Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

暗号化されたボリュームのデータをセキュアにパージする方法の概要

共同作成者
PDF

ONTAP 9.4 以降では、セキュアパージを使用して、 NVE 対応ボリューム上のデータを無停止でスクラビングできます。暗号化されたボリュームのデータをスクラビングすることで、「柱」、「ブロックが上書きされたときにデータトレースが残されている」などの物理メディアからデータをリカバリすることができなくなります。また、解約するテナントのデータを安全に削除することもできます。

セキュアパージの対象となるのは、 NVE 対応ボリューム上で以前に削除されたファイルだけです。暗号化されていないボリュームはスクラビングできません。キーの提供には、オンボードキーマネージャではなく、 KMIP サーバを使用する必要があります。

セキュアパージを使用する場合の考慮事項

  • NetApp Aggregate Encryption(NAE)が有効になっているアグリゲートで作成されたボリュームでは、セキュアパージがサポートされません。

  • セキュアパージの対象となるのは、 NVE 対応ボリューム上で以前に削除されたファイルだけです。

  • 暗号化されていないボリュームはスクラビングできません。

  • キーの提供には、オンボードキーマネージャではなく、 KMIP サーバを使用する必要があります。

セキュアパージの機能は、 ONTAP のバージョンによって異なります。

ONTAP 9.8以降

  • セキュアパージは、 MetroCluster および FlexGroup でサポートされています。

  • パージするボリュームが SnapMirror 関係のソースである場合は、セキュアパージを実行するために SnapMirror 関係を解除する必要はありません。

  • 再暗号化の方法は、 SnapMirror データ保護を使用するボリュームと、 SnapMirror データ保護( DP )を使用していないボリュームまたは SnapMirror 拡張データ保護を使用しているボリュームで異なります。

    • デフォルトでは、 SnapMirror データ保護( DP )モードを使用するボリュームは、ボリューム移動の再暗号化方式を使用してデータを再暗号化します。

    • デフォルトでは、 SnapMirror データ保護を使用していないボリュームや SnapMirror 拡張データ保護( XDP )モードを使用しているボリュームでは、インプレースの再暗号化方式を使用します。

    • これらのデフォルト値は、を使用して変更できます secure purge re-encryption-method [volume-move|in-place-rekey] コマンドを実行します

  • デフォルトでは、セキュアパージ処理の実行中に、 FlexVol ボリューム内のすべての Snapshot コピーが自動的に削除されます。デフォルトでは、 FlexGroup の Snapshot および SnapMirror データ保護を使用するボリュームは、セキュアパージ処理の実行中に自動的に削除されません。これらのデフォルト値は、を使用して変更できます secure purge delete-all-snapshots [true|false] コマンドを実行します

ONTAP 9.7以前:

  • セキュアパージでは、次のものはサポートされません。

    • FlexClone

    • SnapVault

    • FabricPool

  • パージするボリュームが SnapMirror 関係のソースである場合は、ボリュームをパージする前に SnapMirror 関係を解除する必要があります。

    ボリューム内に使用中の Snapshot コピーがある場合は、ボリュームをパージする前にその Snapshot コピーを解放する必要があります。たとえば、 FlexClone ボリュームを親ボリュームからスプリットする必要がある場合があります。

  • セキュアパージ機能を呼び出すと、ボリューム移動がトリガーされ、パージされない残りのデータが新しいキーで再暗号化されます。

    移動されたボリュームは現在のアグリゲートに残ります。パージされたデータをストレージメディアからリカバリできないように、古いキーは自動的に破棄されます。