日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

暗号化されたボリュームのデータをセキュアにパージする方法の概要

ONTAP 9.4 以降では、セキュアパージを使用して、 NVE 対応ボリューム上のデータを無停止でスクラビングできます。暗号化されたボリュームのデータをスクラビングすることで、「柱」、「ブロックが上書きされたときにデータトレースが残されている」などの物理メディアからデータをリカバリすることができなくなります。また、解約するテナントのデータを安全に削除することもできます。

セキュアパージの対象となるのは、 NVE 対応ボリューム上で以前に削除されたファイルだけです。暗号化されていないボリュームはスクラビングできません。キーの提供には、オンボードキーマネージャではなく、 KMIP サーバを使用する必要があります。

セキュアパージの機能は、 ONTAP のバージョンによって異なります。

  • ONTAP 9.8 以降:

    • セキュアパージは、 MetroCluster および FlexGroup でサポートされています。

    • パージするボリュームが SnapMirror 関係のソースである場合は、セキュアパージを実行するために SnapMirror 関係を解除する必要はありません。

    • 再暗号化の方法は、 SnapMirror データ保護を使用するボリュームと、 SnapMirror データ保護( DP )を使用していないボリュームまたは SnapMirror 拡張データ保護を使用しているボリュームで異なります。

      • デフォルトでは、 SnapMirror データ保護( DP )モードを使用するボリュームは、ボリューム移動の再暗号化方式を使用してデータを再暗号化します。

      • デフォルトでは、 SnapMirror データ保護を使用していないボリュームや SnapMirror 拡張データ保護( XDP )モードを使用しているボリュームでは、インプレースの再暗号化方式を使用します。

      • これらのデフォルト値は '`ure purge re-encryption-method[volume-move|in-per-rekeying] コマンドを使用して変更できます

    • デフォルトでは、セキュアパージ処理の実行中に、 FlexVol ボリューム内のすべての Snapshot コピーが自動的に削除されます。デフォルトでは、 FlexGroup の Snapshot および SnapMirror データ保護を使用するボリュームは、セキュアパージ処理の実行中に自動的に削除されません。これらのデフォルトは '`ure purge delete-all-snapshots [true | false] を使用して変更できますコマンドを実行します

  • ONTAP 9.7 以前:

    • セキュアパージでは、次のものはサポートされません。

      • FlexClone

      • SnapVault

      • FabricPool

    • パージするボリュームが SnapMirror 関係のソースである場合は、ボリュームをパージする前に SnapMirror 関係を解除する必要があります。

      ボリューム内に使用中の Snapshot コピーがある場合は、ボリュームをパージする前にその Snapshot コピーを解放する必要があります。たとえば、 FlexClone ボリュームを親ボリュームからスプリットする必要がある場合があります。

  • セキュアパージ機能を呼び出すと、ボリューム移動がトリガーされ、パージされない残りのデータが新しいキーで再暗号化されます。

    移動されたボリュームは現在のアグリゲートに残ります。パージされたデータをストレージメディアからリカバリできないように、古いキーは自動的に破棄されます。