日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6 以降ではオンボードキー管理を有効にしてください

01/23/2024 共同作成者

オンボードキーマネージャを使用して、クラスタノードを FIPS ドライブまたは SED に対して認証できます。オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードに認証キーを提供します。オンボードキーマネージャは FIPS-140-2 レベル 1 に準拠しています。

オンボードキーマネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

このタスクについて

を実行する必要があります security key-manager onboard enable コマンドはクラスタにノードを追加するたびに実行します。MetroCluster 構成では、を実行する必要があります security key-manager onboard enable を実行してから、を実行します security key-manager onboard sync リモートクラスタで、それぞれで同じパスフレーズを使用します。

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。MetroCluster 以外では、を使用できます cc-mode-enabled=yes リブート後にユーザにパスフレーズの入力を求めるオプション。

オンボードキーマネージャがCCモードで有効になっている場合 (cc-mode-enabled=yes）では、システムの動作は次のように変更されます。

Common Criteria モードで動作している場合、クラスタパスフレーズの試行に連続して失敗したかどうかが監視されます。

NetApp Storage Encryption （ NSE ）が有効になっている場合に、ブート時に正しいクラスタパスフレーズを入力しないと、システムはドライブを認証できず、自動的にリブートされます。これを修正するには、ブートプロンプトで正しいクラスタパスフレーズを入力する必要があります。ブート後、パラメータとしてクラスタパスフレーズを必要とするコマンドに対して、最大 5 回連続してクラスタパスフレーズを 24 時間以内に入力することができます。制限に達した場合（たとえば、クラスタのパスフレーズを 5 回連続して正しく入力できなかった場合など）は、 24 時間のタイムアウトが経過するまで待つか、ノードをリブートして制限をリセットする必要があります。
システムイメージの更新では、 NetApp RSA-3072 コード署名証明書と SHA-384 コード署名ダイジェストを使用して、通常の NetApp RSA-2048 コード署名証明書および SHA-256 コード署名ダイジェストではなく、イメージの整合性をチェックします。

upgrade コマンドは、さまざまなデジタル署名をチェックして、イメージの内容が変更されていないか、壊れていないかを確認します。検証に成功した場合は、イメージの更新プロセスが次の手順に進みます。成功しなかった場合は、イメージの更新が失敗します。システムの更新については ' cluster image マニュアル・ページを参照してください

オンボードキーマネージャは、揮発性メモリにキーを格納します。揮発性メモリの内容は、システムのリブート時または停止時にクリアされます。通常の動作条件下では、システムが停止すると 30 秒以内に揮発性メモリの内容がクリアされます。

作業を開始する前に

NSE で外部キー管理（ KMIP ）サーバを使用している場合は、外部キー管理ツールのデータベースを削除しておく必要があります。

"外部キー管理からオンボードキー管理への移行"
このタスクを実行するには、クラスタ管理者である必要があります。
オンボードキーマネージャを設定する前に、 MetroCluster 環境を設定する必要があります。

手順

キー管理ツールの setup コマンドを開始します。

security key-manager onboard enable -cc-mode-enabled yes|no

設定 cc-mode-enabled=yes リブート後にユーザにキー管理ツールのパスフレーズの入力を求める場合。。 - cc-mode-enabled オプションはMetroCluster 構成ではサポートされません。。 security key-manager onboard enable コマンドは、に置き換わるものです security key-manager setup コマンドを実行します

次の例では、リブートのたびにパスフレーズの入力を求めずに、 cluster1 でキー管理ツールの setup コマンドを開始します。

cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

パスフレーズのプロンプトで 32 ～ 256 文字のパスフレーズを入力します。または、 64 ～ 256 文字のパスフレーズを「 cc-mode] 」に入力します。

指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。

パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

認証キーが作成されたことを確認します。

security key-manager key query -node node

。 security key-manager key query コマンドは、に置き換わるものです security key-manager query key コマンドを実行しますコマンド構文全体については、マニュアルページを参照してください。

次の例は、の認証キーが作成されたことを確認します cluster1：

cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: onboard
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

       Vserver: cluster1
   Key Manager: onboard
          Node: node2

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

完了後

あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーしておきます。

キー管理情報は、クラスタの Replicated Database （ RDB ；複製データベース）にすべて自動的にバックアップされます。災害時に備えて、情報を手動でもバックアップしておく必要があります。

ONTAP 9.6 以降ではオンボードキー管理を有効にしてください

Creating your file...