Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP NetAppボリュームとアグリゲートの暗号化について学ぶ

共同作成者 netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell netapp-aherbin netapp-barbe netapp-lenida netapp-thomi
PDF

NetApp Volume Encryption(NVE)は、一度に1ボリュームずつ保存データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージ システムからしかアクセスできないため、基盤のデバイスの転用、返却、置き忘れ、盗難に際してボリュームのデータが読み取られることはありません。

NVEの概要

NVEでは、メタデータとデータ(Snapshotを含む)の両方が暗号化されます。データへのアクセスは、ボリュームごとに1つずつ、固有のXTS-AES-256キーによって提供されます。外部のキー管理サーバーまたはOnboard Key Manager(OKM)がノードにキーを提供します:

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、Key Management Interoperability Protocol(KMIP)を使用してノードにキーを提供します。外部キー管理サーバは、データとは別のストレージ システムで設定することを推奨します。

  • オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードにキーを提供します。

ONTAP 9.7以降では、ボリューム暗号化(VE)ライセンスがあり、オンボードまたは外部のキーマネージャを使用している場合、アグリゲートとボリュームの暗号化がデフォルトで有効になっています。VEライセンスは"ONTAP One"に含まれています。外部またはオンボードのキーマネージャを設定すると、新しいアグリゲートと新しいボリュームの保存データの暗号化の設定方法が変わります。新しいアグリゲートでは、NetApp Aggregate Encryption(NAE)がデフォルトで有効になります。NAEアグリゲートの一部ではない新しいボリュームでは、NetApp Volume Encryption(NVE)がデフォルトで有効になります。データStorage Virtual Machine(SVM)にマルチテナントキー管理を使用する独自のキーマネージャが設定されている場合、そのSVM用に作成されたボリュームは自動的にNVEで設定されます。

新規ボリュームまたは既存ボリュームで暗号化を有効にすることができます。NVEは、重複排除や圧縮を含む、ストレージ効率化機能をすべてサポートしています。ONTAP 9.14.1以降では、既存のSVMルートボリュームでNVEを有にする

メモ SnapLockを使用している場合は、新しい空のSnapLockボリュームでのみ暗号化を有効にできます。既存のSnapLockボリュームで暗号化を有効にすることはできません。

NVEは、あらゆるタイプのアグリゲート(HDD、SSD、ハイブリッド、アレイLUN)、あらゆるRAIDタイプ、そしてONTAP Selectを含むサポートされているすべてのONTAP実装で使用できます。また、NVEをハードウェアベースの暗号化と組み合わせて使用することで、自己暗号化ドライブ上のデータを「二重暗号化」することもできます。

NVEを有効にすると、コア ダンプも暗号化されます。

アグリゲートレベルの暗号化

通常、暗号化されたすべてのボリュームには一意のキーが割り当てられます。このキーは、ボリュームを削除すると一緒に削除されます。

ONTAP 9.6以降では、_NetApp Aggregate Encryption(NAE)_を使用して、暗号化するボリュームの包含アグリゲートにキーを割り当てることができます。暗号化されたボリュームを削除しても、アグリゲートのキーは保持されます。アグリゲート全体が削除されると、キーも削除されます。

アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。そうしないと、NVEでアグリゲートレベルの重複排除がサポートされません。

ONTAP 9.7以降では、Volume Encryption(VE)ライセンスがあり、オンボード / 外部キー マネージャを使用している場合、アグリゲートとボリュームの暗号化がデフォルトで有効になります。

NVEボリュームとNAEボリュームは同一アグリゲート内で共存できます。アグリゲートレベルの暗号化で暗号化されたボリュームは、デフォルトでNAEボリュームになります。このデフォルトの設定は、ボリュームを暗号化するときに無効にすることができます。

`volume move`コマンドを使用して、NVEボリュームをNAEボリュームに変換したり、その逆を行ったりできます。NAEボリュームをNVEボリュームに複製することも可能です。

NAE ボリュームでは `secure purge`コマンドを使用できません。

外部キー管理サーバを使用する状況

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合はKMIPサーバを用意する必要があります。

  • 連邦情報処理標準(FIPS)140-2またはOASIS KMIP標準に準拠した暗号化キー管理ソリューションが必要な場合。

  • 暗号化キーを一元管理するマルチクラスタ ソリューションが必要な場合。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

外部キー管理のスコープ

外部キー管理のスコープによって、キー管理サーバの保護対象がクラスタ内の全SVMになるか、選択したSVMのみになるかが決まります。

  • _クラスタスコープ_を使用すると、クラスタ内のすべてのSVMに対して外部キー管理を設定できます。クラスタ管理者は、サーバーに保存されているすべてのキーにアクセスできます。

  • ONTAP 9.6以降では、_SVMスコープ_を使用して、クラスタ内の名前付きSVMの外部キー管理を設定できます。これは、各テナントが異なるSVM(またはSVMセット)を使用してデータを提供するマルチテナント環境に最適です。特定のテナントのキーにアクセスできるのは、そのテナントのSVM管理者のみです。

    • ONTAP 9.17.1 以降では、Barbican KMSを使用してデータ SVM の NVE キーのみを保護できます。

    • ONTAP 9.10.1以降では、Azure Key Vault と Google Cloud KMSを使用してデータSVMのNVEキーのみを保護できます。これは、9.12.0以降のAWS KMSで利用可能です。

同じクラスタで両方のスコープを使用できます。1つのSVMに対してキー管理サーバが設定されている場合は、それらのサーバのみを使用してキーが保護されます。そうでない場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。

検証済みの外部キーマネージャのリストは、"NetApp Interoperability Matrix Tool(IMT)"で入手できます。このリストは、IMTの検索機能に「キーマネージャ」と入力することで見つけることができます。

メモ Azure Key VaultやAWS KMSなどのクラウドKMSプロバイダーはKMIPをサポートしていません。そのため、IMTには記載されていません。

サポートの詳細

次の表に、NVEのサポートの詳細を示します。

リソースまたは機能

サポートの詳細

プラットフォーム

AES-NIオフロード機能が必要です。ご使用のプラットフォームでNVEとNAEがサポートされていることを確認するには、Hardware Universe(HWU)を参照してください。

暗号化

ONTAP 9.7以降では、Volume Encryption(VE)ライセンスを追加し、オンボードまたは外部のキー マネージャを設定している場合、新しく作成したアグリゲートおよびボリュームはデフォルトで暗号化されます。暗号化せずにアグリゲートを作成する必要がある場合は、次のコマンドを使用します。

storage aggregate create -encrypt-with-aggr-key false

プレーン テキストのボリュームを作成する必要がある場合は、次のコマンドを使用します。

volume create -encrypt false

次の場合、暗号化はデフォルトで有効になりません。

  • VEライセンスがインストールされていない。

  • キー マネージャが設定されていない。

  • プラットフォームまたはソフトウェアで暗号化がサポートされていない。

  • ハードウェア暗号化が有効になっている。

ONTAP

すべてのONTAP実装。Cloud Volumes ONTAPのサポートは、ONTAP 9.5以降で利用できます。

デバイス

HDD、SSD、ハイブリッド、アレイLUN。

RAID

RAID0、RAID4、RAID-DP、RAID-TEC。

ボリューム

データボリュームと既存のSVMルートボリューム。MetroClusterメタデータボリューム上のデータは暗号化できません。ONTAP 9.14.1より前のバージョンでは、SVMルートボリューム上のデータをNVEで暗号化することはできません。ONTAP 9.14.1以降、ONTAPはSVMルートボリュームのNVEをサポートしています。

アグリゲートレベルの暗号化

ONTAP 9.6以降では、NVEでアグリゲートレベルの暗号化(NAE)がサポートされます。

  • アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。

  • アグリゲートレベルで暗号化されたボリュームのキーは変更できません。

  • アグリゲートレベルで暗号化されたボリュームでは、セキュア パージがサポートされません。

  • NAEでは、データ ボリュームに加えて、SVMルート ボリュームとMetroClusterメタデータ ボリュームの暗号化がサポートされます。ただし、ルート ボリュームの暗号化はサポートされません。

SVMスコープ

MetroClusterはONTAP 9.8以降でサポートされます。

ONTAP 9.6以降では、NVEで外部キー管理のみを対象にSVMスコープがサポートされます。オンボード キー マネージャに対してはサポートされません。

ストレージ効率

重複排除、圧縮、コンパクション、FlexClone。

クローンは、親からクローンを分割した後でも、親と同じキーを使用します。分割されたクローンに対して `volume move`を実行する必要があります。これにより、分割されたクローンのキーは異なります。

レプリケーション

  • ボリュームレプリケーションでは、ソースボリュームとデスティネーションボリュームで異なる暗号化設定を使用できます。暗号化はソースに設定してデスティネーションには設定しないことも、その逆も可能です。ソースで設定された暗号化はデスティネーションにレプリケートされません。暗号化はソースとデスティネーションの両方で手動で設定する必要があります。NVEの設定およびNVEによるボリューム データの暗号化を参照してください。

  • SVMレプリケーションの場合、デスティネーション ボリュームは自動的に暗号化されます。ただし、ボリューム暗号化をサポートするノードがデスティネーションに含まれていない場合、レプリケーションは成功しますが、デスティネーション ボリュームは暗号化されません。

  • MetroCluster構成では、各クラスタが設定されたキー サーバから外部キー管理のキーを取得します。OKM(オンボード キー マネージャ)のキーは、設定レプリケーション サービスによってパートナー サイトにレプリケートされます。

コンプライアンス

SnapLockは、コンプライアンスモードとエンタープライズモードの両方でサポートされていますが、新規ボリュームのみが対象となります。既存のSnapLockボリュームでは暗号化を有効にできません。

FlexGroupボリューム

FlexGroupボリュームはサポートされています。デスティネーションアグリゲートは、ボリュームレベルまたはアグリゲートレベルのいずれかで、ソースアグリゲートと同じタイプである必要があります。ONTAP 9.5以降では、FlexGroupボリュームのインプレースキー再生成がサポートされています。

7-Modeからの移行

7-Mode Transition Tool 3.3以降では、7-Mode Transition Tool CLIを使用して、クラスタ システムのNVE対応デスティネーション ボリュームへのコピーベースの移行を実行できます。
関連情報