暗号化されたボリュームのデータをセキュアにパージする方法の概要
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.4 以降では、セキュアパージを使用して、 NVE 対応ボリューム上のデータを無停止でスクラビングできます。暗号化されたボリュームのデータをスクラビングすることで、「柱」、「ブロックが上書きされたときにデータトレースが残されている」などの物理メディアからデータをリカバリすることができなくなります。また、解約するテナントのデータを安全に削除することもできます。
セキュアパージの対象となるのは、 NVE 対応ボリューム上で以前に削除されたファイルだけです。暗号化されていないボリュームはスクラビングできません。キーの提供には、オンボードキーマネージャではなく、 KMIP サーバを使用する必要があります。
セキュアパージを使用する場合の考慮事項
-
NetApp Aggregate Encryption(NAE)が有効になっているアグリゲートで作成されたボリュームでは、セキュアパージがサポートされません。
-
セキュアパージの対象となるのは、 NVE 対応ボリューム上で以前に削除されたファイルだけです。
-
暗号化されていないボリュームはスクラビングできません。
-
キーの提供には、オンボードキーマネージャではなく、 KMIP サーバを使用する必要があります。
セキュアパージの機能は、 ONTAP のバージョンによって異なります。
-
セキュアパージは、 MetroCluster および FlexGroup でサポートされています。
-
パージするボリュームが SnapMirror 関係のソースである場合は、セキュアパージを実行するために SnapMirror 関係を解除する必要はありません。
-
再暗号化の方法は、 SnapMirror データ保護を使用するボリュームと、 SnapMirror データ保護( DP )を使用していないボリュームまたは SnapMirror 拡張データ保護を使用しているボリュームで異なります。
-
デフォルトでは、 SnapMirror データ保護( DP )モードを使用するボリュームは、ボリューム移動の再暗号化方式を使用してデータを再暗号化します。
-
デフォルトでは、 SnapMirror データ保護を使用していないボリュームや SnapMirror 拡張データ保護( XDP )モードを使用しているボリュームでは、インプレースの再暗号化方式を使用します。
-
これらのデフォルト値は、を使用して変更できます
secure purge re-encryption-method [volume-move|in-place-rekey]
コマンドを実行します
-
-
デフォルトでは、セキュアパージ処理の実行中に、 FlexVol ボリューム内のすべての Snapshot コピーが自動的に削除されます。デフォルトでは、 FlexGroup の Snapshot および SnapMirror データ保護を使用するボリュームは、セキュアパージ処理の実行中に自動的に削除されません。これらのデフォルト値は、を使用して変更できます
secure purge delete-all-snapshots [true|false]
コマンドを実行します
-
セキュアパージでは、次のものはサポートされません。
-
FlexClone
-
SnapVault
-
FabricPool
-
-
パージするボリュームが SnapMirror 関係のソースである場合は、ボリュームをパージする前に SnapMirror 関係を解除する必要があります。
ボリューム内に使用中の Snapshot コピーがある場合は、ボリュームをパージする前にその Snapshot コピーを解放する必要があります。たとえば、 FlexClone ボリュームを親ボリュームからスプリットする必要がある場合があります。
-
セキュアパージ機能を呼び出すと、ボリューム移動がトリガーされ、パージされない残りのデータが新しいキーで再暗号化されます。
移動されたボリュームは現在のアグリゲートに残ります。パージされたデータをストレージメディアからリカバリできないように、古いキーは自動的に破棄されます。