE は、アグリゲートのタイプ( HDD 、 SSD 、ハイブリッド、アレイ LUN )や RAID タイプを問わず、サポートされるすべての ONTAP 環境( ONTAP Select を含む)で使用できます。NVE をハードウェアベースの暗号化と併用すれば、自己暗号化ドライブ上のデータを「暗号化」することもできます。

NVEを有効にすると、コアダンプも暗号化されます。

アグリゲートレベルの暗号化

通常、暗号化されたすべてのボリュームには一意のキーが割り当てられます。このキーは、ボリュームを削除すると一緒に削除されます。

ONTAP 9.6 以降では、 _NetApp Aggregate Encryption ( NAE ) _ を使用して、暗号化するボリュームの包含アグリゲートにキーを割り当てることができます。暗号化されたボリュームを削除しても、アグリゲートのキーは削除されません。アグリゲート全体が削除されると、キーは削除されます。

アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。そうしないと、 NVE でアグリゲートレベルの重複排除がサポートされません。

ONTAP 9.7 以降では、ボリューム暗号化( VE )ライセンスがあり、オンボードキーマネージャまたは外部キーマネージャを使用している場合、アグリゲートとボリューム暗号化がデフォルトで有効になります。

NVE ボリュームと NAE ボリュームは同一アグリゲート内で共存できます。アグリゲートレベルの暗号化で暗号化されたボリュームは、デフォルトで NAE ボリュームになります。このデフォルトの設定は、ボリュームを暗号化するときに無効にすることができます。

を使用できます volume move コマンドを使用してNVEボリュームをNAEボリュームに変換します。その逆も同様です。NAE ボリュームは NVE ボリュームにレプリケートできます。

を使用することはできません secure purge NAEボリュームに対するコマンド。

外部キー管理サーバを使用する状況

オンボードキーマネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合は KMIP サーバを用意する必要があります。

  • 連邦情報処理標準( FIPS ) 140-2 または OASIS KMIP 標準に準拠した暗号化キー管理解決策が必要な場合。

  • 暗号化キーを一元管理するマルチクラスタ解決策が必要です。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

外部キー管理の範囲

外部キー管理のスコープによって、キー管理サーバの保護対象がクラスタ内のすべての SVM になるか、選択した SVM のみになるかが決まります。

  • クラスタ内のすべての SVM に対して外部キー管理を設定するには、 cluster scop を使用します。クラスタ管理者は、サーバに格納されているすべてのキーにアクセスできます。

  • ONTAP 9.6 以降では、 svm scop を使用して、クラスタ内の指定した SVM に外部キー管理を設定できます。各テナントが異なる SVM (または SVM のセット)を使用してデータを提供するマルチテナント環境には、この方法が最適です。特定のテナントの SVM 管理者だけが、そのテナントのキーにアクセスできます。

  • ONTAP 9.10.1 以降では、を使用できます Azure Key Vault と Google Cloud KMS データSVMのNVEキーのみを保護する。これは、9.12.0以降のAWS KMSで利用できるようになりました。

同じクラスタで両方のスコープを使用できます。1 つの SVM に対してキー管理サーバが設定されている場合、 ONTAP はそれらのサーバのみを使用してキーを保護します。それ以外 ONTAP の場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。

検証済みの外部キー管理ツールのリストは、にあります "ネットアップの Interoperability Matrix Tool ( IMT )"。このリストを確認するには、IMTの検索機能に「キー管理ツール」と入力します。

サポートの詳細

次の表に、 NVE のサポートの詳細を示します。

リソースまたは機能

サポートの詳細

プラットフォーム

AES-NI オフロード機能が必要です。ご使用のプラットフォームで NVE と NAE がサポートされていることを確認するには、 Hardware Universe ( HWU )を参照してください。

暗号化

ONTAP 9.7 以降では、ボリューム暗号化( VE )ライセンスを追加し、オンボードキーマネージャまたは外部キーマネージャを設定すると、新しく作成したアグリゲートとボリュームがデフォルトで暗号化されます。暗号化されていないアグリゲートを作成する必要がある場合は、次のコマンドを使用します。

storage aggregate create -encrypt-with-aggr-key false

プレーンテキストのボリュームを作成する必要がある場合は、次のコマンドを使用します。

volume create -encrypt false

次の場合、暗号化はデフォルトでは有効になりません。

  • VE ライセンスがインストールされていません。

  • キー管理ツールが設定されていません

  • プラットフォームまたはソフトウェアは暗号化をサポートしていません

  • ハードウェアの暗号化が有効です

ONTAP

すべての ONTAP 実装。ONTAP 9.5 以降では、 ONTAP クラウドがサポートされます。

デバイス

HDD 、 SSD 、ハイブリッド、アレイ LUN

RAID の場合

RAID0 、 RAID 4 、 RAID-DP 、 RAID-TEC のいずれかです。

個のボリューム

データボリュームと既存のSVMルートボリューム。MetroClusterメタデータボリュームのデータは暗号化できません。9.14.1より前のバージョンのONTAPでは、NVEを使用してSVMルートボリュームのデータを暗号化できません。ONTAP 9.14.1以降では、ONTAPでサポートされます。 SVMルートボリュームのNVE

アグリゲートレベルの暗号化

ONTAP 9.6 以降では、 NVE でアグリゲートレベルの暗号化( NAE )がサポートされます。

  • アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。

  • アグリゲートレベルで暗号化されたボリュームのキーは変更できません。

  • アグリゲートレベルで暗号化されたボリュームでは、セキュアパージがサポートされません。

  • NAE では、データボリュームに加えて、 SVM ルートボリュームと MetroCluster メタデータボリュームの暗号化がサポートされます。ただし、ルートボリュームの暗号化はサポートされません。

SVM スコープ

ONTAP 9.6 以降では、 NVE で外部キー管理のみを対象に SVM スコープがサポートされます。オンボードキーマネージャに対してはサポートされません。MetroCluster は ONTAP 9.8 以降でサポートされています。

ストレージ効率

重複排除、圧縮、コンパクション、 FlexClone 。

クローンでは、親からスプリットしたあとも親と同じキーを使用します。を実行する必要があります volume move スプリットクローンの場合、スプリットクローンには別のキーが割り当てられます。

レプリケーション

  • ボリュームレプリケーションでは、ソースボリュームとデスティネーションボリュームで異なる暗号化設定を使用できます。暗号化は、送信元に対して設定することも、宛先に対して設定解除することもできます。逆も同様です。

  • SVM レプリケーションの場合、デスティネーションボリュームは自動的に暗号化されます。ただし、ボリューム暗号化をサポートするノードがデスティネーションに含まれていない場合、レプリケーションは成功しますが、デスティネーションボリュームは暗号化されません。

  • MetroCluster 構成では、各クラスタが設定されたキーサーバから外部キー管理のキーを取得します。OKM キーは、構成レプリケーションサービスによってパートナーサイトにレプリケートされます。

コンプライアンス

ONTAP 9.2 以降では、新しいボリュームのみを対象に、 SnapLock が Compliance モードと Enterprise モードの両方でサポートされます。既存の SnapLock ボリュームで暗号化を有効にすることはできません。

FlexGroup

ONTAP 9.2 以降では、 FlexGroup がサポートされます。デスティネーションアグリゲートのタイプは、ボリュームレベルまたはアグリゲートレベルのソースアグリゲートと同じである必要があります。ONTAP 9.5 以降では、 FlexGroup ボリュームのキーをインプレースで変更できます。

7-Mode からの移行

7-Mode Transition Tool 3.3 以降では、 7-Mode Transition Tool CLI を使用して、クラスタシステムの NVE 対応デスティネーションボリュームへのコピーベースの移行を実行できます。